قد يطلب الاتحاد الأوروبي (EU) قريبًا من ناشري البرامج الكشف عن نقاط الضعف غير المصححة للوكالات الحكومية في غضون 24 ساعة من الاستغلال. يريد العديد من المتخصصين في مجال أمن تكنولوجيا المعلومات إعادة النظر في هذه القاعدة الجديدة، المنصوص عليها في المادة 11 من قانون المرونة السيبرانية (CRA) للاتحاد الأوروبي.
تتطلب القاعدة من البائعين الكشف عن معرفتهم بوجود ثغرة أمنية يتم استغلالها بشكل نشط خلال يوم واحد من التعرف عليه، بغض النظر عن حالة التصحيح. ويرى بعض المتخصصين في مجال الأمن إمكانية قيام الحكومات بإساءة استخدام متطلبات الكشف عن الثغرات الأمنية لأغراض الاستخبارات أو المراقبة.
في رسالة مفتوحة موقعة من قبل 50 متخصصًا بارزًا في مجال الأمن السيبراني في الصناعة والأوساط الأكاديمية، من بينهم ممثلون عن Arm وGoogle وTrend Micro، يقول الموقعون إن فترة الـ 24 ساعة ليست وقتًا كافيًا - وستفتح أيضًا الأبواب أمام الخصوم الذين يتطفلون عليها. نقاط الضعف دون السماح للمؤسسات بالوقت الكافي لإصلاح المشكلات.
وجاء في الرسالة: "في حين أننا نقدر هدف CRA المتمثل في تعزيز الأمن السيبراني في أوروبا وخارجها، فإننا نعتقد أن الأحكام الحالية بشأن الكشف عن الثغرات الأمنية تؤدي إلى نتائج عكسية وستخلق تهديدات جديدة تقوض أمن المنتجات الرقمية والأفراد الذين يستخدمونها".
يقول جوبي رامامورثي، كبير مديري الأمن ومركز الخليج للأبحاث في شركة Symmetry Systems، إنه لا يوجد خلاف حول مدى إلحاح تصحيح الثغرات الأمنية. وتتركز المخاوف على الإعلان عن نقاط الضعف قبل توفر التحديثات، لأن ذلك يترك المؤسسات عرضة لخطر الهجوم وغير قادرة على فعل أي شيء لمنعه.
يقول رامامورثي: "إن نشر معلومات الثغرة الأمنية قبل التصحيح أثار مخاوف من أنها قد تتيح المزيد من استغلال الأنظمة أو الأجهزة غير المصححة وتعريض الشركات الخاصة والمواطنين لمزيد من المخاطر".
إعطاء الأولوية للتصحيح على المراقبة
تقول كالي غوينثر، المدير الأول لأبحاث التهديدات السيبرانية في Critical Start، إن الهدف من قانون المرونة السيبرانية للاتحاد الأوروبي يستحق الثناء، ولكن من الضروري النظر في التداعيات الأوسع والعواقب المحتملة غير المقصودة لوصول الحكومات إلى معلومات الضعف قبل أن تتوفر التحديثات.
وتقول: "للحكومات مصلحة مشروعة في ضمان الأمن القومي". "ومع ذلك، فإن استخدام نقاط الضعف لأغراض استخباراتية أو قدرات هجومية يمكن أن يعرض المواطنين والبنية التحتية للتهديدات."
وتقول إنه يجب تحقيق التوازن حيث تعطي الحكومات الأولوية لتصحيح الأنظمة وحمايتها على حساب استغلال نقاط الضعف، واقترحت بعض الأساليب البديلة للكشف عن نقاط الضعف، بدءًا من الكشف المتدرج.
يقول غونتر: "اعتمادًا على مدى خطورة الثغرة الأمنية وتأثيرها، يمكن تحديد أطر زمنية مختلفة للكشف عنها". "قد يكون لنقاط الضعف الحرجة فترة زمنية أقصر، في حين يمكن منح المشكلات الأقل خطورة مزيدًا من الوقت."
البديل الثاني يتعلق بالإخطار الأولي، حيث يمكن إعطاء البائعين إشعارًا أوليًا، مع فترة سماح قصيرة قبل الكشف عن الثغرة الأمنية التفصيلية لجمهور أوسع.
وتركز الطريقة الثالثة على الكشف المنسق عن نقاط الضعف، وهو ما يشجع على إنشاء نظام يعمل فيه الباحثون والبائعين والحكومات معًا لتقييم نقاط الضعف وتصحيحها والكشف عنها بشكل مسؤول.
وتضيف أن أي قاعدة يجب أن تتضمن بنودًا صريحة تحظر إساءة استخدام نقاط الضعف التي تم الكشف عنها لأغراض المراقبة أو الأغراض الهجومية.
