В июле 2010 года в качестве рекомендаций Белого дома разведывательным службам США был направлен документ под названием «Обычный процесс работы с уязвимостями» («Vulnerability Equities Process»). В ходе этого процесса по каждой обнаруженной или выкупленной у подрядчиков уязвимости правительство США принимало решение – сообщать разработчику о бреши, или ее можно использовать для взлома защитных систем.
Использование правительством уязвимостей нулевого дня неоднозначно. Когда специальные органы не сообщают разработчику о бреши с целью экспуатации ее в своих интересах, все системы, включая правительственные и критическую инфраструктуру, попадают в зону риска.
Рекомендации были предоставлены после того, как одна из организаций гражданских свобод подала в суд на руководство Национального разведывательного совета (National Intelligence Council). Отредактированная версия документа, полученная правозащитниками, проливает свет на предысторию развития политики правительства касательно уязвимостей нулевого дня. В документе не было найдено никаких подтверждений заявления руководства страны о том, что оно раскрывает «подавляющее большинство» найденных уязвимостей нулевого дня, вместо того, чтобы тайно их экплуатировать.
Согласно документу, «процесс работы с уязвимостями» появился в результате деятельности целевой группы правительства, сформированной в 2008 году для того, чтобы «использовать все наступательные способности для обеспечения защиты информационных систем США».
Использование наступательных способностей может означать одно из двух: либо предоставление сообществу разработчиков и пользователей информации о уязвимостях нулевого дня таким образом, чтобы они могли быть исправлены в правительственных системах и критической инфраструктуре, либо использование АНБ кибершпионажа в случаях, когда уязвимость не затрагивает системы правительства.
Использование правительством уязвимостей нулевого дня неоднозначно. Когда специальные органы не сообщают разработчику о бреши с целью экспуатации ее в своих интересах, все системы, включая правительственные и критическую инфраструктуру, попадают в зону риска.
Рекомендации были предоставлены после того, как одна из организаций гражданских свобод подала в суд на руководство Национального разведывательного совета (National Intelligence Council). Отредактированная версия документа, полученная правозащитниками, проливает свет на предысторию развития политики правительства касательно уязвимостей нулевого дня. В документе не было найдено никаких подтверждений заявления руководства страны о том, что оно раскрывает «подавляющее большинство» найденных уязвимостей нулевого дня, вместо того, чтобы тайно их экплуатировать.
Согласно документу, «процесс работы с уязвимостями» появился в результате деятельности целевой группы правительства, сформированной в 2008 году для того, чтобы «использовать все наступательные способности для обеспечения защиты информационных систем США».
Использование наступательных способностей может означать одно из двух: либо предоставление сообществу разработчиков и пользователей информации о уязвимостях нулевого дня таким образом, чтобы они могли быть исправлены в правительственных системах и критической инфраструктуре, либо использование АНБ кибершпионажа в случаях, когда уязвимость не затрагивает системы правительства.