Unia Europejska (UE) może wkrótce wymagać od wydawców oprogramowania ujawnienia niezałatanych luk agencjom rządowym w ciągu 24 godzin od wykorzystania. Wielu specjalistów ds. bezpieczeństwa IT chce ponownego rozważenia tej nowej zasady określonej w art. 11 unijnej ustawy o odporności cybernetycznej (CRA).
Zasada ta wymaga od dostawców ujawnienia, że wiedzą o aktywnie wykorzystywanej luce w ciągu jednego dnia od dowiedzenia się o tymniezależnie od statusu poprawki. Niektórzy specjaliści ds. bezpieczeństwa dostrzegają potencjał nadużywania przez rządy wymogów dotyczących ujawniania luk w zabezpieczeniach do celów wywiadowczych lub nadzoru.
W liście otwartym podpisanym przez 50 wybitnych specjalistów ds. cyberbezpieczeństwa z branży i środowiska akademickiego, w tym przedstawicieli Arm, Google i Trend Micro, sygnatariusze argumentują, że 24-godzinne okno to za mało czasu – a także otworzyłoby drzwi przeciwnikom wskakującym na luki w zabezpieczeniach, nie dając organizacjom wystarczającej ilości czasu na naprawienie problemów.
„Chociaż doceniamy cel agencji ratingowej, jakim jest zwiększenie cyberbezpieczeństwa w Europie i poza nią, uważamy, że obecne przepisy dotyczące ujawniania luk w zabezpieczeniach przyniosą efekt przeciwny do zamierzonego i stworzą nowe zagrożenia, które podważają bezpieczeństwo produktów cyfrowych i osób, które z nich korzystają” – czytamy w piśmie.
Gopi Ramamoorthy, starszy dyrektor ds. bezpieczeństwa i GRC w Symmetry Systems, twierdzi, że nie ma zgody co do pilności załatania luk. Obawy skupiają się na upublicznieniu luk przed udostępnieniem aktualizacji, ponieważ naraża to organizacje na ryzyko ataku i nie jest w stanie nic zrobić, aby temu zapobiec.
„Opublikowanie informacji o lukach przed łataniem wzbudziło obawy, że może umożliwić dalsze wykorzystanie niezałatanych systemów lub urządzeń i narazić prywatne firmy i obywateli na dalsze ryzyko” – mówi Ramamoorthy.
Przedstaw łatanie zamiast nadzoru
Callie Guenther, starsza menedżerka ds. badań nad zagrożeniami cybernetycznymi w firmie Critical Start, twierdzi, że cel stojący za unijną ustawą o odporności cybernetycznej jest godny pochwały, ale należy wziąć pod uwagę szersze implikacje i potencjalne niezamierzone konsekwencje posiadania przez rządy dostępu do informacji o lukach w zabezpieczeniach zanim aktualizacje będą dostępne.
„Rządy mają uzasadniony interes w zapewnianiu bezpieczeństwa narodowego” – mówi. „Jednak wykorzystanie luk w zabezpieczeniach do celów wywiadowczych lub ofensywnych może narazić obywateli i infrastrukturę na zagrożenia”.
Jej zdaniem należy znaleźć równowagę, w przypadku której rządy przedkładają łatanie i ochronę systemów nad wykorzystywanie luk w zabezpieczeniach, i zaproponowała alternatywne podejścia do ujawniania luk w zabezpieczeniach, zaczynając od ujawniania warstwowego.
„W zależności od wagi i wpływu luki można wyznaczyć różne ramy czasowe na jej ujawnienie” – mówi Guenther. „Krytyczne luki w zabezpieczeniach mogą mieć krótszy okres, podczas gdy mniej poważnym problemom można poświęcić więcej czasu”.
Druga alternatywa dotyczy wstępnego powiadomienia, w ramach którego dostawcy mogą otrzymać wstępne powiadomienie z krótkim okresem karencji, zanim szczegółowa luka zostanie ujawniona szerszemu gronu odbiorców.
Trzeci sposób skupia się na skoordynowanym ujawnianiu luk w zabezpieczeniach, co zachęca do stworzenia systemu, w którym badacze, dostawcy i rządy współpracują w celu odpowiedzialnej oceny, łatania i ujawniania luk.
Dodaje, że każda reguła musi zawierać wyraźne klauzule zabraniające niewłaściwego wykorzystywania ujawnionych luk w zabezpieczeniach do celów nadzoru lub obraźliwych.
