Кибероружие следует сдавать государству. Продолжу накидывать аргументы за централизацию репортинга уязвимостей через государственного регулятора. Давайте проведём аналогию между уязвимостями и оружием. Идея не нова, термин "cyberweapon" употребляется десятки лет.

Если человек идёт по дороге и видит, допустим, пистолет, что он вправе с ним легально сделать? Может ли он его использовать по своему усмотрению? Может ли он его продать? Может ли он его вывезти за пределы страны?

Ну ведь, нет же, правда? 🙂 Единственное, что он вправе сделать - это сообщить о нём в полицию или отнести его в полицию самостоятельно. Т.е. передать государственной службе, которая примет решение, что да, это действительно оружие, и распорядится им правильным образом.

Тогда почему сейчас считается нормальным передавать уязвимости ("кибероружие") разработчикам ПО из недружественных стран? Вместо использования этой важной информации во благо нашей страны? Как по мне, это следует изменить.

Какие могут быть стимулы к централизованному репортингу уязвимостей в продуктах вендоров из недружественных стран через государственного регулятора?

🔻 Патриотизм. Противостояние в цифровой среде набирает обороты, и в нём есть свои и есть вражины. Американские бигтехи, отказавшиеся от обязательств в 2022 году, оказывающие поддержку враждебным государствам, распространяющие пасквили и являющиеся крупными подрядчиками DoD, нам явно НЕ СВОИ. Как и прочие "истинные финны". Зачем помогать противнику, если можно будет поднимать киберпотенциал своей страны?

🔻 Законность. Репортинг уязвимости "недружественному вендору" может подпадать под 275 УК РФ. Зачем "ходить под статьёй", если можно будет репортить уязвимости законно и безопасно?

🔻 Выгода. Компания, юрисдикция которой запрещает взаимодействие с физическими и юридическими лицами из России, вряд ли сможет нормально выплатить баунти. Так почему бы не получать выплату легально в России от заинтересованной стороны?