Uni Eropa (UE) mungkin akan segera mewajibkan penerbit perangkat lunak untuk mengungkapkan kerentanan yang belum ditambal kepada lembaga pemerintah dalam waktu 24 jam setelah eksploitasi. Banyak profesional keamanan TI menginginkan peraturan baru ini, yang ditetapkan dalam Pasal 11 Undang-Undang Ketahanan Siber (Cyber โโResilience Act/CRA) UE, dipertimbangkan kembali.
Aturan tersebut mengharuskan vendor untuk mengungkapkan bahwa mereka mengetahui kerentanan yang sedang dieksploitasi secara aktif dalam satu hari setelah mempelajarinya, apa pun status tambalannya. Beberapa profesional keamanan melihat potensi pemerintah menyalahgunakan persyaratan pengungkapan kerentanan untuk tujuan intelijen atau pengawasan.
Dalam surat terbuka yang ditandatangani oleh 50 profesional keamanan siber terkemuka di industri dan akademisi, di antaranya perwakilan dari Arm, Google, dan Trend Micro, para penandatangan berpendapat bahwa jangka waktu 24 jam bukanlah waktu yang cukup โ dan juga akan membuka pintu bagi pihak-pihak yang tidak bertanggung jawab untuk ikut serta. kerentanan tanpa memberikan cukup waktu bagi organisasi untuk memperbaiki masalah tersebut.
โMeskipun kami mengapresiasi tujuan CRA untuk meningkatkan keamanan siber di Eropa dan sekitarnya, kami percaya bahwa ketentuan pengungkapan kerentanan yang ada saat ini bersifat kontraproduktif dan akan menciptakan ancaman baru yang melemahkan keamanan produk digital dan individu yang menggunakannya,โ isi surat tersebut.
Gopi Ramamoorthy, direktur senior keamanan dan GRC di Symmetry Systems, mengatakan tidak ada perbedaan pendapat mengenai pentingnya menambal kerentanan. Kekhawatirannya berpusat pada publikasi kerentanan sebelum pembaruan tersedia, karena hal ini membuat organisasi berisiko terkena serangan dan tidak dapat melakukan apa pun untuk mencegahnya.
โMempublikasikan informasi kerentanan sebelum melakukan patching telah menimbulkan kekhawatiran bahwa hal ini dapat memungkinkan eksploitasi lebih lanjut terhadap sistem atau perangkat yang belum dipatch dan menempatkan perusahaan swasta, dan masyarakat, pada risiko yang lebih besar,โ kata Ramamoorthy.
Prioritaskan Patching Dibanding Pengawasan
Callie Guenther, manajer senior penelitian ancaman siber di Critical Start, mengatakan niat di balik Undang-Undang Ketahanan Siber UE patut dipuji, namun penting untuk mempertimbangkan implikasi yang lebih luas dan potensi konsekuensi yang tidak diinginkan dari pemerintah yang memiliki akses terhadap informasi kerentanan. sebelum pembaruan tersedia.
โPemerintah mempunyai kepentingan yang sah dalam menjamin keamanan nasional,โ katanya. โNamun, menggunakan kerentanan untuk tujuan intelijen atau kemampuan ofensif dapat membuat warga negara dan infrastruktur rentan terhadap ancaman.โ
Dia mengatakan keseimbangan harus dicapai dimana pemerintah memprioritaskan penambalan dan perlindungan sistem dibandingkan mengeksploitasi kerentanan, dan mengusulkan beberapa pendekatan alternatif untuk pengungkapan kerentanan, dimulai dengan pengungkapan berjenjang.
โTergantung pada tingkat keparahan dan dampak kerentanan, jangka waktu pengungkapan yang berbeda-beda dapat ditetapkan,โ kata Guenther. โKerentanan yang kritis mungkin memiliki jangka waktu yang lebih singkat, sementara masalah yang tidak terlalu parah dapat diberikan waktu yang lebih lama.โ
Alternatif kedua adalah pemberitahuan awal, dimana vendor dapat diberikan pemberitahuan awal, dengan masa tenggang singkat sebelum rincian kerentanan diungkapkan kepada khalayak yang lebih luas.
Cara ketiga berfokus pada pengungkapan kerentanan yang terkoordinasi, yang mendorong sistem di mana peneliti, vendor, dan pemerintah bekerja sama untuk menilai, menambal, dan mengungkapkan kerentanan secara bertanggung jawab.
Dia menambahkan aturan apa pun harus menyertakan klausul eksplisit untuk melarang penyalahgunaan kerentanan yang diungkapkan untuk tujuan pengawasan atau ofensif.
