یورپی یونین (EU) جلد ہی سافٹ ویئر پبلشرز سے مطالبہ کر سکتی ہے کہ وہ کسی استحصال کے 24 گھنٹوں کے اندر سرکاری ایجنسیوں کے سامنے غیر موزوں خطرات کا انکشاف کریں۔ بہت سے IT سیکورٹی پروفیشنلز چاہتے ہیں کہ EU کے سائبر ریسیلینس ایکٹ (CRA) کے آرٹیکل 11 میں وضع کردہ اس نئے اصول پر دوبارہ غور کیا جائے۔
اس قاعدے کے تحت دکانداروں کو یہ انکشاف کرنے کی ضرورت ہے کہ وہ کسی خطرے کے بارے میں جانتے ہیں جس کا فعال طور پر استحصال کیا جا رہا ہے۔ اس کے بارے میں سیکھنے کے ایک دن کے اندر، پیچ کی حیثیت سے قطع نظر۔ سیکیورٹی کے کچھ پیشہ ور افراد انٹیلی جنس یا نگرانی کے مقاصد کے لیے حکومتوں کے خطرے کے انکشاف کے تقاضوں کا غلط استعمال کرنے کی صلاحیت کو دیکھتے ہیں۔
صنعت اور اکیڈمی کے 50 ممتاز سائبر سیکیورٹی پروفیشنلز کے دستخط شدہ ایک کھلے خط میں، جن میں آرم، گوگل، اور ٹرینڈ مائیکرو کے نمائندے بھی شامل ہیں، دستخط کنندگان کا استدلال ہے کہ 24 گھنٹے کی کھڑکی کافی وقت نہیں ہے - اور اس سے مخالفین کے لیے بھی دروازے کھل جائیں گے۔ اداروں کو مسائل کو حل کرنے کے لیے کافی وقت دینے کے بغیر کمزوریاں۔
خط میں کہا گیا ہے کہ "جبکہ ہم یورپ اور اس سے آگے سائبر سیکیورٹی کو بڑھانے کے CRA کے مقصد کی تعریف کرتے ہیں، ہم سمجھتے ہیں کہ خطرے کے انکشاف سے متعلق موجودہ دفعات غیر نتیجہ خیز ہیں اور نئے خطرات پیدا کریں گے جو ڈیجیٹل مصنوعات اور ان کا استعمال کرنے والے افراد کی سلامتی کو نقصان پہنچائیں گے،" خط میں کہا گیا ہے۔
Symmetry Systems میں سیکورٹی اور GRC کے سینئر ڈائریکٹر گوپی راما مورتی کہتے ہیں کہ کمزوریوں کو ٹھیک کرنے کی فوری ضرورت کے بارے میں کوئی اختلاف نہیں ہے۔ تحفظات کا مرکز اپ ڈیٹس کے دستیاب ہونے سے پہلے کمزوریوں کو عام کرنے پر ہے، کیونکہ اس سے تنظیموں کو حملے کا خطرہ لاحق ہو جاتا ہے اور وہ اسے روکنے کے لیے کچھ نہیں کر پاتے۔
راما مورتی کا کہنا ہے کہ "پیچنگ سے پہلے خطرے سے متعلق معلومات کو شائع کرنے سے یہ خدشات بڑھ گئے ہیں کہ یہ غیر پیچ شدہ سسٹمز یا آلات کا مزید استحصال کر سکتا ہے اور نجی کمپنیوں اور شہریوں کو مزید خطرے میں ڈال سکتا ہے۔"
نگرانی سے زیادہ پیچنگ کو ترجیح دیں۔
کریٹیکل سٹارٹ میں سائبر تھریٹ ریسرچ کے سینئر مینیجر کالی گوینتھر کا کہنا ہے کہ یورپی یونین کے سائبر ریسیلینس ایکٹ کے پیچھے کا ارادہ قابل ستائش ہے، لیکن حکومتوں کو خطرے سے متعلق معلومات تک رسائی کے وسیع تر مضمرات اور ممکنہ غیر ارادی نتائج پر غور کرنا بہت ضروری ہے۔ اپ ڈیٹس دستیاب ہونے سے پہلے.
