В последнее время специалисты немало спорят о том, разумно ли раскрывать такого рода информацию. Как только становится известна уязвимость какой-либо технологии, найдется тот, кто этим непременно воспользуется. В самом сообществе безопасности зреет ощущение, что широкая доступность подобной информации — далеко не самая лучшая стратегия. Разумеется, компания Cisco придерживается именно такого мнения. Вместе с Internet Security Systems (ISS) вендор потребовал запретить один из докладов на Black Hat, который был посвещен новым методам взлома ее операционной системы Internetwork. Иск, поданный Cisco в суд с требованием запрета на распространение подобной информации, обвиняет исследователя ISS, который подготовил этот доклад — и уволился из компании, ради этого выступления — в нарушении закона об интеллектуальной собственности.
Можно привести и другие любопытные факты: подразделение TippingPoint в 3Com недавно дало старт программе Zero Day, объявив, что компания заплатит исследователям за информацию об уязвимых местах защиты, но лишь с тем условием, что они не сделают эти сведения всемирным достоянием. Эксперты в области информационной безопасности неоднозначно отнеслись к этой идее, подчеркнув, что может возникнуть конфликт интересов.
Конечно, вряд ли кому-то захочется подвергать свою конфиденциальность угрозе, и все же, по-моему, слишком уж много появляется секретов в сфере безопасности. Знаете ли вы, насколько трудно разговаривать с кем-либо о хорошо налаженной системе информационной безопасности? Все ИТ-сообщество только выиграет, если обмен информацией будет поставлен на более официальную основу.
