Координированное раскрытие уязвимостей, или CVD, является ключевым элементом современной кибербезопасности. Именно через него исследователи безопасности и специалисты могут ответственно сообщать о недостатках систем, давая шанс организациям устранить угрозы до того, как злоумышленники их используют. Для страны с развитой цифровой инфраструктурой, такой как Бельгия, эффективная работа механизмов CVD не просто желательна — она необходима для защиты общественной безопасности и экономических интересов. Однако, как показали недавние примеры, бельгийская система CVD находится в глубоком кризисе, который проявляется с разных сторон и требует срочных изменений. Недавний случай с уязвимостью в системе онлайн-банкинга KBC, одного из крупнейших банков страны, наглядно иллюстрирует глубину проблем и непонимание в этой сфере.
Исследователь безопасности обнаружил серьёзный дизайн-флэй в системе аутентификации KBC, основанной на использовании приложения itsme — цифровой идентификации, широко применяемой в Бельгии. Суть уязвимости сводилась к нехватке надёжного связывания между сессией в браузере и подтверждением через приложение. Это позволяло злоумышленнику получить доступ к чужому банковскому аккаунту, имея лишь номер телефона жертвы и возможность провести короткий звонок для социальной инженерии — убедить пользователя подтвердить действие. Внешне атака могла выглядеть как обычный звонок с вопросом о проверке баланса или подтверждении платежа. При этом техническая составляющая системы не препятствовала подобным действиям, что говорит о фундаментальном проектном недостатке, а не просто об ошибке в коде или конфигурации.
Угроза такого уровня требует незамедлительного внимания со стороны банка и регулирующих органов. Желая выполнить свои этические обязательства, исследователь предпринял попытки ответственного раскрытия уязвимости. Однако этот шаг обернулся многомесячной бюрократической волокитой, непониманием и юридическими угрозами. Банк KBC предъявил чрезмерные требования к исследователю, включая обязательную проверку удостоверения личности через платформу Intigriti, на которой размещена политика ответственного раскрытия. Несмотря на то, что исследователь не стремился получить денежное вознаграждение, а лишь хотел предупредить о риске, условия казались непропорциональными и отталкивающими для безопасности сообщества.
Когда попытка напрямую связаться с KBC через их CERT-команду не увенчалась успехом, следующий шаг был обращением в Центр кибербезопасности Бельгии (CCB). Ответ CCB был не менее разочаровывающим. Вместо диалога о сути проблемы организация сосредоточилась на формальностях процедуры и утверждала, что если существует политика ответственного раскрытия уязвимостей, то сообщать CCB о них не требуется. Это мнение оказалось ошибочным с юридической точки зрения, так как бельгийский закон явно предусматривает обязательное уведомление и национального центра, и затронутой организации для получения правовой защиты. Более того, закон устанавливает ряд требований для легального иммунитета, однако исполнение этих требований часто превращается в невыполнимую задачу из-за бюрократических препонов.
Такое отношение не только демотивирует исследователей, но и увеличивает риски, ведь эффективное устранение уязвимостей зависит от быстрого и конструктивного взаимодействия всех сторон. Одним из ключевых узлов конфликта стала позиция CCB относительно публичного раскрытия информации. Согласно законодательству, исследователь может иметь некоторые обязательства по неразглашению, но на практике CCB практически никогда не одобряет публикацию данных о найденных уязвимостях. Отсутствие прозрачности приводит к тому, что серьезные дыры в системах остаются в тени, а давление на организации для исправления недостатков существенно снижается. Это противоречит мировым трендам, где публичное раскрытие часто используется как стимулирующий фактор для быстрого реагирования и повышения уровня защищённости цифровых сервисов.
Отдельный вопрос вызывает компетентность и готовность CCB эффективно взаимодействовать с сообществом исследователей. По мнению специалистов, недостаток необходимых экспертиз и возможно внутренние организационные ограничения мешают организации полноценно оценивать и поддерживать работу в области кибербезопасности, особенно когда речь идёт о сложных протоколах и угрозах нового поколения. В сравнении с другими европейскими странами, такими как Нидерланды, где Национальный центр кибербезопасности (NCSC) выступает более открытым и проактивным партнёром для исследователей, Бельгия значительно отстаёт. Итогом многомесячной переписки и попыток наладить взаимодействие стало практически полное отсутствие конкретных действий со стороны как банковской организации, так и государства. Несмотря на повторные обращения, неудачные попытки добиться исправления уязвимости и отсутствие поддержки для исследователя свидетельствуют о неготовности системы к эффективной работе.
Более того, даже высокотехнологичные механизмы защиты, такие как «визуальный вызов» для подтверждения сессии, официально реализованные приложением itsme, отсутствовали или не функционировали корректно в случае KBC. Это косвенно указывает на возможные проблемы в интеграции и настройке сложных систем безопасности, что ещё больше усугубляет ситуацию. Описанный случай отражает общую картину текущих проблем модели Координированного раскрытия уязвимостей в Бельгии. К основным трудностям относится отношение к исследователям как к потенциальным преступникам, чрезмерные и формалистские требования со стороны организаций без адекватных гарантий для добросовестных работников, отсутствие баланса интересов и юридической прозрачности, а также слишком жёсткое ограничение на публичное раскрытие. Такое состояние дел подрывает важнейший институт цифровой безопасности, ведь именно взаимообмен информацией между исследователями и организациями позволяет своевременно выявлять и устранять угрозы.
Для исправления ситуации необходимо принять комплексные меры. Законодательство следует пересмотреть в сторону более гибкого и справедливого регулирования, защищающего права исследователей и поощряющего ответственное поведение. Центр кибербезопасности обязан повысить квалификацию персонала, улучшить внутренние процессы, сделать взаимодействие с сообществом более прозрачным и профессиональным, а также прекратить излишние придирки к форме отчётов, сосредоточившись на содержании. Корпоративные организации, особенно в секторе критической инфраструктуры и финансов, должны пересмотреть свои политики раскрытия уязвимостей, отказаться от непомерных требований и активно реагировать на сообщения, рассматривая их как возможность повысить доверие и безопасность. В частности, следует рассмотреть возможность введения более дружественных и открытых платформ для обмена информацией о безопасности, включая верификацию, которая не ставит под угрозу анонимность и не создает дополнительных препятствий для исследователей.
