Güvenlik Uzmanları AB'nin Güvenlik Açığı Açıklama Kuralının Riskli Olduğu Konusunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

Güvenlik Uzmanları AB'nin Güvenlik Açığı Açıklama Kuralının Riskli Olduğu Konusunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

Symmetry Systems’in güvenlik ve GRC kıdemli direktörü Gopi Ramamoorthy, güvenlik açıklarının kapatılmasının aciliyeti konusunda herhangi bir anlaşmazlık olmadığını söylüyor

Mektupta, “CRA’nın Avrupa ve ötesinde siber güvenliği artırma amacını takdir etsek de, güvenlik açığının ifşa edilmesine ilişkin mevcut hükümlerin ters etki yarattığına ve dijital ürünlerin ve bunları kullanan bireylerin güvenliğini zayıflatacak yeni tehditler yaratacağına inanıyoruz “Birçok Amerikan şirketi küresel ölçekte faaliyet gösteriyor ve AB’deki düzenleyici değişiklikler küresel operasyonlarını etkileyebilir



Avrupa Birliği (AB), yakında yazılım yayıncılarının yama yapılmamış güvenlik açıklarını, kötüye kullanımdan sonraki 24 saat içinde devlet kurumlarına açıklamasını zorunlu kılabilir Pek çok BT güvenlik uzmanı, AB Siber Dayanıklılık Yasası’nın (CRA) 11 ”

Hükümetlerin, güvenlik açıklarından faydalanmak yerine sistemleri yamamaya ve korumaya öncelik vermesi konusunda bir denge kurulması gerektiğini söylüyor ve kademeli açıklamayla başlayarak, güvenlik açığının açıklanması için bazı alternatif yaklaşımlar önerdi

Smith, bu “tartışmaya açık bir şekilde anlık yaklaşıma” bir alternatifin, yazılım şirketlerinin rapor edilen güvenlik açıklarını belirli ancak hızlandırılmış bir zaman çerçevesi içinde kabul etmelerini ve ardından ilerlemeyi keşfeden varlığa düzenli olarak rapor etmelerini talep etmek ve sonuçta bu güvenlik açıklarını düzenli olarak kamuya açık bir şekilde düzeltmelerini talep etmek olduğunu belirtiyor Bazı güvenlik uzmanları, hükümetlerin güvenlik açığı açıklama gerekliliklerini istihbarat veya gözetim amacıyla kötüye kullanma potansiyelini görüyor ”

GDPR’nin CCPA ve diğer ABD gizlilik yasaları üzerindeki etkisi ile kanıtlandığı gibi, AB’nin düzenleyici kararlarının dalgalanma etkisinin, Avrupa kararlarının ABD’deki benzer düzenleyici hususların habercisi olabileceğini öne sürdüğüne dikkat çekiyor ”

Ne Zaman, Nasıl ve Ne Kadar Açıklanacak

Conversant Group CEO’su John A Endişeler, güvenlik açıklarının güncellemeler yayınlanmadan önce duyurulması üzerinde yoğunlaşıyor; çünkü bu, kuruluşları saldırı riskiyle karşı karşıya bırakıyor ve bunu önlemek için hiçbir şey yapamıyor

Güvenlik açığı bilgilerinin nasıl alınacağına ve açıklanacağına ilişkin kılavuzların yanı sıra raporlamaya ilişkin teknikler ve politika hususları, ISO/IEC 29147’de zaten özetlenmiştir Maddesinde belirtilen bu yeni kuralın yeniden değerlendirilmesini istiyor

“ABD şirketleri için bu gelişme büyük önem taşıyor” diyor

Aralarında Arm, Google ve Trend Micro’nun temsilcilerinin de bulunduğu sektör ve akademi dünyasından 50 önde gelen siber güvenlik uzmanı tarafından imzalanan açık mektupta imzacılar, 24 saatlik sürenin yeterli olmadığını ve aynı zamanda düşmanların üzerine atlaması için kapılar açacağını savunuyor

