← До зведення дня
ШІ і технології19 липня 2026

NSA і CISA видали спільну настанову для програм розкриття вразливостей

Агентство національної безпеки США, CISA, японський JPCERT/CC і Національний центр кібербезпеки Нідерландів випустили спільну настанову зі створення програм координованого розкриття вразливостей. Документ адресований виробникам програмного забезпечення й обладнання, які отримують повідомлення від незалежних дослідників. Партнери радять оприлюднювати чітку політику розкриття, не звужувати без потреби дозволену область тестування та робити канал приймання звітів доступним для різних категорій дослідників.

Координована програма має визначати, які системи можна перевіряти, як подати технічний звіт, у які строки постачальник підтверджує отримання й повідомляє про виправлення. Якщо компанія не має власної команди, частину ролі можуть виконувати незалежні координатори або національні центри реагування на комп’ютерні інциденти. Вони допомагають підтримувати зв’язок, оцінювати ризик і запобігати ситуації, коли інформація про вразливість губиться між дослідником та власником продукту.

Нова настанова доповнює ширший контекст, у якому CISA доводилося створювати план реагування вже під час інциденту з обліковими даними. Її практичний сенс — перенести процес із імпровізації в наперед визначену процедуру: прийняти сигнал, перевірити його, виправити продукт і повідомити користувачів. Документ не встановлює обов’язковий стандарт і не гарантує юридичного захисту дослідникам у кожній країні, але дає постачальникам спільну модель для зменшення часу між виявленням проблеми та її усуненням.

ДжерелаNSA