Proces akcií zranitelností - Vulnerabilities Equities Process
The Proces akcií zranitelností (VEP) je proces používaný společností Federální vláda USA určit případ od případu, jak by se mělo zacházet nultý den chyby zabezpečení počítače; zda je zveřejnit veřejnosti, aby pomohla zlepšit obecnou počítačovou bezpečnost, nebo je udržet v tajnosti pro urážlivé použití proti vládním protivníkům.[1]
VEP byl poprvé vyvinut v období 2008–2009, ale na veřejnost se dostal až v roce 2016, kdy vláda vydala redigovanou verzi VEP v reakci na Žádost FOIA podle Nadace Electronic Frontier Foundation.[2][3]
Po tlaku veřejnosti na větší transparentnost v návaznosti na Shadow Brokers aféra, vláda USA zveřejnila více informací o procesu VEP v listopadu 2017.[1][4]
Účastníci
Podle plánu VEP zveřejněného v roce 2017 je Rada pro posuzování akcií (ERB) primárním fórem pro mezirezortní jednání a stanovení týkající se VEP.[4] ERB se schází jednou za měsíc, ale může být také svolána dříve, pokud nastane okamžitá potřeba.
ERB se skládá ze zástupců následujících agentur:
- Úřad pro správu a rozpočet
- Kancelář ředitele národní zpravodajské služby (včetně Koordinační středisko zpravodajské komunity a bezpečnosti )
- Ministerstvo financí Spojených států
- Ministerstvo zahraničí Spojených států
- Ministerstvo spravedlnosti Spojených států (včetně Federální úřad pro vyšetřování a Národní společná pracovní skupina pro kybernetické vyšetřování )
- Ministerstvo vnitřní bezpečnosti (včetně Národní centrum pro integraci kybernetické bezpečnosti a komunikace a Tajná služba Spojených států )
- Ministerstvo energetiky Spojených států
- Ministerstvo obrany Spojených států (zahrnout Národní bezpečnostní agentura, počítaje v to Zajištění informací a Signálová inteligence elementy), Kybernetické velení Spojených států, a Centrum kybernetické kriminality DoD )
- Ministerstvo obchodu Spojených států
- Ústřední zpravodajská služba
The Národní bezpečnostní agentura slouží jako výkonný sekretariát pro VEP.[4]
Proces
Podle verze VEP z listopadu 2017 je proces následující:
Předložení a oznámení
Když agentura zjistí zranitelnost, co nejdříve to oznámí sekretariátu VEP. Oznámení bude obsahovat popis zranitelnosti a zranitelných produktů nebo systémů spolu s doporučením agentury šířit nebo omezovat informace o zranitelnosti.
Sekretariát poté do jednoho pracovního dne informuje všechny účastníky o podání a požádá je, aby odpověděli, pokud mají relevantní zájem.[4]
Spravedlnost a diskuse
Agentura, která projeví zájem, musí uvést, zda souhlasí s původním doporučením šířit nebo omezit do pěti pracovních dnů. Pokud tak neučiní, proběhne diskuse s předkládající agenturou a sekretariátem VEP do sedmi pracovních dnů, aby se pokusili dosáhnout konsensu. Pokud není dosaženo shody, navrhnou účastníci možnosti pro Revizní komisi pro akcie.[4]
Rozhodnutí šířit nebo omezovat
Rozhodnutí o tom, zda zveřejnit nebo omezit zranitelnost, by měla být učiněna rychle, po úplné konzultaci se všemi dotčenými agenturami a v obecném nejlepším zájmu konkurenčních zájmů misí vlády USA. Pokud je to možné, stanovení by měla být založena na racionálních, objektivních metodikách, s přihlédnutím k faktorům, jako je prevalence, spolehlivost a závažnost.
Pokud členové hodnotící komise nedosáhnou shody, budou hlasovat o předběžném rozhodnutí. Pokud agentura s majetkovou účastí toto rozhodnutí zpochybní, může se na základě oznámení zaslaného sekretariátu VEP rozhodnout o předběžném rozhodnutí. Pokud žádná agentura nezpochybní předběžné rozhodnutí, bude to považováno za konečné rozhodnutí.[4]
Zpracování a následné akce
Pokud budou zveřejněny informace o chybě zabezpečení, bude to provedeno co nejrychleji, nejlépe do sedmi pracovních dnů.
Zveřejnění zranitelných míst bude prováděno v souladu s pokyny schválenými všemi členy. Předkládající agentura se považuje za osobu s nejzranitelnější znalostí o zranitelnosti a jako taková bude odpovědná za šíření informací o zranitelnosti k prodejci. Předkládající agentura se může rozhodnout delegovat odpovědnost za šíření na jinou agenturu jejím jménem.
Vydávající agentura neprodleně poskytne kopii zveřejněných informací sekretariátu VEP za účelem vedení záznamů. Kromě toho se očekává, že vydávající agentura naváže, aby ERB mohla určit, zda akce dodavatele splňuje vládní požadavky. Pokud se prodejce rozhodne, že se nebude zranitelností zabývat, nebo nebude jednat s naléhavostí v souladu s rizikem této zranitelnosti, uvolňující agentura to oznámí sekretariátu a vláda může přijmout další zmírňující kroky.[4]
Kritika
Proces VEP byl kritizován za řadu nedostatků, včetně omezení dohodami o zachování mlčenlivosti, nedostatečného hodnocení rizik, zvláštního zacházení s NSA a méně než úplného závazku zveřejnění jako výchozí možnosti.[5]
Reference
- ^ A b Newman, Lily Hay (15. listopadu 2017). „Federálové vysvětlují své chyby v softwaru - ale nesmažte obavy“. WIRED. Citováno 16. listopadu 2017.
- ^ Elektronické informační centrum ochrany osobních údajů. "Proces zranitelnosti akcií". epic.org. Citováno 16. listopadu 2017.
- ^ „Proces zranitelnosti - akcie (VEP)“. Nadace Electronic Frontier Foundation. 18. ledna 2016. Citováno 16. listopadu 2017.
- ^ A b C d E F G „Politika a proces v oblasti zranitelnosti pro vládu Spojených států“ (PDF). www.whitehouse.gov. 15. listopadu 2017. Citováno 16. listopadu 2017.
- ^ McCarthy, Kieren (15. listopadu 2017). „Čtyři problémy s nejnovějším souborem pravidel vlády USA o zveřejňování chyb zabezpečení“. Registrace. Citováno 16. listopadu 2017.
Viz také
 | Tento Vláda Spojených států –Vztahující se článek je pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to. |
 | Tento zabezpečení počítače článek je a pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to. |