Güvenlik Uzmanları AB'nin Güvenlik Açığı Açıklama Kuralının Riskli Olduğu Konusunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

Güvenlik Uzmanları AB'nin Güvenlik Açığı Açıklama Kuralının Riskli Olduğu Konusunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

İkinci bir alternatif, ayrıntılı güvenlik açığı daha geniş bir kitleye açıklanmadan önce satıcılara kısa bir ödemesiz süre ile bir ön bildirim verilebildiği ön bildirimle ilgilidir Pek çok BT güvenlik uzmanı, AB Siber Dayanıklılık Yasası’nın (CRA) 11 “Kritik güvenlik açıkları daha kısa bir pencereye sahip olabilirken, daha az ciddi sorunlara daha fazla zaman verilebilir Smith, güvenlik açıklarının sorumlu bir şekilde ifşa edilmesinin, geleneksel olarak kuruluşların ve güvenlik araştırmacılarının riski anlamalarına ve güvenlik açığını potansiyel tehdit aktörlerine ifşa etmeden önce yamalar geliştirmelerine olanak tanıyan düşünceli bir yaklaşımı içeren bir süreç olduğunu belirtiyor

Günther, “Bir güvenlik açığının ciddiyetine ve etkisine bağlı olarak, ifşa için farklı zaman dilimleri belirlenebilir” diyor maksimum 90 gün

AB Dışındaki Etkiler

Günther, ABD’nin gözlemleme, öğrenme ve ardından iyi bilgilendirilmiş siber güvenlik politikaları geliştirmenin yanı sıra Avrupa’nın çok hızlı ilerlemesi durumunda olası sonuçlara karşı proaktif olarak hazırlanma fırsatına sahip olduğunu da ekliyor

Symmetry Systems’in güvenlik ve GRC kıdemli direktörü Gopi Ramamoorthy, güvenlik açıklarının kapatılmasının aciliyeti konusunda herhangi bir anlaşmazlık olmadığını söylüyor

“ABD şirketleri için bu gelişme büyük önem taşıyor” diyor

Onun bakış açısına göre, güvenlik açığı herhangi bir hükümete veya AB’ye de bildirilmemelidir; bunun gerekli kılınması tüketici güvenini azaltacak ve ulus devletin casusluk riskleri nedeniyle ticarete zarar verecektir “Açık maddeler ve kısıtlamalarla bile ortaya çıkabilecek çok sayıda zorluk ve risk var “Ancak güvenlik açıklarını istihbarat veya saldırı yetenekleri için kullanmak vatandaşları ve altyapıyı tehditlere açık bırakabilir

Smith, bu “tartışmaya açık bir şekilde anlık yaklaşıma” bir alternatifin, yazılım şirketlerinin rapor edilen güvenlik açıklarını belirli ancak hızlandırılmış bir zaman çerçevesi içinde kabul etmelerini ve ardından ilerlemeyi keşfeden varlığa düzenli olarak rapor etmelerini talep etmek ve sonuçta bu güvenlik açıklarını düzenli olarak kamuya açık bir şekilde düzeltmelerini talep etmek olduğunu belirtiyor

“CRA, güvenlik açığı hakkında derin ayrıntılara ihtiyaç duymasa da, bir güvenlik açığının mevcut olduğunun bilinmesi, tehdit aktörlerinin aktif bir güvenlik açığını araştırmaya, test etmeye ve bulmaya çalışmasını sağlamak için yeterlidir” diye uyarıyor Endişeler, güvenlik açıklarının güncellemeler yayınlanmadan önce duyurulması üzerinde yoğunlaşıyor; çünkü bu, kuruluşları saldırı riskiyle karşı karşıya bırakıyor ve bunu önlemek için hiçbir şey yapamıyor

Kural, satıcıların, yama durumu ne olursa olsun, aktif olarak yararlanılan bir güvenlik açığından haberdar olduklarını öğrendikten sonraki bir gün içinde açıklamalarını gerektiriyor

“Hükümetlerin ulusal güvenliği sağlama konusunda meşru çıkarları var” diyor “Aynı yazılımı kullanan ABD sistemleri de açığa çıkacak ”



siber-1



Avrupa Birliği (AB), yakında yazılım yayıncılarının yama yapılmamış güvenlik açıklarını, kötüye kullanımdan sonraki 24 saat içinde devlet kurumlarına açıklamasını zorunlu kılabilir

