„ | Это для вас содержимое баз опасно. А нам можно не торопиться. | “ |
Национальная база данных уязвимостей России медленно пополняется и крайне неполная. К такому выводу пришли аналитики американской компании Recorded Future. Исследование опубликовано в блоге организации.
Специалисты проанализировали базу данных угроз безопасности информации, опубликованную на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК). Согласно оценкам экспертов, в список заносится лишь 10 процентов от известных уязвимостей. При этом записи появляются в нем с большой задержкой: на 83 дня позднее, чем в идентичном перечне Китая, и на 50 — чем в американском.
Еще одним минусом названа крайне медленная заполняемость: за пять лет существования базы лишь в 2015 году число новых записей достигло 12 тысяч. В остальные годы их количество не превысило трех-четырех тысяч. Перечень обновляется во многом с помощью формы обратной связи.
Эксперты раскритиковали организацию, ведущую базу. Федеральная служба по техническому и экспортному контролю, считают они, ответственна за защиту государственной тайны, а также поддерживает разведывательные службы, так как подведомственна Минобороны. Это дало им основания утверждать, что база состоит в основном из уязвимостей, используемых «госхакерами».
ФСТЭК также заполняет базу данных уязвимостями, которые в первую очередь представляют угрозу для российских государственных информационных систем. Это дает исследователям данные о том, какие технологии, оборудование и программное обеспечение используются в сетях российского правительства.
Применяемые методы уже применялись в анализе национальных баз данных уязвимостей Китая и США. Те были созданы на несколько лет раньше и отличаются частотой заполняемости и большим охватом.
Комментирование разрешено только первые 24 часа.
1 +0−0 | Александр Надеждин | 17:41:27 17/07/2018 |
Это для вас содержимое баз опасно. А нам можно не торопиться. |
-1 +0−0 | Дмитрий ДубльДуб | 17:36:27 17/07/2018 |
Правильно критикуют... Какая может быть база уязвимостей, если до сих пор нет национального CERT?... |