La Unión Europea (UE) está considerando una norma dentro de su Cyber Resilience Act (CRA) que requeriría que los editores de software divulguen vulnerabilidades no parcheadas a las agencias gubernamentales en un plazo de 24 horas después de su descubrimiento. Sin embargo, esta propuesta ha generado preocupaciones entre los profesionales de ciberseguridad. Una carta abierta, firmada por 50 expertos en ciberseguridad de empresas como Google, Arm y Trend Micro, sostiene que el plazo de 24 horas es insuficiente. Creen que esto podría dar ventaja a los adversarios al exponer vulnerabilidades antes de que las organizaciones tengan tiempo de abordarlas.
La carta dice: “Aunque apreciamos el objetivo del CRA de mejorar la ciberseguridad en Europa y más allá, creemos que las disposiciones actuales sobre la divulgación de vulnerabilidades son contraproducentes”. Gopi Ramamoorthy, director senior de seguridad en Symmetry Systems, enfatizó la importancia de parchear vulnerabilidades pero expresó preocupaciones sobre la publicación de estas antes de que estén disponibles las actualizaciones.
Callie Guenther de Critical Start sugiere que la intención detrás del CRA es loable, pero se deben considerar las implicaciones más amplias de que los gobiernos tengan acceso temprano a la información sobre vulnerabilidades. Propuso enfoques alternativos como la divulgación escalonada según la gravedad, notificaciones preliminares con períodos de gracia y divulgación coordinada de vulnerabilidades en colaboración entre investigadores, proveedores y gobiernos.
John A. Smith, CEO de Conversant Group, cree que, aunque es crucial la divulgación, se debe considerar cuidadosamente el momento, el método y el nivel de detalle compartido. Sugiere que las empresas de software deberían reconocer las vulnerabilidades reportadas en un plazo específico y luego proporcionar una solución pública dentro de 90 días.
Guenther también destacó el posible impacto global de las decisiones de la UE, señalando que las empresas estadounidenses que operan internacionalmente podrían verse afectadas. Advirtió que vulnerabilidades divulgadas precipitadamente debido a las regulaciones de la UE también podrían poner en riesgo a los sistemas estadounidenses.
Source: Dark Reading
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.