"حکومتوں کا قومی سلامتی کو یقینی بنانے میں جائز مفاد ہے،" وہ کہتی ہیں۔ "تاہم، انٹیلی جنس یا جارحانہ صلاحیتوں کے لیے کمزوریوں کا استعمال شہریوں اور انفراسٹرکچر کو خطرات سے دوچار کر سکتا ہے۔"
وہ کہتی ہیں کہ ایک توازن قائم کیا جانا چاہیے جس میں حکومتیں کمزوریوں سے فائدہ اٹھانے کے مقابلے میں نظام کو پیچ کرنے اور تحفظ دینے کو ترجیح دیتی ہیں، اور خطرے کے انکشاف کے لیے کچھ متبادل طریقے تجویز کیے ہیں، جس کا آغاز ٹائرڈ انکشاف سے ہوتا ہے۔
گوینتھر کا کہنا ہے کہ "خطرے کی شدت اور اثر پر منحصر ہے، انکشاف کے لیے مختلف ٹائم فریم مقرر کیے جا سکتے ہیں۔" "اہم خطرات میں ایک مختصر ونڈو ہوسکتی ہے، جبکہ کم سنگین مسائل کو زیادہ وقت دیا جاسکتا ہے۔"
دوسرا متبادل ابتدائی نوٹیفکیشن سے متعلق ہے، جہاں دکانداروں کو ایک ابتدائی اطلاع دی جا سکتی ہے، اس سے پہلے کہ تفصیلی خطرے کا وسیع تر سامعین کو انکشاف کیا جائے۔
ایک تیسرا طریقہ مربوط خطرے کے انکشاف پر توجہ مرکوز کرتا ہے، جو ایک ایسے نظام کی حوصلہ افزائی کرتا ہے جہاں محققین، وینڈرز، اور حکومتیں ذمہ داری کے ساتھ کمزوریوں کا اندازہ لگانے، پیچ کرنے اور ظاہر کرنے کے لیے مل کر کام کرتی ہیں۔
وہ مزید کہتی ہیں کہ کسی بھی قاعدے میں واضح شقیں شامل ہونی چاہئیں تاکہ نگرانی یا جارحانہ مقاصد کے لیے انکشاف شدہ خطرات کے غلط استعمال کو روکا جا سکے۔
"اس کے علاوہ، مناسب کلیئرنس اور تربیت کے حامل صرف منتخب اہلکاروں کو ڈیٹا بیس تک رسائی حاصل ہونی چاہیے، جس سے لیک یا غلط استعمال کا خطرہ کم ہو،" وہ کہتی ہیں۔ "یہاں تک کہ واضح شقوں اور پابندیوں کے باوجود، بہت سے چیلنجز اور خطرات پیدا ہو سکتے ہیں۔"
کب، کیسے، اور کتنا انکشاف کرنا ہے۔
جان اے اسمتھ، کنورسنٹ گروپ کے سی ای او، نوٹ کرتے ہیں کہ کمزوریوں کا ذمہ دارانہ انکشاف ایک ایسا عمل ہے جس میں روایتی طور پر، ایک سوچا سمجھا طریقہ شامل ہے جس نے تنظیموں اور سیکورٹی محققین کو خطرے کو سمجھنے اور پیچیدگیوں کو ممکنہ خطرے والے اداکاروں کے سامنے لانے سے پہلے پیچ تیار کرنے کے قابل بنایا ہے۔
"اگرچہ CRA کو خطرے کے بارے میں گہری تفصیلات کی ضرورت نہیں ہوسکتی ہے، حقیقت یہ ہے کہ ایک اب موجود ہے جو خطرے کے اداکاروں کی تحقیقات، جانچ، اور فعال استحصال تلاش کرنے کے لئے کام کرنے کے لئے کافی ہے،" انہوں نے خبردار کیا.
اس کے نقطہ نظر سے، خطرے کی اطلاع کسی انفرادی حکومت یا EU کو بھی نہیں دی جانی چاہیے - اس سے صارفین کا اعتماد کم ہو گا اور قومی ریاست کی جاسوسی کے خطرات کی وجہ سے تجارت کو نقصان پہنچے گا۔
"انکشاف ضروری ہے - بالکل۔ لیکن ہمیں خطرات کو کم کرنے کے لیے تحقیق اور دریافت کے دوران کب، کیسے، اور کتنی تفصیل فراہم کی جاتی ہے، اس کے فوائد اور نقصانات کو تولنا چاہیے،" وہ کہتے ہیں۔
اسمتھ نے نوٹ کیا کہ اس "مبینہ طور پر گھٹنے کے جھٹکے کے نقطہ نظر" کا ایک متبادل یہ ہے کہ سافٹ ویئر کمپنیوں کو ایک مخصوص لیکن تیز ٹائم فریم کے اندر رپورٹ شدہ کمزوریوں کو تسلیم کرنے کی ضرورت ہے، اور پھر ان سے مطالبہ کیا گیا ہے کہ وہ دریافت کرنے والے ادارے کو باقاعدگی سے پیشرفت کی رپورٹ کریں، بالآخر ایک عوامی حل فراہم کریں۔ زیادہ سے زیادہ 90 دن۔
کیسے کرنے کے بارے میں رہنما خطوط خطرے سے متعلق معلومات حاصل کریں اور ظاہر کریں۔نیز رپورٹنگ کے لیے تکنیک اور پالیسی کے تحفظات، پہلے ہی بیان کیے گئے ہیں۔ 29147 ISO / IEC.