โSelain itu, hanya personel terpilih dengan izin dan pelatihan yang memadai yang boleh memiliki akses ke database, sehingga mengurangi risiko kebocoran atau penyalahgunaan,โ katanya. โBahkan dengan klausul dan pembatasan yang jelas, terdapat banyak tantangan dan risiko yang dapat muncul.โ
Kapan, Bagaimana, dan Berapa Banyak yang Harus Diungkapkan
John A. Smith, CEO di Conversant Group, mencatat bahwa pengungkapan kerentanan yang bertanggung jawab adalah proses yang, secara tradisional, mencakup pendekatan bijaksana yang memungkinkan organisasi dan peneliti keamanan memahami risiko dan mengembangkan perbaikan sebelum memaparkan kerentanan kepada pelaku ancaman potensial.
โMeskipun CRA mungkin tidak memerlukan rincian mendalam tentang kerentanan tersebut, fakta bahwa kerentanan tersebut diketahui sudah cukup untuk membuat pelaku ancaman menyelidiki, menguji, dan berupaya menemukan eksploitasi aktif,โ dia memperingatkan.
Dari sudut pandangnya, kerentanan ini juga tidak boleh dilaporkan kepada pemerintah mana pun atau Uni Eropa โ karena hal ini akan mengurangi kepercayaan konsumen dan merusak perdagangan karena adanya risiko mata-mata dari suatu negara.
โPengungkapan itu penting โ tentu saja. Namun kita harus mempertimbangkan pro dan kontra mengenai kapan, bagaimana, dan seberapa banyak detail yang diberikan selama penelitian dan penemuan untuk memitigasi risiko,โ katanya.
Smith mencatat bahwa alternatif dari โpendekatan yang bisa dibilang spontanโ ini adalah dengan mewajibkan perusahaan perangkat lunak untuk mengakui kerentanan yang dilaporkan dalam jangka waktu tertentu namun dipercepat, dan kemudian meminta mereka untuk melaporkan kembali kemajuannya kepada entitas yang menemukan secara teratur, yang pada akhirnya memberikan perbaikan publik dalam waktu singkat. maksimal 90 hari.
Pedoman tentang cara melakukannya menerima dan mengungkapkan informasi kerentanan, serta teknik dan pertimbangan kebijakan pelaporan, telah diuraikan dalam ISO / IEC 29147.
Dampak di Luar UE
Guenther menambahkan bahwa AS memiliki kesempatan untuk mengamati, mempelajari, dan kemudian mengembangkan kebijakan keamanan siber yang terinformasi dengan baik, serta secara proaktif mempersiapkan segala potensi konsekuensi jika Eropa bergerak terlalu cepat.
โBagi perusahaan-perusahaan AS, perkembangan ini sangat penting,โ katanya. โBanyak perusahaan Amerika beroperasi dalam skala global, dan perubahan peraturan di UE dapat mempengaruhi operasi global mereka.โ
Dia menunjukkan bahwa efek riak dari keputusan peraturan UE, sebagaimana dibuktikan oleh pengaruh GDPR terhadap CCPA dan undang-undang privasi AS lainnya, menunjukkan bahwa keputusan di Eropa dapat menunjukkan pertimbangan peraturan serupa di AS.
โKerentanan apa pun yang diungkapkan secara tergesa-gesa karena peraturan UE tidak membatasi risikonya hanya di Eropa,โ Guenther memperingatkan. โSistem AS yang menggunakan perangkat lunak yang sama juga akan terekspos.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/edge/security-pros-warn-that-eu-vulnerability-disclosure-rule-is-risky
- :memiliki
- :adalah
- :bukan
- :Di mana
- 11
- 24
- 50
- 7
- a
- Tentang Kami
- benar
- Akademi
- mengakses
- mengakui
- di seluruh
- Bertindak
- aktif
- aktif
- aktor
- Selain itu
- Menambahkan
- lembaga
- tujuan
- Membiarkan
- sudah
- juga
- alternatif
- Amerika
- antara
- an
- dan
- dan infrastruktur
- Apa pun
- apa saja
- menghargai
- pendekatan
- pendekatan
- ADALAH
- bisa dibilang
- membantah
- timbul
- ARM
- artikel
- AS
- menilai
- At
- menyerang
- para penonton
- tersedia
- kembali
- Saldo
- BE
- sebelum
