Liên minh châu Âu (EU) đang xem xét một quy định theo Đạo luật Về Khả năng Phản ứng Trước Mối đe dọa Mạng của mình (CRA) yêu cầu các nhà xuất bản phần mềm phải tiết lộ các lỗ hổng chưa được vá lỗi đối với các cơ quan chính phủ trong vòng 24 giờ kể từ khi phát hiện. Tuy nhiên, đề xuất này đã gây ra mối lo ngại trong số các chuyên gia về an ninh mạng. Một bức thư mở, được ký bởi 50 chuyên gia an ninh mạng từ các công ty như Google, Arm và Trend Micro, cho rằng khoảng thời gian 24 giờ là không đủ. Họ tin rằng điều này có thể tạo ra lợi thế cho các đối thủ bằng cách tiết lộ lỗ hổng trước khi các tổ chức có thời gian để khắc phục.
Bức thư nói rằng, “Mặc dù chúng tôi đánh giá cao mục tiêu của CRA nhằm tăng cường an ninh mạng ở châu Âu và trên toàn cầu, chúng tôi tin rằng các quy định hiện hành về việc tiết lộ lỗ hổng đang đi ngược lại.” Gopi Ramamoorthy, giám đốc cao cấp về an ninh tại Symmetry Systems, nhấn mạnh tầm quan trọng của việc vá lỗi nhưng lại bày tỏ mối lo ngại về việc công bố chúng trước khi có bản cập nhật.
Callie Guenther từ Critical Start đề xuất rằng mục đích đằng sau CRA đáng khen ngợi, nhưng cần phải xem xét tới hậu quả rộng lớn khi chính phủ có quyền truy cập sớm vào thông tin về lỗ hổng. Cô đề xuất các phương pháp thay thế như việc tiết lộ lỗ hổng theo cấp độ, thông báo sơ bộ với khoảng thời gian ân hạn và việc tiết lộ lỗ hổng được điều phối với sự hợp tác giữa các nhà nghiên cứu, nhà cung cấp và chính phủ.
John A. Smith, CEO tại Conversant Group, tin rằng trong khi việc tiết lộ là rất quan trọng, thời điểm, phương pháp và mức độ chi tiết chia sẻ cần được xem xét cẩn thận. Ông đề xuất rằng các công ty phần mềm nên công nhận các lỗ hổng đã báo cáo trong một khoảng thời gian cụ thể và sau đó cung cấp một bản sửa lỗi công khai trong vòng 90 ngày.
Guenther cũng nhấn mạnh tới tác động toàn cầu tiềm năng của quyết định của EU, chỉ ra rằng các công ty Mỹ hoạt động quốc tế có thể bị ảnh hưởng. Cô cảnh báo rằng việc tiết lộ lỗ hổng một cách vội vàng do quy định của EU cũng có thể đặt hệ thống của Mỹ vào tình trạng nguy hiểm.
Source: Dark Reading
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.