وتقول: "بالإضافة إلى ذلك، يجب أن يقتصر الوصول إلى قاعدة البيانات على مجموعة مختارة فقط من الموظفين الحاصلين على التصريح والتدريب المناسبين، مما يقلل من خطر التسربات أو سوء الاستخدام". "حتى مع وجود بنود وقيود صريحة، هناك العديد من التحديات والمخاطر التي يمكن أن تنشأ."
متى وكيف وكم يجب الكشف عنه
يشير جون أ. سميث، الرئيس التنفيذي في Conversant Group، إلى أن الكشف المسؤول عن الثغرات الأمنية هو عملية تضمنت، تقليديًا، نهجًا مدروسًا مكّن المؤسسات والباحثين الأمنيين من فهم المخاطر وتطوير التصحيحات قبل الكشف عن الثغرة الأمنية لجهات التهديد المحتملة.
ويحذر قائلاً: "على الرغم من أن CRA قد لا تطلب تفاصيل عميقة حول الثغرة الأمنية، فإن حقيقة وجود واحدة منها كافية الآن لدفع الجهات الفاعلة في مجال التهديد إلى التحقيق والاختبار والعمل على العثور على استغلال نشط".
ومن وجهة نظره، لا ينبغي أيضًا الإبلاغ عن الثغرة الأمنية إلى أي حكومة فردية أو الاتحاد الأوروبي - حيث أن اشتراط ذلك سيؤدي إلى تقليل ثقة المستهلك والإضرار بالتجارة بسبب مخاطر تجسس الدولة القومية.
"الإفصاح مهم - بالتأكيد. "ولكن يجب علينا أن نزن إيجابيات وسلبيات متى وكيف ومقدار التفاصيل التي يتم تقديمها أثناء البحث والاكتشاف للتخفيف من المخاطر".
ويشير سميث إلى أن البديل لهذا "النهج غير المحسوب" هو مطالبة شركات البرمجيات بالاعتراف بنقاط الضعف المبلغ عنها خلال إطار زمني محدد ولكن سريع، ثم مطالبتها بتقديم تقرير عن التقدم المحرز إلى الكيان المكتشف بانتظام، مما يؤدي في النهاية إلى توفير إصلاح عام خلال فترة زمنية محددة. بحد أقصى 90 يومًا.
إرشادات حول كيفية تلقي والكشف عن معلومات الضعف، بالإضافة إلى التقنيات والاعتبارات السياسية لإعداد التقارير، تم توضيحها بالفعل في ISO / IEC 29147.
التأثيرات خارج نطاق الاتحاد الأوروبي
ويضيف غونتر أن الولايات المتحدة لديها فرصة للمراقبة والتعلم ثم تطوير سياسات مستنيرة للأمن السيبراني، بالإضافة إلى الاستعداد بشكل استباقي لأي تداعيات محتملة إذا تحركت أوروبا للأمام بسرعة كبيرة.
وتقول: "بالنسبة للشركات الأمريكية، فإن هذا التطور له أهمية قصوى". "تعمل العديد من الشركات الأمريكية على نطاق عالمي، والتحولات التنظيمية في الاتحاد الأوروبي يمكن أن تؤثر على عملياتها العالمية."
وتشير إلى أن التأثير المضاعف للقرارات التنظيمية للاتحاد الأوروبي، كما يتضح من تأثير القانون العام لحماية البيانات (GDPR) على CCPA و قوانين الخصوصية الأمريكية الأخرىويشير إلى أن القرارات الأوروبية يمكن أن تنذر باعتبارات تنظيمية مماثلة في الولايات المتحدة.
ويحذر غونتر من أن "أي ثغرة يتم الكشف عنها على عجل بسبب لوائح الاتحاد الأوروبي لا تحصر مخاطرها في أوروبا". "سوف يتم أيضًا كشف الأنظمة الأمريكية التي تستخدم نفس البرنامج."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/edge/security-pros-warn-that-eu-vulnerability-disclosure-rule-is-risky
- :لديها
- :يكون
- :ليس
- :أين
- 11
- 24
- 50
- 7
- a
- من نحن
- إطلاقا
- الأكاديمية
- الوصول
- نقر
- في
- عمل
- نشط
- بنشاط
- الجهات الفاعلة
- وبالإضافة إلى ذلك
- يضيف
- وكالات
- هدف
- السماح
- سابقا
- أيضا
- البديل
- أمريكي
- من بين
- an
- و
- والبنية التحتية
- أي وقت
- اى شى
- نقدر
- نهج
- اقتراب
- هي
- يمكن القول
- تجادل
- تنشأ
- ARM
- البند
- AS
- تقييم
- At
- مهاجمة
- جمهور
- متاح
- الى الخلف
- الرصيد
- BE
- قبل
- وراء
- يجري
- اعتقد
- Beyond
- أوسع
