האיחוד האירופי (האיחוד האירופי) עשוי לדרוש בקרוב ממפרסמי תוכנה לחשוף פרצות שלא תואמו לסוכנויות ממשלתיות תוך 24 שעות מרגע ניצול. מומחי אבטחת IT רבים רוצים שהכלל החדש הזה, הקבוע בסעיף 11 של חוק חוסן הסייבר (CRA) של האיחוד האירופי, ייבחן מחדש.
הכלל מחייב ספקים לחשוף שהם יודעים על פגיעות המנוצלת באופן פעיל תוך יום אחד לאחר שנודע על כך, ללא קשר למצב התיקון. חלק מאנשי מקצוע האבטחה רואים את הפוטנציאל של ממשלות לנצל לרעה את דרישות גילוי הפגיעות למטרות מודיעין או מעקב.
במכתב פתוח שנחתם על ידי 50 אנשי מקצוע בולטים בתחום אבטחת הסייבר ברחבי התעשייה והאקדמיה, ביניהם נציגי Arm, Google ו-Trend Micro, החותמים טוענים כי חלון 24 שעות ביממה אינו מספיק זמן - והוא גם יפתח דלתות בפני יריבים. את נקודות התורפה מבלי לאפשר לארגונים מספיק זמן לתקן את הבעיות.
"למרות שאנו מעריכים את המטרה של ה-CRA לשפר את אבטחת הסייבר באירופה ומחוצה לה, אנו מאמינים כי ההוראות הנוכחיות על חשיפת פגיעות אינן מועילות וייצרו איומים חדשים שיערערו את אבטחת המוצרים הדיגיטליים והאנשים המשתמשים בהם", נכתב במכתב.
גופי רממורתי, מנהל בכיר לאבטחה ו-GRC ב-Symmetry Systems, אומר שאין מחלוקת לגבי הדחיפות של תיקון נקודות התורפה. החששות מתמקדים בפרסום נקודות התורפה לפני שעדכונים זמינים, שכן הדבר מותיר ארגונים בסיכון להתקפה ואינם יכולים לעשות דבר כדי למנוע זאת.
"פרסום מידע הפגיעות לפני התיקון העלה חשש שהוא עשוי לאפשר ניצול נוסף של המערכות או המכשירים שלא תוכדו ולהעמיד חברות פרטיות ואזרחים בסיכון נוסף", אומר Ramamourthy.
תעדוף תיקון על פני מעקב
קלי גינטר, מנהלת בכירה של חקר איומי סייבר ב-Critical Start, אומרת שהכוונה מאחורי חוק חוסן הסייבר של האיחוד האירופי ראויה לשבח, אך חיוני לשקול את ההשלכות הרחבות יותר ואת ההשלכות הבלתי רצויות הפוטנציאליות של ממשלות שיש לה גישה למידע על פגיעות לפני שעדכונים יהיו זמינים.
"לממשלות יש אינטרס לגיטימי להבטיח את הביטחון הלאומי", היא אומרת. "עם זאת, שימוש בנקודות תורפה ליכולות מודיעיניות או התקפיות עלול להשאיר אזרחים ותשתיות חשופים לאיומים".
לדבריה, יש להגיע לאיזון שבו ממשלות מתעדפות תיקון והגנה על מערכות על פני ניצול פגיעויות, והציעה כמה גישות חלופיות לחשיפת פגיעות, החל מחשיפה מדורגת.
"בהתאם לחומרת וההשפעה של פגיעות, ניתן לקבוע מסגרות זמן משתנות לחשיפה", אומר גינטר. "לחולשות קריטיות עשויות להיות חלון קצר יותר, בעוד שבעיות פחות חמורות יכולות לקבל יותר זמן."
חלופה שנייה נוגעת להודעה מוקדמת, שבה ניתן לתת לספקים הודעה מוקדמת, עם תקופת חסד קצרה לפני שהפגיעות המפורטת תיחשף לקהל רחב יותר.
דרך שלישית מתמקדת בחשיפת פגיעות מתואמת, המעודדת מערכת שבה חוקרים, ספקים וממשלות עובדים יחד כדי להעריך, לתקן ולחשוף פגיעויות בצורה אחראית.
היא מוסיפה שכל כלל חייב לכלול סעיפים מפורשים כדי לאסור שימוש לרעה בפגיעויות שנחשפו למטרות מעקב או פוגעניות.
"בנוסף, רק לצוות נבחר עם אישור והכשרה נאותים צריכה להיות גישה למסד הנתונים, מה שמפחית את הסיכון לדליפות או שימוש לרעה", היא אומרת. "אפילו עם סעיפים והגבלות מפורשים, ישנם אתגרים וסיכונים רבים שיכולים להתעורר."
