يحذر محترفو الأمن من أن قاعدة الكشف عن نقاط الضعف في الاتحاد الأوروبي محفوفة بالمخاطر

قد يطلب الاتحاد الأوروبي (EU) قريبًا من ناشري البرامج الكشف عن نقاط الضعف غير المصححة للوكالات الحكومية في غضون 24 ساعة من الاستغلال. يريد العديد من المتخصصين في مجال أمن تكنولوجيا المعلومات إعادة النظر في هذه القاعدة الجديدة، المنصوص عليها في المادة 11 من قانون المرونة السيبرانية (CRA) للاتحاد الأوروبي.

تتطلب القاعدة من البائعين الكشف عن معرفتهم بوجود ثغرة أمنية يتم استغلالها بشكل نشط خلال يوم واحد من التعرف عليه، بغض النظر عن حالة التصحيح. ويرى بعض المتخصصين في مجال الأمن إمكانية قيام الحكومات بإساءة استخدام متطلبات الكشف عن الثغرات الأمنية لأغراض الاستخبارات أو المراقبة.

في رسالة مفتوحة موقعة من قبل 50 متخصصًا بارزًا في مجال الأمن السيبراني في الصناعة والأوساط الأكاديمية، من بينهم ممثلون عن Arm وGoogle وTrend Micro، يقول الموقعون إن فترة الـ 24 ساعة ليست وقتًا كافيًا - وستفتح أيضًا الأبواب أمام الخصوم الذين يتطفلون عليها. نقاط الضعف دون السماح للمؤسسات بالوقت الكافي لإصلاح المشكلات.

وجاء في الرسالة: "في حين أننا نقدر هدف CRA المتمثل في تعزيز الأمن السيبراني في أوروبا وخارجها، فإننا نعتقد أن الأحكام الحالية بشأن الكشف عن الثغرات الأمنية تؤدي إلى نتائج عكسية وستخلق تهديدات جديدة تقوض أمن المنتجات الرقمية والأفراد الذين يستخدمونها".

يقول جوبي رامامورثي، كبير مديري الأمن ومركز الخليج للأبحاث في شركة Symmetry Systems، إنه لا يوجد خلاف حول مدى إلحاح تصحيح الثغرات الأمنية. وتتركز المخاوف على الإعلان عن نقاط الضعف قبل توفر التحديثات، لأن ذلك يترك المؤسسات عرضة لخطر الهجوم وغير قادرة على فعل أي شيء لمنعه.

يقول رامامورثي: "إن نشر معلومات الثغرة الأمنية قبل التصحيح أثار مخاوف من أنها قد تتيح المزيد من استغلال الأنظمة أو الأجهزة غير المصححة وتعريض الشركات الخاصة والمواطنين لمزيد من المخاطر".

إعطاء الأولوية للتصحيح على المراقبة

تقول كالي غوينثر، المدير الأول لأبحاث التهديدات السيبرانية في Critical Start، إن الهدف من قانون المرونة السيبرانية للاتحاد الأوروبي يستحق الثناء، ولكن من الضروري النظر في التداعيات الأوسع والعواقب المحتملة غير المقصودة لوصول الحكومات إلى معلومات الضعف قبل أن تتوفر التحديثات.

وتقول: "للحكومات مصلحة مشروعة في ضمان الأمن القومي". "ومع ذلك، فإن استخدام نقاط الضعف لأغراض استخباراتية أو قدرات هجومية يمكن أن يعرض المواطنين والبنية التحتية للتهديدات."

وتقول إنه يجب تحقيق التوازن حيث تعطي الحكومات الأولوية لتصحيح الأنظمة وحمايتها على حساب استغلال نقاط الضعف، واقترحت بعض الأساليب البديلة للكشف عن نقاط الضعف، بدءًا من الكشف المتدرج.

يقول غونتر: "اعتمادًا على مدى خطورة الثغرة الأمنية وتأثيرها، يمكن تحديد أطر زمنية مختلفة للكشف عنها". "قد يكون لنقاط الضعف الحرجة فترة زمنية أقصر، في حين يمكن منح المشكلات الأقل خطورة مزيدًا من الوقت."

البديل الثاني يتعلق بالإخطار الأولي، حيث يمكن إعطاء البائعين إشعارًا أوليًا، مع فترة سماح قصيرة قبل الكشف عن الثغرة الأمنية التفصيلية لجمهور أوسع.

