Как на Россию повлияет отказ США финансировать базу уязвимостей софта
Со среды, 16 апреля, система с данными об уязвимостях CVE (Common Vulnerabilities and Exposures) потеряла финансирование. Причина — не был продлен контракт между Агентством по кибербезопасности и защите инфраструктуры США (CISA) и отвечавшей за поддержку и развитие базы американской корпорацией MITRE. В официальном заявлении иностранным СМИ представитель CISA заявил, что они экстренно работают над смягчением последствий и сохранением услуг CVE. Он не пояснил причины прекращения контракта с MITRE, как и то, будут ли искать другую организацию для выполнения этой работы. Позже появилась информация, что контракт всё же был продлён.
CVE — это база данных общеизвестных уязвимостей и инцидентов. Каждому событию присваивается идентификационный номер вида CVE-год-номер и описание. База была создана в 1999 году, сейчас в ней более 270 тыс. записей об уязвимостях. По собственным данным, партнерами CVE являются 453 организации из 40 стран, в том числе российские «Лаборатория Касперского» и «Яндекс». Если кто-либо находит уязвимость, он может обратиться к подобным компаниям-партнерам в своей стране, а те, в свою очередь, проверяют информацию и в случае ее подтверждения публикуют запись о ней в реестре CVE.
Российские компании и госструктуры, интегрированные в глобальные цепочки поставок (например, разработчики софта, поставщики облачных услуг), используют CVE для совместимости с зарубежными партнерами, подтвердил основатель компании «Интернет-Розыск», руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. Ослабление системы, по его словам, может усложнить взаимодействие и повысить риски из-за несвоевременного получения данных об угрозах. «Многие российские решения для кибербезопасности, например сканеры уязвимостей и системы управления событиями безопасности (SIEM), зависят от CVE для автоматического обновления сигнатур угроз. Если она перестанет обновляться, это потребует перестройки процессов или поиска альтернатив», — указал Бедеров. Если информация о новых уязвимостях будет поступать компаниям с запозданием, по его словам, это повысит риск того, что уязвимостями успеют воспользоваться злоумышленники. Отход от единого стандарта, по его мнению, может привести к тому, что данные об угрозах будут разрозненными, что усложнит защиту критической инфраструктуры и корпоративных сетей.
По словам Игоря Бедерова, то, что ФСТЭК разработал собственный классификатор уязвимостей информационных систем, частично нивелирует риски от возможного закрытия CVE, но он указал, что база ведомства содержит «достаточно общие описания уязвимостей» и используется для составления документов, связанных с кибербезопасностью. В долгосрочной перспективе отключение CVE ускорит развитие национальных систем, но их эффективность будет зависеть от качества интеграции с международными партнерами, например странами БРИКС, а также от скорости адаптации рынка, считает Бедеров.
Ранее также появилась информация, что в России предложили внедрить единые правила маркировки нейросетевого контента.
Читать статью в полной версии «РБК»
