La Unió Europea (UE) està considerant una norma dins del seu Cyber Resilience Act (CRA) que requereix que els editors de programari divulguin vulnerabilitats no corregides a les agències governamentals en un termini de 24 hores després de la seva descoberta. No obstant això, aquesta proposta ha suscitat preocupacions entre els professionals de ciberseguretat. Una carta oberta, signada per 50 experts en ciberseguretat d’empreses com Google, Arm i Trend Micro, sosté que el termini de 24 hores és insuficient. Creuen que això podria donar avantatge als adversaris exposant vulnerabilitats abans que les organitzacions tinguin temps d’abordar-les.
La carta diu: “Tot i que apreciem l’objectiu del CRA per millorar la ciberseguretat a Europa i més enllà, creiem que les disposicions actuals sobre divulgació de vulnerabilitats són contraproduents.” Gopi Ramamoorthy, director sènior de seguretat a Symmetry Systems, va destacar la importància de corregir vulnerabilitats, però va expressar preocupacions sobre la publicació d’aquestes abans que estiguin disponibles les actualitzacions.
Callie Guenther de Critical Start suggereix que la intenció darrere del CRA és lloable, però cal considerar les implicacions més àmplies del fet que els governs tinguin accés anticipat a la informació sobre vulnerabilitats. Va proposar enfocaments alternatius com la divulgació escalonada segons la gravetat, notificacions preliminars amb períodes de gràcia i divulgació coordinada de vulnerabilitats amb col·laboració entre investigadors, proveïdors i governs.
John A. Smith, CEO de Conversant Group, creu que, encara que la divulgació és crucial, cal considerar amb cura el moment, el mètode i el nivell de detall compartit. Suggerix que les empreses de programari haurien de reconèixer vulnerabilitats reportades dins d’un termini específic i després proporcionar una solució pública en 90 dies.
Guenther també va destacar l’impacte global potencial de les decisions de la UE, assenyalant que les empreses nord-americanes que operen internacionalment podrien veure’s afectades. Va advertir que vulnerabilitats divulgades precipitadament a causa de les regulacions de la UE també podrien posar en risc els sistemes nord-americans.
Source: Dark Reading
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.