Центр кибербезопасности РФ подготовил рекомендации по обновлению программ, критически важных для бизнеса. Ведомство рассказало, в каких случаях следует избегать автоматического обновления ПО.
Краткосрочные меры
Алгоритм принятия решений представлен Национальным координационным центром по компьютерным инцидентам России (НКЦКИ, создан ФСБ). Он охватывает вопросы обновления установленного в ИТ-инфраструктуре критичного и важного для бизнеса ПО, которое не относится к проектам open source.
Ведомство сообщило о том, что были случаи внедрения разработчиками из недружественных государств недокументированных возможностей в программы или механизмов блокировки работы ПО. Поэтому НКЦКИ в качестве краткосрочной меры защиты от таких инцидентов рекомендует отключить функцию автоматического обновления для зарубежного ПО.
Защита от эксплойтов
Одновременно в НКЦКИ предупреждают, что в долгосрочной перспективе отказ от обновлений приведет к накоплению неисправленных уязвимостей, что ставит под угрозу информационную безопасность бизнеса. Поэтому в какой-то момент риски эксплуатации известных эксплойтов злоумышленниками могут стать выше рисков внедрения недокументированных возможностей.
Чтобы упростить процесс принятия решения об установке обновленных версий приложений, Центр кибербезопасности РФ подготовил алгоритм:
Важные оговорки
При использовании данного алгоритма НКЦКИ советует учитывать следующие моменты:
- алгоритм является рекомендацией, его использование лежит в зоне ответственности самих компаний;
- при составлении алгоритма не учитывались гарантийные случаи, для которых рекомендуемое решение может отличаться, поэтому бизнесу следует обращать внимание на контекст собственной организации;
- перед обновлением в продуктивной среде работоспособность ПО должна быть проверена в тестовой среде или тестовой выборке;
- если есть возможность препятствовать использованию уязвимостей наложенными средствами, то обновление лучше не производить;
- если сотрудники или подрядчики организации в состоянии самостоятельно определить наличие недокументированных возможностей в обновлении, то принимать решение следует по итогам собственного анализа, а не алгоритма;
- представленные рекомендации не следует применять для принятия решения об обновлении ПО, используемого в АСУ ТП;
- алгоритм не предназначен для обновлений мобильных ОС.