“Hükümetlerin ulusal güvenliği sağlama konusunda meşru çıkarları var” diyor “Açık maddeler ve kısıtlamalarla bile ortaya çıkabilecek çok sayıda zorluk ve risk var Bazı güvenlik uzmanları, hükümetlerin güvenlik açığı açıklama gerekliliklerini istihbarat veya gözetim amacıyla kötüye kullanma potansiyelini görüyor
Kural, satıcıların, yama durumu ne olursa olsun, aktif olarak yararlanılan bir güvenlik açığından haberdar olduklarını öğrendikten sonraki bir gün içinde açıklamalarını gerektiriyor maksimum 90 gün Pek çok BT güvenlik uzmanı, AB Siber Dayanıklılık Yasası’nın (CRA) 11 “Aynı yazılımı kullanan ABD sistemleri de açığa çıkacak ”
Hükümetlerin, güvenlik açıklarından faydalanmak yerine sistemleri yamamaya ve korumaya öncelik vermesi konusunda bir denge kurulması gerektiğini söylüyor ve kademeli açıklamayla başlayarak, güvenlik açığının açıklanması için bazı alternatif yaklaşımlar önerdi
Günther, “Bir güvenlik açığının ciddiyetine ve etkisine bağlı olarak, ifşa için farklı zaman dilimleri belirlenebilir” diyor
Aralarında Arm, Google ve Trend Micro’nun temsilcilerinin de bulunduğu sektör ve akademi dünyasından 50 önde gelen siber güvenlik uzmanı tarafından imzalanan açık mektupta imzacılar, 24 saatlik sürenin yeterli olmadığını ve aynı zamanda düşmanların üzerine atlaması için kapılar açacağını savunuyor
Ramamoorthy, “Güvenlik açığı bilgilerinin yama uygulanmadan önce yayınlanması, yama uygulanmamış sistem veya cihazlardan daha fazla yararlanılmasına ve özel şirketler ile vatandaşların daha fazla risk altına girmesine neden olabileceği yönündeki endişeleri artırdı” dedi ” ifadesi yer alıyor ”
Ne Zaman, Nasıl ve Ne Kadar AçıklanacakConversant Group CEO’su John A Maddesinde belirtilen bu yeni kuralın yeniden değerlendirilmesini istiyor
Üçüncü yol, araştırmacıların, satıcıların ve hükümetlerin güvenlik açıklarını sorumlu bir şekilde değerlendirmek, yamalamak ve ifşa etmek için birlikte çalıştığı bir sistemi teşvik eden koordineli güvenlik açığı açıklamasına odaklanır
“Ek olarak, yalnızca yeterli izin ve eğitime sahip seçilmiş personelin veri tabanına erişimi olmalıdır, bu da sızıntı veya kötüye kullanım riskini azaltır” diyor
Güvenlik açığı bilgilerinin nasıl alınacağına ve açıklanacağına ilişkin kılavuzların yanı sıra raporlamaya ilişkin teknikler ve politika hususları, ISO/IEC 29147’de zaten özetlenmiştir
Gözetime Göre Yama Uygulamasına Öncelik VerinCritical Start’ta siber tehdit araştırmasının kıdemli yöneticisi Callie Guenther, AB’nin Siber Dayanıklılık Yasası’nın ardındaki niyetin övgüye değer olduğunu, ancak hükümetlerin güncellemeler mevcut olmadan önce güvenlik açığı bilgilerine erişmesinin daha geniş sonuçlarını ve potansiyel istenmeyen sonuçlarını dikkate almanın hayati önem taşıdığını söylüyor
Mektupta, “CRA’nın Avrupa ve ötesinde siber güvenliği artırma amacını takdir etsek de, güvenlik açığının ifşa edilmesine ilişkin mevcut hükümlerin ters etki yarattığına ve dijital ürünlerin ve bunları kullanan bireylerin güvenliğini zayıflatacak yeni tehditler yaratacağına inanıyoruz Ancak riski azaltmak için araştırma ve keşif sırasında ne zaman, nasıl ve ne kadar ayrıntı sağlandığı konusunda artıları ve eksileri tartmalıyız” diyor
“Açıklama kesinlikle önemlidir Kuruluşlara sorunları düzeltmeleri için yeterli zaman tanımadan güvenlik açıklarını ortadan kaldırın
AB Dışındaki EtkilerGünther, ABD’nin gözlemleme, öğrenme ve ardından iyi bilgilendirilmiş siber güvenlik politikaları geliştirmenin yanı sıra Avrupa’nın çok hızlı ilerlemesi durumunda olası sonuçlara karşı proaktif olarak hazırlanma fırsatına sahip olduğunu da ekliyor
Symmetry Systems’in güvenlik ve GRC kıdemli direktörü Gopi Ramamoorthy, güvenlik açıklarının kapatılmasının aciliyeti konusunda herhangi bir anlaşmazlık olmadığını söylüyor
Smith, bu “tartışmaya açık bir şekilde anlık yaklaşıma” bir alternatifin, yazılım şirketlerinin rapor edilen güvenlik açıklarını belirli ancak hızlandırılmış bir zaman çerçevesi içinde kabul etmelerini ve ardından ilerlemeyi keşfeden varlığa düzenli olarak rapor etmelerini talep etmek ve sonuçta bu güvenlik açıklarını düzenli olarak kamuya açık bir şekilde düzeltmelerini talep etmek olduğunu belirtiyor ”
GDPR’nin CCPA ve diğer ABD gizlilik yasaları üzerindeki etkisi ile kanıtlandığı gibi, AB’nin düzenleyici kararlarının dalgalanma etkisinin, Avrupa kararlarının ABD’deki benzer düzenleyici hususların habercisi olabileceğini öne sürdüğüne dikkat çekiyor
Herhangi bir kuralın, açıklanan güvenlik açıklarının gözetleme veya saldırı amacıyla kötüye kullanılmasını yasaklayan açık hükümler içermesi gerektiğini ekliyor ”
siber-1
Avrupa Birliği (AB), yakında yazılım yayıncılarının yama yapılmamış güvenlik açıklarını, kötüye kullanımdan sonraki 24 saat içinde devlet kurumlarına açıklamasını zorunlu kılabilir “Kritik güvenlik açıkları daha kısa bir pencereye sahip olabilirken, daha az ciddi sorunlara daha fazla zaman verilebilir
Onun bakış açısına göre, güvenlik açığı herhangi bir hükümete veya AB’ye de bildirilmemelidir; bunun gerekli kılınması tüketici güvenini azaltacak ve ulus devletin casusluk riskleri nedeniyle ticarete zarar verecektir ”
İkinci bir alternatif, ayrıntılı güvenlik açığı daha geniş bir kitleye açıklanmadan önce satıcılara kısa bir ödemesiz süre ile bir ön bildirim verilebildiği ön bildirimle ilgilidir
“CRA, güvenlik açığı hakkında derin ayrıntılara ihtiyaç duymasa da, bir güvenlik açığının mevcut olduğunun bilinmesi, tehdit aktörlerinin aktif bir güvenlik açığını araştırmaya, test etmeye ve bulmaya çalışmasını sağlamak için yeterlidir” diye uyarıyor
“ABD şirketleri için bu gelişme büyük önem taşıyor” diyor
Günther, “AB düzenlemeleri nedeniyle alelacele açıklanan herhangi bir güvenlik açığının Avrupa’yla sınırlı olmadığı” uyarısında bulunuyor