Европейский союз (ЕС) рассматривает правило в рамках своего Акта о киберустойчивости (CRA), которое обязывало бы издателей программного обеспечения сообщать о незапатченных уязвимостях государственным органам в течение 24 часов после их обнаружения. Однако это предложение вызвало опасения среди профессионалов в области кибербезопасности. Открытое письмо, подписанное 50 экспертами по кибербезопасности из компаний, таких как Google, Arm и Trend Micro, утверждает, что 24-часовой срок является недостаточным. Они считают, что это может дать преимущество противникам, раскрыв уязвимости до того, как организации успеют устранить их.
В письме говорится: «Хотя мы ценим стремление CRA повысить уровень кибербезопасности в Европе и за ее пределами, мы считаем, что текущие положения о раскрытии уязвимостей контрпродуктивны». Гопи Рамамурти, старший директор по безопасности в Symmetry Systems, подчеркнул важность устранения уязвимостей, но выразил опасения по поводу их публикации до выпуска обновлений.
Кэлли Гюнтер из Critical Start считает, что хотя намерения CRA похвальны, необходимо учитывать более широкие последствия раннего доступа правительств к информации о уязвимостях. Она предложила альтернативные подходы, такие как разноуровневое раскрытие на основе степени серьезности, предварительные уведомления с льготными периодами и координированное раскрытие уязвимостей с сотрудничеством между исследователями, производителями и правительствами.
Джон А. Смит, генеральный директор Conversant Group, считает, что хотя раскрытие информации жизненно важно, необходимо тщательно рассматривать момент, метод и уровень детализации предоставляемой информации. Он предлагает, чтобы компании-разработчики программного обеспечения признавали обнаруженные уязвимости в определенный срок и затем предоставляли общественное решение в течение 90 дней.
Гюнтер также подчеркнула потенциальное глобальное воздействие решений ЕС, отметив, что американские компании, работающие на международном уровне, могут пострадать. Она предупредила, что поспешно раскрытые из-за регулирования ЕС уязвимости также могут подвергнуть риску системы США.
Source: Dark Reading
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.