מתי, איך וכמה לחשוף
ג'ון א. סמית', מנכ"ל ב-Conversant Group, מציין כי חשיפה אחראית של פגיעויות היא תהליך שכלל, באופן מסורתי, גישה מתחשבת שאפשרה לארגונים וחוקרי אבטחה להבין את הסיכון ולפתח תיקונים לפני חשיפת הפגיעות בפני גורמי איומים פוטנציאליים.
"למרות שה-CRA אולי לא ידרוש פרטים עמוקים על הפגיעות, העובדה שידוע כעת שהוא נוכח מספיקה כדי לגרום לשחקני איומים לחקור, לבדוק ולעבוד כדי למצוא ניצול פעיל", הוא מזהיר.
מנקודת המבט שלו, אין לדווח על הפגיעות לאף ממשלה בודדת או לאיחוד האירופי - דרישה לכך תפחית את אמון הצרכנים ותפגע במסחר עקב סיכוני ריגול של מדינות לאום.
"חשיפה חשובה - בהחלט. אבל אנחנו חייבים לשקול את היתרונות והחסרונות של מתי, איך וכמה פרטים מסופקים במהלך מחקר וגילוי כדי להפחית את הסיכון", הוא אומר.
סמית' מציין שחלופה ל"גישה מטומטמת" זו היא לדרוש מחברות תוכנה להכיר בפרצות שדווחו במסגרת זמן מוגדרת אך מזורזת, ולאחר מכן לדרוש מהן לדווח על התקדמות לישות המגלה באופן קבוע, ובסופו של דבר לספק תיקון פומבי בתוך מקסימום 90 ימים.
הנחיות כיצד לעשות זאת לקבל ולחשוף מידע על פגיעות, כמו גם טכניקות ושיקולי מדיניות לדיווח, כבר מפורטים ב ISO / IEC 29147.
השפעות מעבר לאיחוד האירופי
גינטר מוסיף שלארה"ב יש הזדמנות להתבונן, ללמוד, ולאחר מכן לפתח מדיניות אבטחת סייבר מושכלת, כמו גם להתכונן באופן יזום לכל השלכות אפשריות אם אירופה תתקדם מהר מדי.
"עבור חברות אמריקאיות, הפיתוח הזה הוא בעל חשיבות עליונה", היא אומרת. "תאגידים אמריקאים רבים פועלים בקנה מידה עולמי, ושינויים רגולטוריים באיחוד האירופי עלולים להשפיע על הפעילות הגלובלית שלהם".
היא מציינת כי ההשפעה הגלומה של החלטות הרגולציה של האיחוד האירופי, כפי שמעידה השפעת ה-GDPR על ה-CCPA ו- חוקי פרטיות אחרים בארה"ב, מציע שהחלטות אירופיות יכולות להקדים שיקולים רגולטוריים דומים בארה"ב.
"כל פגיעות שנחשפה בחיפזון עקב תקנות האיחוד האירופי אינה מגבילה את הסיכונים שלה לאירופה", מזהיר גינטר. "גם מערכות בארה"ב המשתמשות באותה תוכנה ייחשפו."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/edge/security-pros-warn-that-eu-vulnerability-disclosure-rule-is-risky
- :יש ל
- :הוא
- :לֹא
- :איפה
- 11
- 24
- 50
- 7
- a
- אודות
- בהחלט
- אקדמיה
- גישה
- הודה
- לרוחב
- לפעול
- פעיל
- באופן פעיל
- שחקנים
- בנוסף
- מוסיף
- סוכנויות
- המטרה
- מאפשר
- כְּבָר
- גם
- חלופה
- אֲמֶרִיקָאִי
- בין
- an
- ו
- תשתיות
- כל
- דבר
- להעריך
- גישה
- גישות
- ARE
- ניתן לטעון
- לטעון
- לְהִתְעוֹרֵר
- זרוע
- מאמר
- AS
- לְהַעֲרִיך
- At
- לתקוף
- קהל מאזינים
- זמין
- בחזרה
- איזון
- BE
- לפני
- מאחור
- להיות
- תאמינו
- מעבר
- רחב
- אבל
- by
- CAN
- יכולות
- זהירות
- CCPA
- מרכז
- מנכ"ל
- האתגרים
- אזרחים
- מרווח
- ראוי לשבח
- מסחר
- חברות
- דאגות
- אמון
- חסרונות
- השלכות
- לשקול
- שיקולים
- צרכן
- מתואם
- תאגידים
- יכול
- משיגות את התוצאה ההפוכה
- CRA
- לִיצוֹר