EU سے آگے کے اثرات
گوینتھر نے مزید کہا کہ امریکہ کے پاس ایک موقع ہے کہ وہ مشاہدہ کرنے، سیکھنے اور اس کے بعد اچھی طرح سے باخبر سائبرسیکیوریٹی پالیسیوں کو تیار کرے، اور ساتھ ہی اگر یورپ بہت تیزی سے آگے بڑھتا ہے تو کسی بھی ممکنہ اثرات کے لیے مستعدی سے تیاری کرے۔
وہ کہتی ہیں، "امریکی کمپنیوں کے لیے، یہ ترقی انتہائی اہمیت کی حامل ہے۔ "بہت سے امریکی کارپوریشنز عالمی سطح پر کام کرتی ہیں، اور یورپی یونین میں ریگولیٹری تبدیلیاں ان کے عالمی آپریشنز کو متاثر کر سکتی ہیں۔"
وہ بتاتی ہیں کہ یورپی یونین کے ریگولیٹری فیصلوں کے اثرات، جیسا کہ CCPA پر GDPR کے اثر و رسوخ سے ظاہر ہوتا ہے۔ دیگر امریکی رازداری کے قوانین، تجویز کرتا ہے کہ یورپی فیصلے امریکہ میں اسی طرح کے ریگولیٹری تحفظات کو آگے بڑھا سکتے ہیں۔
"یورپی یونین کے ضوابط کی وجہ سے جلد بازی میں کسی بھی خطرے کا انکشاف یورپ تک اس کے خطرات کو محدود نہیں کرتا،" گوینتھر نے خبردار کیا۔ "اسی سافٹ ویئر کو استعمال کرنے والے امریکی سسٹمز کو بھی بے نقاب کیا جائے گا۔"
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/edge/security-pros-warn-that-eu-vulnerability-disclosure-rule-is-risky
- : ہے
- : ہے
- : نہیں
- :کہاں
- 11
- 24
- 50
- 7
- a
- ہمارے بارے میں
- بالکل
- اکیڈمی
- تک رسائی حاصل
- تسلیم کرتے ہیں
- کے پار
- ایکٹ
- فعال
- فعال طور پر
- اداکار
- اس کے علاوہ
- جوڑتا ہے
- ایجنسیوں
- مقصد
- اجازت دے رہا ہے
- پہلے ہی
- بھی
- متبادل
- امریکی
- کے درمیان
- an
- اور
- اور بنیادی ڈھانچہ
- کوئی بھی
- کچھ
- کی تعریف
- نقطہ نظر
- نقطہ نظر
- کیا
- دلیل سے
- بحث
- اٹھتا
- بازو
- مضمون
- AS
- تشخیص کریں
- At
- حملہ
- سامعین
- دستیاب
- واپس
- متوازن
- BE
- اس سے پہلے
- پیچھے
- کیا جا رہا ہے
- یقین ہے کہ
- سے پرے
- وسیع
- لیکن
- by
- کر سکتے ہیں
- صلاحیتوں
- احتیاطی تدابیر
- سی سی پی اے
- سینٹر
- سی ای او
- چیلنجوں
- سٹیزن
- کلیئرنس
- قابل تعریف
- کامرس
- کمپنیاں
- اندراج
- آپکا اعتماد
- خامیاں
- نتائج
- غور کریں
- خیالات
- صارفین
- سمنوئت
- کارپوریشنز
- سکتا ہے
- انسداد
- CRA
- تخلیق
- اہم
- موجودہ
- سائبر
- سائبر سیکیورٹی
- ڈیٹا بیس
- دن
- دن
- فیصلے
- گہری
- منحصر ہے
- تفصیل
- تفصیلی
- تفصیلات
- ترقی
- ترقی
- کے الات
- ڈیجیٹل
- ڈائریکٹر
- ظاہر
- انکشاف
- دریافت
- دریافت
- do
- نہیں
- دروازے
- دو
- کے دوران
- اثر
- ملازم
- کو چالو کرنے کے
- چالو حالت میں
- حوصلہ افزائی
- بڑھانے کے
- کافی
- کو یقینی بنانے ہے
- ہستی
- EU
- یورپ
- یورپی
- متحدہ یورپ
- یورپی یونین (یورپی یونین)
- بھی
- ثبوت
- دھماکہ
- استحصال
- استحصال کیا۔
- استحصال کرنا
- ظاہر
- حقیقت یہ ہے
- مل
- درست کریں
- توجہ مرکوز
- کے لئے
- آگے
- سے
- مزید
- GDPR
- حاصل
- دی
- گلوبل
- عالمی پیمانہ
- گوگل
- حکومت
- سرکاری ایجنسیوں
- حکومتیں
- فضل
- گروپ
- ہے
- ہونے
- he
- ان
- HOURS
- کس طرح
- کیسے
- تاہم
- HTTPS
- if
- اثر
- اثرات
- اہمیت
- اہم
- in
- شامل
- شامل
- انفرادی
- افراد
- صنعت
- اثر و رسوخ
- معلومات
- انفراسٹرکچر
- انٹیلی جنس
- ارادے
- دلچسپی
- مسائل
- IT
- یہ سیکیورٹی
- میں
- فوٹو
- جان
- جانا جاتا ہے
- لیک
- جانیں
- سیکھنے
- چھوڑ دو
- جائز
- کم
- خط
- مینیجر
- بہت سے
- زیادہ سے زیادہ
- مئی..