وتركز الطريقة الثالثة على الكشف المنسق عن نقاط الضعف، وهو ما يشجع على إنشاء نظام يعمل فيه الباحثون والبائعين والحكومات معًا لتقييم نقاط الضعف وتصحيحها والكشف عنها بشكل مسؤول.

وتضيف أن أي قاعدة يجب أن تتضمن بنودًا صريحة تحظر إساءة استخدام نقاط الضعف التي تم الكشف عنها لأغراض المراقبة أو الأغراض الهجومية.

وتقول: "بالإضافة إلى ذلك، يجب أن يقتصر الوصول إلى قاعدة البيانات على مجموعة مختارة فقط من الموظفين الحاصلين على التصريح والتدريب المناسبين، مما يقلل من خطر التسربات أو سوء الاستخدام". "حتى مع وجود بنود وقيود صريحة، هناك العديد من التحديات والمخاطر التي يمكن أن تنشأ."

متى وكيف وكم يجب الكشف عنه

يشير جون أ. سميث، الرئيس التنفيذي في Conversant Group، إلى أن الكشف المسؤول عن الثغرات الأمنية هو عملية تضمنت، تقليديًا، نهجًا مدروسًا مكّن المؤسسات والباحثين الأمنيين من فهم المخاطر وتطوير التصحيحات قبل الكشف عن الثغرة الأمنية لجهات التهديد المحتملة.

ويحذر قائلاً: "على الرغم من أن CRA قد لا تطلب تفاصيل عميقة حول الثغرة الأمنية، فإن حقيقة وجود واحدة منها كافية الآن لدفع الجهات الفاعلة في مجال التهديد إلى التحقيق والاختبار والعمل على العثور على استغلال نشط".

ومن وجهة نظره، لا ينبغي أيضًا الإبلاغ عن الثغرة الأمنية إلى أي حكومة فردية أو الاتحاد الأوروبي - حيث أن اشتراط ذلك سيؤدي إلى تقليل ثقة المستهلك والإضرار بالتجارة بسبب مخاطر تجسس الدولة القومية.

"الإفصاح مهم - بالتأكيد. "ولكن يجب علينا أن نزن إيجابيات وسلبيات متى وكيف ومقدار التفاصيل التي يتم تقديمها أثناء البحث والاكتشاف للتخفيف من المخاطر".

ويشير سميث إلى أن البديل لهذا "النهج غير المحسوب" هو مطالبة شركات البرمجيات بالاعتراف بنقاط الضعف المبلغ عنها خلال إطار زمني محدد ولكن سريع، ثم مطالبتها بتقديم تقرير عن التقدم المحرز إلى الكيان المكتشف بانتظام، مما يؤدي في النهاية إلى توفير إصلاح عام خلال فترة زمنية محددة. بحد أقصى 90 يومًا.

إرشادات حول كيفية تلقي والكشف عن معلومات الضعف، بالإضافة إلى التقنيات والاعتبارات السياسية لإعداد التقارير، تم توضيحها بالفعل في ISO / IEC 29147.

التأثيرات خارج نطاق الاتحاد الأوروبي

ويضيف غونتر أن الولايات المتحدة لديها فرصة للمراقبة والتعلم ثم تطوير سياسات مستنيرة للأمن السيبراني، بالإضافة إلى الاستعداد بشكل استباقي لأي تداعيات محتملة إذا تحركت أوروبا للأمام بسرعة كبيرة.

وتقول: "بالنسبة للشركات الأمريكية، فإن هذا التطور له أهمية قصوى". "تعمل العديد من الشركات الأمريكية على نطاق عالمي، والتحولات التنظيمية في الاتحاد الأوروبي يمكن أن تؤثر على عملياتها العالمية."

وتشير إلى أن التأثير المضاعف للقرارات التنظيمية للاتحاد الأوروبي، كما يتضح من تأثير القانون العام لحماية البيانات (GDPR) على CCPA و قوانين الخصوصية الأمريكية الأخرىويشير إلى أن القرارات الأوروبية يمكن أن تنذر باعتبارات تنظيمية مماثلة في الولايات المتحدة.

ويحذر غونتر من أن "أي ثغرة يتم الكشف عنها على عجل بسبب لوائح الاتحاد الأوروبي لا تحصر مخاطرها في أوروبا". "سوف يتم أيضًا كشف الأنظمة الأمريكية التي تستخدم نفس البرنامج."

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/edge/security-pros-warn-that-eu-vulnerability-disclosure-rule-is-risky