“Ek olarak, yalnızca yeterli izin ve eğitime sahip seçilmiş personelin veri tabanına erişimi olmalıdır, bu da sızıntı veya kötüye kullanım riskini azaltır” diyor Bazı güvenlik uzmanları, hükümetlerin güvenlik açığı açıklama gerekliliklerini istihbarat veya gözetim amacıyla kötüye kullanma potansiyelini görüyor Ancak riski azaltmak için araştırma ve keşif sırasında ne zaman, nasıl ve ne kadar ayrıntı sağlandığı konusunda artıları ve eksileri tartmalıyız” diyor

Gözetime Göre Yama Uygulamasına Öncelik Verin

Critical Start’ta siber tehdit araştırmasının kıdemli yöneticisi Callie Guenther, AB’nin Siber Dayanıklılık Yasası’nın ardındaki niyetin övgüye değer olduğunu, ancak hükümetlerin güncellemeler mevcut olmadan önce güvenlik açığı bilgilerine erişmesinin daha geniş sonuçlarını ve potansiyel istenmeyen sonuçlarını dikkate almanın hayati önem taşıdığını söylüyor

Aralarında Arm, Google ve Trend Micro’nun temsilcilerinin de bulunduğu sektör ve akademi dünyasından 50 önde gelen siber güvenlik uzmanı tarafından imzalanan açık mektupta imzacılar, 24 saatlik sürenin yeterli olmadığını ve aynı zamanda düşmanların üzerine atlaması için kapılar açacağını savunuyor “Birçok Amerikan şirketi küresel ölçekte faaliyet gösteriyor ve AB’deki düzenleyici değişiklikler küresel operasyonlarını etkileyebilir

Günther, “AB düzenlemeleri nedeniyle alelacele açıklanan herhangi bir güvenlik açığının Avrupa’yla sınırlı olmadığı” uyarısında bulunuyor

“Açıklama kesinlikle önemlidir

Herhangi bir kuralın, açıklanan güvenlik açıklarının gözetleme veya saldırı amacıyla kötüye kullanılmasını yasaklayan açık hükümler içermesi gerektiğini ekliyor ”

Hükümetlerin, güvenlik açıklarından faydalanmak yerine sistemleri yamamaya ve korumaya öncelik vermesi konusunda bir denge kurulması gerektiğini söylüyor ve kademeli açıklamayla başlayarak, güvenlik açığının açıklanması için bazı alternatif yaklaşımlar önerdi

Ramamoorthy, “Güvenlik açığı bilgilerinin yama uygulanmadan önce yayınlanması, yama uygulanmamış sistem veya cihazlardan daha fazla yararlanılmasına ve özel şirketler ile vatandaşların daha fazla risk altına girmesine neden olabileceği yönündeki endişeleri artırdı” dedi ”

Ne Zaman, Nasıl ve Ne Kadar Açıklanacak

Conversant Group CEO’su John A ”

GDPR’nin CCPA ve diğer ABD gizlilik yasaları üzerindeki etkisi ile kanıtlandığı gibi, AB’nin düzenleyici kararlarının dalgalanma etkisinin, Avrupa kararlarının ABD’deki benzer düzenleyici hususların habercisi olabileceğini öne sürdüğüne dikkat çekiyor Maddesinde belirtilen bu yeni kuralın yeniden değerlendirilmesini istiyor

Güvenlik açığı bilgilerinin nasıl alınacağına ve açıklanacağına ilişkin kılavuzların yanı sıra raporlamaya ilişkin teknikler ve politika hususları, ISO/IEC 29147’de zaten özetlenmiştir

Üçüncü yol, araştırmacıların, satıcıların ve hükümetlerin güvenlik açıklarını sorumlu bir şekilde değerlendirmek, yamalamak ve ifşa etmek için birlikte çalıştığı bir sistemi teşvik eden koordineli güvenlik açığı açıklamasına odaklanır

Mektupta, “CRA’nın Avrupa ve ötesinde siber güvenliği artırma amacını takdir etsek de, güvenlik açığının ifşa edilmesine ilişkin mevcut hükümlerin ters etki yarattığına ve dijital ürünlerin ve bunları kullanan bireylerin güvenliğini zayıflatacak yeni tehditler yaratacağına inanıyoruz Kuruluşlara sorunları düzeltmeleri için yeterli zaman tanımadan güvenlik açıklarını ortadan kaldırın ” ifadesi yer alıyor