Почему вы купили именно этот антивирус, а не какой-то другой? Потому что этот дешевле Разумеется, потому что вы больше ему доверяете. А почему исследователи безопасности больше времени тратят на анализ именно этого приложения, а не каких-то других? Потому что они больше доверяют компании, разработавшей это приложение. Дело в том, что далеко не все компании рады новостям об уязвимостях, найденных в их продуктах, — некоторые даже угрожают исследователям судебным преследованием.
Вообще, доверие очень важно при выборе продукта или компании. Одной ошибки бывает достаточно, чтобы разрушить доверие, а вот построить его куда сложнее. Это как башня, сложенная из тысяч кирпичей: если вытащить всего один кирпич, вся башня может рухнуть, но чтобы построить ее, требуется аккуратно класть кирпичи один к другому много-много раз. Это трудно и занимает много времени, но делать это необходимо.
«Тихая гавань» для исследователей
Мы в «Лаборатории Касперского» хотим, чтобы вы, наши нынешние и будущие клиенты, доверяли нам, поэтому мы по кирпичику строим эту башню и следим за тем, чтобы она не рассыпалась. В прошлом году мы запустили Глобальную инициативу по информационной открытости (Global Transparency Initiative) и надеемся, что это достаточно наглядно демонстрирует, насколько прозрачен наш бизнес.
Также мы увеличили премии за уязвимости, найденные в рамках нашей программы bug bounty. Теперь же мы рады сообщить, что мы присоединились к проекту Disclose.io компании Bugcrowd и тем самым гарантируем, что не будем предпринимать юридических действий в отношении тех, кто будет исследовать наши продукты и находить в них уязвимости.
Bugcrowd запустила проект Disclose.io в сотрудничестве с известным исследователем безопасности Амит Элазари (Amit Elazari) в августе 2018 года. Цель проекта — создание прозрачной правовой базы для защиты организаций и исследователей, которые ищут уязвимости, получают вознаграждение за найденные и ответственно обнародуют их.
По сути, Disclose.io формулирует набор соглашений, заключаемых между исследователями и компаниями. Все компании, присоединившиеся к Disclose.io, равно как и исследователи уязвимостей, берут на себя обязательство исполнять их.
Сами эти соглашения очень просты, наглядны и понятны — в них нет сотен подразделов и примечаний мелким шрифтом, что обычно столь характерно для юридических договоров. С основными положениями можно ознакомиться на GitHub, что дополнительно подчеркивает их прозрачность: документы на GitHub нельзя изменить так, чтобы это не стало известно всему сообществу.
Эти соглашения предлагают компаниям не преследовать исследователей уязвимостей за их деятельность, а напротив, сотрудничать с ними, чтобы лучше понимать природу уязвимостей в своих продуктах и эффективнее устранять их, а также признавать вклад исследователей в обеспечение безопасности своих продуктов. От исследователей же, в свою очередь, требуется ответственно обращаться с информацией о найденных уязвимостях: не разглашать ее, пока уязвимость не будет устранена, не использовать полученные данные незаконным образом, не заниматься вымогательством денег у разработчиков и так далее.
Основная идея проекта Disclose.io выглядит так: «Уважаемые исследователи и компании, относитесь друг к другу честно и доброжелательно — вы все от этого только выиграете». Мы совершенно согласны с этим, и потому поддерживаем инициативу Disclose.io и готовы предоставить «тихую гавань» для исследователей, желающих искать уязвимости в наших продуктах.
Разумеется, от этого выиграют и наши клиенты. Чем тщательнее продукт или услуга будут изучены сообществом специалистов по поиску уязвимостей, тем более безопасными они станут в конечном итоге. В случае же защитных решений максимально возможная безопасность — совершенно необходимое требование.