„Dodatkowo dostęp do bazy danych powinien mieć wyłącznie wybrany personel z odpowiednimi uprawnieniami i przeszkoleniem, co zmniejsza ryzyko wycieków lub niewłaściwego użycia” – mówi. „Nawet w przypadku wyraźnych klauzul i ograniczeń może pojawić się wiele wyzwań i zagrożeń”.
Kiedy, jak i ile ujawnić
John A. Smith, dyrektor generalny Conversant Group, zauważa, że odpowiedzialne ujawnianie luk w zabezpieczeniach to proces, który tradycyjnie obejmuje przemyślane podejście, które umożliwia organizacjom i badaczom bezpieczeństwa zrozumienie ryzyka i opracowanie poprawek przed ujawnieniem luki potencjalnym podmiotom zagrażającym.
„Chociaż agencja ratingowa może nie wymagać szczegółowych informacji na temat luki w zabezpieczeniach, fakt, że obecnie wiadomo, że jest ona obecna, wystarczy, aby podmioty zagrażające przeprowadziły sondowanie, testowanie i pracę nad znalezieniem aktywnego exploita” – ostrzega.
Z jego punktu widzenia luki nie należy również zgłaszać żadnemu rządowi ani UE – wymaganie tego zmniejszy zaufanie konsumentów i zaszkodzi handlowi ze względu na ryzyko szpiegostwa ze strony państwa narodowego.
„Ujawnienie informacji jest ważne – absolutnie. Musimy jednak rozważyć zalety i wady dotyczące tego, kiedy, w jaki sposób i ile szczegółów udostępnia się podczas badań i odkryć, aby ograniczyć ryzyko” – mówi.
Smith zauważa, że alternatywą dla tego „prawdopodobnie odruchowego podejścia” jest nałożenie na producentów oprogramowania obowiązku potwierdzania zgłoszonych luk w zabezpieczeniach w określonym, ale przyspieszonym terminie, a następnie wymaganie od nich regularnego informowania podmiotu odkrywającego o postępach, co ostatecznie zapewnia publiczną poprawkę w ciągu maksymalnie 90 dni.
Wskazówki, jak to zrobić otrzymywać i ujawniać informacje o lukach w zabezpieczeniach, a także techniki i względy polityczne dotyczące raportowania zostały już opisane w ISO / IEC 29147.
Wpływ poza UE
Guenther dodaje, że Stany Zjednoczone mają okazję obserwować, uczyć się, a następnie opracowywać oparte na faktach polityki cyberbezpieczeństwa, a także aktywnie przygotowywać się na wszelkie potencjalne konsekwencje, jeśli Europa pójdzie naprzód zbyt szybko.
„Dla amerykańskich firm ten rozwój ma ogromne znaczenie” – mówi. „Wiele amerykańskich korporacji działa w skali globalnej, a zmiany regulacyjne w UE mogą mieć wpływ na ich globalną działalność”.
Zwraca ona uwagę, że efekt domina decyzji regulacyjnych UE, o czym świadczy wpływ RODO na ustawę CCPA i inne amerykańskie przepisy dotyczące prywatności, sugeruje, że decyzje europejskie mogą zwiastować podobne względy regulacyjne w USA.
„Jakakolwiek luka ujawniona w pośpiechu ze względu na regulacje UE nie ogranicza ryzyka do Europy” – ostrzega Guenther. „Ujawnione zostałyby również amerykańskie systemy korzystające z tego samego oprogramowania”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/edge/security-pros-warn-that-eu-vulnerability-disclosure-rule-is-risky
- :ma
- :Jest
- :nie
- :Gdzie
- 11
- 24
- 50
- 7
- a
- O nas
- absolutnie
- Akademia
- dostęp
- uznać
- w poprzek
- działać
- aktywny
- aktywnie
- aktorzy
- do tego
- Dodaje
- agencje
- zmierzać
- Pozwalać
- już
- również
- alternatywny
- amerykański
- wśród
- an
- i
- i infrastruktura
- każdy
- wszystko
- doceniać
- podejście
- awanse
- SĄ
- prawdopodobnie
- argumentować
- powstać
- ARM
- artykuł
- AS
- oszacować
- At
- atakować
- publiczność
- dostępny
- z powrotem
- Bilans
- BE
- zanim
- za
- jest
- uwierzyć
- Poza
- szerszy
- ale
- by
- CAN
- możliwości
