НКЦКИ предлагает новый алгоритм обновления критичного ПО, не относящегося к открытому

Зафиксированы случаи внедрения разработчиками программного обеспечения (ПО) из недружественных Российской Федерации стран недокументированных возможностей или добавления механизмов блокировки работы ПО. В качестве первоочередной краткосрочной меры по обеспечению информационной безопасности Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ранее рекомендовал отключить автоматическое обновление для иностранного ПО.

В долгосрочной перспективе это может привести к накоплению неисправленных уязвимостей. В результате возникнет угроза компрометации данных, нарушения функционирования оборудования или бизнес-процессов. Риски эксплуатации злоумышленниками неисправленных уязвимостей могут быть выше рисков внедрения разработчиками программного обеспечения недокументированных возможностей.

В связи с тем, что разработчики программного обеспечения (ПО) из недружественных РФ стран стали встраивать нежелательный контент для пользователей из России, а также повысился риск внедрения недокументированных возможностей (НДВ) или добавления механизмов блокировки работы данного ПО, одна из первых рекомендуемых мер со стороны регуляторов — отключить автоматические обновления.

Как следствие, со временем в ПО выявляются новые уязвимости, которые не устраняются путем установки обновления, и возникает риск компрометации. Вероятность, что она произойдет, может быть выше риска внедрения НДВ.

Таким образом, служба кибербезопасности (КБ) находится перед выбором: обновлять ПО с риском получить НДВ или принять риск эксплуатации уязвимости.

Алгоритм, представленный на схеме в простой форме, должен помочь сотруднику безопасности и подразделению КБ принять решение о необходимости обновления.

При работе с алгоритмом необходимо учитывать следующее:

  • Алгоритм является рекомендацией, применение которой лежит в вашей зоне ответственности.
  • Алгоритм не предусматривает граничные случаи, для которых рекомендуемое решение может отличаться. Поэтому применение алгоритма должно в обязательном порядке учитывать контекст организации.
  • ПО перед обновлением в продуктивной среде должно быть проверено на корректную работоспособность в тестовой среде или тестовой выборке.
  • Если возможно препятствовать эксплуатации уязвимости наложенными средствами защиты, не рекомендуется производить обновление.
  • Если специалисты вашей или подрядной организации в состоянии проверить обновление ПО на наличие НДВ, то вам следует принимать решение по результатам собственного анализа, а не данной рекомендации.
  • Не рекомендуется применять алгоритм принятия решения для обновления ПО, используемого в АСУ ТП.
  • Алгоритм не рассчитан для применения к обновлениям ПО для мобильных ОС

В бюллетене НКЦКИ представлен алгоритм, призванный упростить процесс принятия решения о необходимости установки обновлений ПО.