- لكن
- by
- CAN
- قدرات
- يحذر
- CCPA
- مركز
- الرئيس التنفيذي
- التحديات
- المواطنين
- تخليص
- جدير بالثناء
- تجارة
- الشركات
- اهتمامات
- الثقة
- سلبيات
- النتائج
- نظر
- الاعتبارات
- مستهلك
- منسق
- الشركات
- استطاع
- نتائج عكسية
- CRA
- خلق
- حرج
- حالياًّ
- الانترنت
- الأمن السيبراني
- قاعدة البيانات
- يوم
- أيام
- القرارات
- عميق
- اعتمادا
- التفاصيل
- مفصلة
- تفاصيل
- تطوير
- التطوير التجاري
- الأجهزة
- رقمي
- مدير المدارس
- كشف
- إفشاء
- اكتشاف
- اكتشاف
- do
- لا توجد الآن
- الأبواب
- اثنان
- أثناء
- تأثير
- توظيف
- تمكين
- تمكين
- يشجع
- تعزيز
- كاف
- ضمان
- كيان
- EU
- أوروبا
- المجلة الأوروبية
- الإتحاد الأوربي
- الاتحاد الأوروبي (EU)
- حتى
- يتضح
- استغلال
- استغلال
- استغلال
- استغلال
- مكشوف
- حقيقة
- حل
- ويركز
- في حالة
- إلى الأمام
- تبدأ من
- إضافي
- GDPR
- دولار فقط واحصل على خصم XNUMX% على جميع
- معطى
- العالمية
- نطاق عالمي
- شراء مراجعات جوجل
- حكومة
- الوكالات الحكومية
- الحكومات
- نعمة
- تجمع
- يملك
- وجود
- he
- له
- ساعات العمل
- كيفية
- كيفية
- لكن
- HTTPS
- if
- التأثير
- آثار
- أهمية
- أهمية
- in
- تتضمن
- شامل
- فرد
- الأفراد
- العالمية
- تأثير
- معلومات
- البنية التحتية
- رؤيتنا
- نية
- مصلحة
- مسائل
- IT
- أمن تكنولوجيا المعلومات
- انها
- JPG
- علم
- معروف
- التسريبات
- تعلم
- تعلم
- يترك
- شرعي
- أقل
- خطاب
- مدير
- كثير
- أقصى
- مايو..
- الصغير
- سوء استخدام
- تخفيف
- الأكثر من ذلك
- التحركات
- كثيرا
- يجب
- دولة
- الدولة القومية
- محليات
- الأمن القومي
- جديد
- لا
- ملاحظة
- إعلام
- الآن
- كثير
- رصد
- of
- هجومي
- on
- ONE
- فقط
- جاكيت
- طريقة التوسع
- عمليات
- الفرصة
- or
- المنظمات
- خارج
- أوجز
- على مدى
- أساسي
- بقعة
- بقع
- الترقيع
- فترة
- فردي
- منظور
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- نقاط
- سياسات الخصوصية والبيع
- سياسة
- محتمل
- تمهيدي
- إعداد
- يقدم
- منع
- أولويات
- خصوصية
- خاص
- الشركات الخاصة
- عملية المعالجة
- المنتجات
- المهنيين
- التقدّم
- بارز
- المقترح
- الإيجابيات
- حماية
- المقدمة
- توفير
- جمهور
- الناشرين
- نشر
- أغراض
- وضع
- بسرعة
- رفع
- تداعيات
- تخفيض
- تقليص
- بغض النظر
- بانتظام
- قوانين
- المنظمين
- تقرير
- وذكرت
- التقارير
- ممثلو
- تطلب
- المتطلبات الأساسية
- يتطلب
- بحث
- الباحثين
- مرونة
- مسؤول
- القيود
- تموج
- المخاطرة
- المخاطر
- محفوف بالمخاطر
- قاعدة
- s
- نفسه
- يقول
- حجم
- الثاني
- أمن
- انظر تعريف
- كبير
- طقم
- حاد
- هي
- التحولات
- ينبغي
- الموقعين
- وقعت
- مماثل
- تطبيقات الكمبيوتر
- بعض
- قريبا
- محدد
- تجسس
- بداية
- ابتداء
- الولايه او المحافظه
- المحافظة
- الحالة
- بعد ذلك
- وتقترح
- المراقبة
- نظام
- أنظمة
- تقنيات
- الاختبار
- أن
- •
- من مشاركة
- منهم
- then
- هناك.
- هم
- الثالث
- التهديد
- الجهات التهديد
- التهديدات
- الوقت
- إطار زمني
- إلى
- سويا
- جدا
- تقليديا
- قادة الإيمان
- اكثر شيوعا
- في النهاية
- غير قادر
- تقويض
- فهم
- الاتحاد
- آخر التحديثات
- إلحاح
- us
- تستخدم
- استخدام
- متفاوتة
- الباعة
- حيوي
- نقاط الضعف
- الضعف
- معلومات الضعف
- تريد
- طريق..
- we
- وزن
- حسن
- متى
- التي
- في حين
- من الذى
- على نطاق أوسع
- سوف
- نافذة
- مع
- في غضون
- بدون
- للعمل
- العمل معا
- عامل
- سوف
- زفيرنت