- przestrogi
- CCPA
- Centrum
- ceo
- wyzwania
- Obywatele
- luz
- chwalebny
- Handel
- Firmy
- Obawy
- pewność siebie
- Wady
- Konsekwencje
- Rozważać
- Rozważania
- konsument
- skoordynowane
- Korporacje
- mógłby
- kontrproduktywne
- CRA
- Stwórz
- krytyczny
- Aktualny
- cyber
- Bezpieczeństwo cybernetyczne
- Baza danych
- dzień
- Dni
- Decyzje
- głęboko
- W zależności
- detal
- szczegółowe
- detale
- rozwijać
- oprogramowania
- urządzenia
- cyfrowy
- Dyrektor
- Ujawniać
- ujawnienie
- odkrywanie
- odkrycie
- do
- robi
- Drzwi
- z powodu
- podczas
- efekt
- zatrudniający
- umożliwiać
- włączony
- zachęca
- wzmacniać
- dość
- zapewnienie
- jednostka
- EU
- Europie
- europejski
- Unia Europejska
- Unia Europejska (UE)
- Parzyste
- udowodnione
- Wykorzystać
- eksploatacja
- eksploatowany
- wykorzystywanie
- narażony
- fakt
- Znajdź
- Fix
- koncentruje
- W razie zamówieenia projektu
- Naprzód
- od
- dalej
- `RODO
- otrzymać
- dany
- Globalne
- skala globalna
- Rząd
- agencje rządowe
- Rządy
- dzięki
- Zarządzanie
- Have
- mający
- he
- jego
- GODZINY
- W jaki sposób
- How To
- Jednak
- HTTPS
- if
- Rezultat
- implikacje
- znaczenie
- ważny
- in
- zawierać
- włączony
- indywidualny
- osób
- przemysł
- wpływ
- Informacja
- Infrastruktura
- Inteligencja
- zamiar
- odsetki
- problemy
- IT
- to bezpieczeństwo
- JEGO
- jpg
- Wiedzieć
- znany
- Wycieki
- UCZYĆ SIĘ
- nauka
- Pozostawiać
- prawowity
- mniej
- list
- kierownik
- wiele
- maksymalny
- Może..
- mikro
- nadużycie
- Złagodzić
- jeszcze
- porusza się
- dużo
- musi
- naród
- Państwo narodowe
- narodowy
- bezpieczeństwo narodowe
- Nowości
- Nie
- Uwagi
- powiadomienie
- już dziś
- liczny
- obserwować
- of
- obraźliwy
- on
- ONE
- tylko
- koncepcja
- działać
- operacje
- Okazja
- or
- organizacji
- na zewnątrz
- opisane
- koniec
- najważniejszy
- Łata
- Łatki
- łatanie
- okres
- Personel
- perspektywa
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- polityka
- polityka
- potencjał
- wstępny
- Przygotować
- teraźniejszość
- zapobiec
- Priorytet
- prywatność
- prywatny
- Prywatne firmy
- wygląda tak
- Produkty
- specjalistów
- Postęp
- wybitny
- zaproponowane
- PROS
- ochrony
- pod warunkiem,
- że
- publiczny
- wydawcy
- Wydawniczy
- cele
- położyć
- szybko
- konsekwencje
- zmniejszyć
- redukcja
- Bez względu
- regularnie
- regulamin
- regulacyjne
- raport
- Zgłoszone
- Raportowanie
- Przedstawiciele
- wymagać
- wymagania
- Wymaga
- Badania naukowe
- Badacze
- sprężystość
- odpowiedzialny
- Ograniczenia
- Marszczyć
- Ryzyko
- ryzyko
- ryzykowny
- Zasada
- s
- taki sam
- mówią
- Skala
- druga
- bezpieczeństwo
- widzieć
- senior
- zestaw
- ciężki
- ona
- Przesunięcia
- powinien
- Sygnatariusze
- podpisana
- podobny
- Tworzenie
- kilka
- wkrótce
- określony
- szpiegowanie
- początek
- Startowy
- Stan
- Zjednoczone
- Rynek
- Następnie
- Wskazuje
- inwigilacja
- system
- systemy
- Techniki
- Testowanie
- że
- Połączenia
- ich
- Im
- następnie
- Tam.
- one
- Trzeci
- to
- groźba
- podmioty grożące
- zagrożenia
- czas
- ramy czasowe
- do
- razem
- także
- tradycyjnie
- Trening
- Trend
- Ostatecznie
- niezdolny
- Osłabiać
- zrozumieć
- unia
- Nowości
- pilna sprawa
- us
- posługiwać się
- za pomocą
- zmienne
- sprzedawców
- istotny
- Luki w zabezpieczeniach
- wrażliwość
- informacje o lukach w zabezpieczeniach
- chcieć
- Droga..
- we
- ważyć
- DOBRZE
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- KIM
- szerszy
- będzie
- okno
- w
- w ciągu
- bez
- Praca
- pracować razem
- pracujący
- by
- zefirnet