- مائکرو.
- غلط استعمال کے
- تخفیف کریں
- زیادہ
- چالیں
- بہت
- ضروری
- قوم
- نیشن سٹیٹ
- قومی
- قومی سلامتی
- نئی
- نہیں
- نوٹس
- نوٹیفیکیشن
- اب
- متعدد
- مشاہدہ
- of
- جارحانہ
- on
- ایک
- صرف
- کھول
- کام
- آپریشنز
- مواقع
- or
- تنظیمیں
- باہر
- بیان کیا
- پر
- پیراماؤنٹ
- پیچ
- پیچ
- پیچ کرنا
- مدت
- کارمک
- نقطہ نظر
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹس
- پالیسیاں
- پالیسی
- ممکنہ
- ابتدائی
- تیار
- حال (-)
- کی روک تھام
- ترجیح دیں
- کی رازداری
- نجی
- نجی کمپنیاں
- عمل
- حاصل
- پیشہ ور ماہرین
- پیش رفت
- ممتاز
- مجوزہ
- پیشہ
- حفاظت
- فراہم
- فراہم کرنے
- عوامی
- پبلشرز
- پبلشنگ
- مقاصد
- ڈال
- جلدی سے
- اٹھایا
- اثرات
- کو کم
- کو کم کرنے
- بے شک
- باقاعدگی سے
- ضابطے
- ریگولیٹری
- رپورٹ
- اطلاع دی
- رپورٹ
- نمائندگان
- کی ضرورت
- ضروریات
- کی ضرورت ہے
- تحقیق
- محققین
- لچک
- ذمہ دار
- پابندی
- ریپل
- رسک
- خطرات
- خطرہ
- حکمرانی
- s
- اسی
- کا کہنا ہے کہ
- پیمانے
- دوسری
- سیکورٹی
- دیکھنا
- سینئر
- مقرر
- شدید
- وہ
- شفٹوں
- ہونا چاہئے
- دستخط
- دستخط
- اسی طرح
- سافٹ ویئر کی
- کچھ
- جلد ہی
- مخصوص
- جاسوسی
- شروع کریں
- شروع
- حالت
- امریکہ
- درجہ
- بعد میں
- پتہ چلتا ہے
- نگرانی
- کے نظام
- سسٹمز
- تکنیک
- ٹیسٹنگ
- کہ
- ۔
- ان
- ان
- تو
- وہاں.
- وہ
- تھرڈ
- اس
- خطرہ
- دھمکی دینے والے اداکار
- خطرات
- وقت
- ٹائم فریم
- کرنے کے لئے
- مل کر
- بھی
- روایتی طور پر
- ٹریننگ
- رجحان
- آخر میں
- قابل نہیں
- کمزور
- سمجھ
- یونین
- تازہ ترین معلومات
- فوری طور پر
- us
- استعمال کی شرائط
- کا استعمال کرتے ہوئے
- مختلف
- دکانداروں
- اہم
- نقصان دہ
- خطرے کا سامنا
- خطرے کی معلومات
- چاہتے ہیں
- راستہ..
- we
- وزن
- اچھا ہے
- جب
- جس
- جبکہ
- ڈبلیو
- وسیع
- گے
- ونڈو
- ساتھ
- کے اندر
- بغیر
- کام
- مل کے کام کرو
- کام کر
- گا
- زیفیرنیٹ