Центр кибербезопасности РФ предложил алгоритм принятия решений необходимости обновления критичного ПО

15 апреля 2022 года Национальный координационный центр по компьютерным инцидентам России (НКЦКИ, создан ФСБ) предложил IT-компаниям алгоритм принятия решения по обновлению или не обновлению установленного в IT-инфраструктуре критичного и важного для бизнеса ПО, не относящегося к проектам Open source.

«Зафиксированы случаи внедрения разработчиками программного обеспечения (ПО) из недружественных Российской Федерации стран, недокументированных возможностей или добавления механизмов блокировки работы ПО.

В качестве первоочередной краткосрочной меры по обеспечению информационной безопасности Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ранее рекомендовал отключить автоматическое обновление для иностранного ПО.

В долгосрочной перспективе это может привести к накоплению неисправленных уязвимостей. В результате возникнет угроза компрометации данных, нарушения функционирования оборудования или бизнес-процессов. Риски эксплуатации злоумышленниками неисправленных уязвимостей могут быть выше рисков внедрения разработчиками программного обеспечения недокументированных возможностей.

В новом бюллетене НКЦКИ представлен алгоритм, призванный упростить процесс принятия решения о необходимости установки обновлений ПО»,

— заявили в НКЦКИ

При работе с алгоритмом НКЦКИ необходимо учитывать следующее:

• алгоритм является рекомендацией, применение которой лежит в вашей зоне
  ответственности;
• алгоритм не предусматривает граничные случаи, для которых рекомендуемое решение
  может отличаться. Поэтому применение алгоритма должно в обязательном порядке
  учитывать контекст организации;
• ПО перед обновлением в продуктивной среде должно быть проверено на корректную
  работоспособность в тестовой среде или тестовой выборке;
• если возможно препятствовать эксплуатации уязвимости наложенными средствами
  защиты, не рекомендуется производить обновление;
• если специалисты вашей или подрядной организации в состоянии проверить обновление
  ПО на наличие недокументированных возможностей, то вам следует принимать решение по результатам собственного анализа, а не данной рекомендации;
• не рекомендуется применять алгоритм принятия решения для обновления ПО,
  используемого в АСУ ТП;
• алгоритм не рассчитан для применения к обновлениям ПО для мобильных ОС.

Алгоритм НКЦКИ для принятия решений необходимости обновления критичного ПО.

18 марта 2022 года «Сбер» порекомендовал отказаться от обновления программного обеспечения, чтобы не допустить заражение устройств. По мнению банка, в последнее время участились случаи внедрения провокационного контента в свободно распространяемое ПО и библиотеки, применяемые при разработке подобного софта.

Ранее деструктивные действия разработчика npm-пакета node-ipc привели к проблемам по всему миру.