- di belakang
- makhluk
- Percaya
- Luar
- lebih luas
- tapi
- by
- CAN
- kemampuan
- peringatan
- CCPA
- pusat
- ceo
- tantangan
- Warga
- izin
- terpuji
- Perdagangan
- Perusahaan
- Kekhawatiran
- kepercayaan
- Kekurangan
- Konsekuensi
- Mempertimbangkan
- pertimbangan
- konsumen
- dikoordinasikan
- Perusahaan
- bisa
- kontraproduktif
- CRA
- membuat
- kritis
- terbaru
- maya
- Keamanan cyber
- Basis Data
- hari
- Hari
- keputusan
- mendalam
- Tergantung
- rinci
- terperinci
- rincian
- mengembangkan
- Pengembangan
- Devices
- digital
- Kepala
- Membuka
- penyingkapan
- menemukan
- penemuan
- do
- doesn
- pintu
- dua
- selama
- efek
- mempekerjakan
- aktif
- diaktifkan
- mendorong
- mempertinggi
- cukup
- memastikan
- entitas
- EU
- Eropa
- Eropa
- Uni Eropa
- Uni Eropa (UE)
- Bahkan
- dibuktikan
- Mengeksploitasi
- eksploitasi
- dieksploitasi
- mengeksploitasi
- terkena
- fakta
- Menemukan
- Memperbaiki
- berfokus
- Untuk
- Depan
- dari
- lebih lanjut
- GDPR
- mendapatkan
- diberikan
- Aksi
- skala global
- Pemerintah
- instansi pemerintah
- Pemerintah
- rahmat
- Kelompok
- Memiliki
- memiliki
- he
- -nya
- JAM
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- Namun
- HTTPS
- if
- Dampak
- implikasi
- pentingnya
- penting
- in
- memasukkan
- termasuk
- sendiri-sendiri
- individu
- industri
- mempengaruhi
- informasi
- Infrastruktur
- Intelijen
- maksud
- bunga
- masalah
- IT
- itu keamanan
- NYA
- jpg
- Tahu
- dikenal
- kebocoran
- BELAJAR
- pengetahuan
- Meninggalkan
- sah
- kurang
- surat
- manajer
- banyak
- maksimum
- Mungkin..
- mikro
- penyalahgunaan
- Mengurangi
- lebih
- bergerak
- banyak
- harus
- bangsa
- Negara bangsa
- nasional
- keamanan nasional
- New
- tidak
- Catatan
- pemberitahuan
- sekarang
- banyak sekali
- mengamati
- of
- serangan
- on
- ONE
- hanya
- Buka
- beroperasi
- Operasi
- Kesempatan
- or
- organisasi
- di luar
- diuraikan
- lebih
- terpenting
- tambalan
- Patch
- Menambal
- periode
- Personil
- perspektif
- plato
- Kecerdasan Data Plato
- Data Plato
- poin
- Kebijakan
- kebijaksanaan
- potensi
- pendahuluan
- Mempersiapkan
- menyajikan
- mencegah
- Prioritaskan
- pribadi
- swasta
- Perusahaan pribadi
- proses
- Produk
- profesional
- Kemajuan
- menonjol
- diusulkan
- PROS
- melindungi
- disediakan
- menyediakan
- publik
- penerbit
- Penerbitan
- tujuan
- menempatkan
- segera
- menonjol
- akibat
- menurunkan
- mengurangi
- Bagaimanapun juga
- secara teratur
- peraturan
- regulator
- melaporkan
- Dilaporkan
- Pelaporan
- Perwakilan
- membutuhkan
- Persyaratan
- membutuhkan
- penelitian
- peneliti
- ketahanan
- tanggung jawab
- pembatasan
- Ripple
- Risiko
- risiko
- berisiko
- Aturan
- s
- sama
- mengatakan
- Skala
- Kedua
- keamanan
- melihat
- senior
- set
- parah
- dia
- Pergeseran
- harus
- Penandatangan
- tertanda
- mirip
- Perangkat lunak
- beberapa
- segera
- ditentukan
- spionase
- awal
- Mulai
- Negara
- Negara
- Status
- Kemudian
- Menyarankan
- pengawasan
- sistem
- sistem
- teknik
- pengujian
- bahwa
- Grafik
- mereka
- Mereka
- kemudian
- Sana.
- mereka
- Ketiga
- ini
- ancaman
- aktor ancaman
- ancaman
- waktu
- jangka waktu
- untuk
- bersama
- terlalu
- secara tradisional
- Pelatihan
- kecenderungan
- Akhirnya
- tidak mampu
- Merusak
- memahami
- serikat
- Pembaruan
- urgensi
- us
- menggunakan
- menggunakan
- bervariasi
- vendor
- vital
- Kerentanan
- kerentanan
- informasi kerentanan
- ingin
- Cara..
- we
- Menimbang
- BAIK
- ketika
- yang
- sementara
- SIAPA
- lebih luas
- akan
- jendela
- dengan
- dalam
- tanpa
- Kerja
- bekerja sama
- kerja
- akan
- zephyrnet.dll