- קריטי
- נוֹכְחִי
- סייבר
- אבטחת סייבר
- מסד נתונים
- יְוֹם
- ימים
- החלטות
- עמוק
- תלוי
- פרט
- מְפוֹרָט
- פרטים
- לפתח
- צעצועי התפתחות
- התקנים
- דיגיטלי
- מְנַהֵל
- לחשוף
- חשיפה
- מגלה
- תגלית
- do
- לא איכפת
- דלתות
- ראוי
- בְּמַהֲלָך
- השפעה
- העסקת
- לאפשר
- מופעל
- מעודד את
- להגביר את
- מספיק
- הבטחתי
- ישות
- EU
- אירופה
- אֵירוֹפִּי
- האיחוד האירופי
- האיחוד האירופי (האיחוד האירופי)
- אֲפִילוּ
- עדות
- לנצל
- ניצול
- ומנוצל
- מנצל
- חשוף
- עובדה
- לסדר
- מתמקד
- בעד
- קדימה
- החל מ-
- נוסף
- GDPR
- לקבל
- נתן
- גלוֹבָּלִי
- קנה מידה גלובלי
- ממשלה
- משרדי ממשלה
- ממשלות
- חסד
- קְבוּצָה
- יש
- יש
- he
- שֶׁלוֹ
- שעות
- איך
- איך
- אולם
- HTTPS
- if
- פְּגִיעָה
- השלכות
- חשיבות
- חשוב
- in
- לכלול
- כלול
- בנפרד
- אנשים
- תעשייה
- להשפיע
- מידע
- תשתית
- מוֹדִיעִין
- כוונה
- אינטרס
- בעיות
- IT
- זה ביטחון
- שֶׁלָה
- jpg
- לדעת
- ידוע
- דליפות
- לִלמוֹד
- למידה
- יציאה
- לגיטימי
- פחות
- מכתב
- מנהל
- רב
- מקסימום
- מאי..
- מיקרו
- שימוש לרעה
- להקל
- יותר
- מהלכים
- הרבה
- צריך
- אוּמָה
- מדינת לאום
- לאומי
- ביטחון לאומי
- חדש
- לא
- הערות
- הודעה
- עַכשָׁיו
- רב
- להתבונן
- of
- מתקפה
- on
- ONE
- רק
- לפתוח
- להפעיל
- תפעול
- הזדמנות
- or
- ארגונים
- הַחוּצָה
- המתואר
- יותר
- הגדול ביותר
- תיקון
- טלאים
- תיקון
- תקופה
- כוח אדם
- פרספקטיבה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודות
- מדיניות
- מדיניות
- פוטנציאל
- מקדים
- להכין
- להציג
- למנוע
- תיעדוף
- פְּרָטִיוּת
- פְּרָטִי
- חברות פרטיות
- תהליך
- מוצרים
- אנשי מקצוע
- התקדמות
- בולט
- מוּצָע
- PROS
- אבטחה
- ובלבד
- מתן
- ציבורי
- המו"לים
- הוצאה לאור
- למטרות
- גם
- מהירות
- מורם
- השלכות
- להפחית
- הפחתה
- ללא קשר
- באופן קבוע
- תקנון
- רגולטורים
- לדווח
- דווח
- דווח
- נציגים
- לדרוש
- דרישות
- דורש
- מחקר
- חוקרים
- כושר התאוששות
- אחראי
- הגבלות
- אדוה
- הסיכון
- סיכונים
- מְסוּכָּן
- כלל
- s
- אותו
- אומר
- סולם
- שְׁנִיָה
- אבטחה
- לִרְאוֹת
- לחצני מצוקה לפנסיונרים
- סט
- קשה
- היא
- משמרות
- צריך
- חתומים
- חָתוּם
- דומה
- תוכנה
- כמה
- בקרוב
- מפורט
- ריגול
- התחלה
- החל
- מדינה
- הברית
- מצב
- כתוצאה מכך
- מציע
- מעקב
- מערכת
- מערכות
- טכניקות
- בדיקות
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אז
- שם.
- הֵם
- שְׁלִישִׁי
- זֶה
- איום
- איום שחקנים
- איומים
- זמן
- מסגרת זמן
- ל
- יַחַד
- גַם
- באופן מסורתי
- הדרכה
- מְגַמָה
- בסופו של דבר
- לא מסוגל
- מערער
- להבין
- התאחדות
- עדכונים
- דְחִיפוּת
- us
- להשתמש
- באמצעות
- משתנה
- ספקים
- חיוני
- פגיעויות
- פגיעות
- מידע על פגיעות
- רוצה
- דֶרֶך..
- we
- לשקול
- טוֹב
- מתי
- אשר
- בזמן
- מי
- רחב יותר
- יצטרך
- חלון
- עם
- בתוך
- לְלֹא
- תיק עבודות
- לעבוד יחד
- עובד
- היה
- זפירנט