“CRA, güvenlik açığı hakkında derin ayrıntılara ihtiyaç duymasa da, bir güvenlik açığının mevcut olduğunun bilinmesi, tehdit aktörlerinin aktif bir güvenlik açığını araştırmaya, test etmeye ve bulmaya çalışmasını sağlamak için yeterlidir” diye uyarıyor ” ifadesi yer alıyor “Kritik güvenlik açıkları daha kısa bir pencereye sahip olabilirken, daha az ciddi sorunlara daha fazla zaman verilebilir maksimum 90 gün Kuruluşlara sorunları düzeltmeleri için yeterli zaman tanımadan güvenlik açıklarını ortadan kaldırın

Gözetime Göre Yama Uygulamasına Öncelik Verin

Critical Start’ta siber tehdit araştırmasının kıdemli yöneticisi Callie Guenther, AB’nin Siber Dayanıklılık Yasası’nın ardındaki niyetin övgüye değer olduğunu, ancak hükümetlerin güncellemeler mevcut olmadan önce güvenlik açığı bilgilerine erişmesinin daha geniş sonuçlarını ve potansiyel istenmeyen sonuçlarını dikkate almanın hayati önem taşıdığını söylüyor

Günther, “AB düzenlemeleri nedeniyle alelacele açıklanan herhangi bir güvenlik açığının Avrupa’yla sınırlı olmadığı” uyarısında bulunuyor “Ancak güvenlik açıklarını istihbarat veya saldırı yetenekleri için kullanmak vatandaşları ve altyapıyı tehditlere açık bırakabilir ”

İkinci bir alternatif, ayrıntılı güvenlik açığı daha geniş bir kitleye açıklanmadan önce satıcılara kısa bir ödemesiz süre ile bir ön bildirim verilebildiği ön bildirimle ilgilidir

Günther, “Bir güvenlik açığının ciddiyetine ve etkisine bağlı olarak, ifşa için farklı zaman dilimleri belirlenebilir” diyor

AB Dışındaki Etkiler

Günther, ABD’nin gözlemleme, öğrenme ve ardından iyi bilgilendirilmiş siber güvenlik politikaları geliştirmenin yanı sıra Avrupa’nın çok hızlı ilerlemesi durumunda olası sonuçlara karşı proaktif olarak hazırlanma fırsatına sahip olduğunu da ekliyor

“Açıklama kesinlikle önemlidir

Herhangi bir kuralın, açıklanan güvenlik açıklarının gözetleme veya saldırı amacıyla kötüye kullanılmasını yasaklayan açık hükümler içermesi gerektiğini ekliyor

Üçüncü yol, araştırmacıların, satıcıların ve hükümetlerin güvenlik açıklarını sorumlu bir şekilde değerlendirmek, yamalamak ve ifşa etmek için birlikte çalıştığı bir sistemi teşvik eden koordineli güvenlik açığı açıklamasına odaklanır Smith, güvenlik açıklarının sorumlu bir şekilde ifşa edilmesinin, geleneksel olarak kuruluşların ve güvenlik araştırmacılarının riski anlamalarına ve güvenlik açığını potansiyel tehdit aktörlerine ifşa etmeden önce yamalar geliştirmelerine olanak tanıyan düşünceli bir yaklaşımı içeren bir süreç olduğunu belirtiyor Ancak riski azaltmak için araştırma ve keşif sırasında ne zaman, nasıl ve ne kadar ayrıntı sağlandığı konusunda artıları ve eksileri tartmalıyız” diyor

Kural, satıcıların, yama durumu ne olursa olsun, aktif olarak yararlanılan bir güvenlik açığından haberdar olduklarını öğrendikten sonraki bir gün içinde açıklamalarını gerektiriyor

Onun bakış açısına göre, güvenlik açığı herhangi bir hükümete veya AB’ye de bildirilmemelidir; bunun gerekli kılınması tüketici güvenini azaltacak ve ulus devletin casusluk riskleri nedeniyle ticarete zarar verecektir ”



siber-1

Ramamoorthy, “Güvenlik açığı bilgilerinin yama uygulanmadan önce yayınlanması, yama uygulanmamış sistem veya cihazlardan daha fazla yararlanılmasına ve özel şirketler ile vatandaşların daha fazla risk altına girmesine neden olabileceği yönündeki endişeleri artırdı” dedi

“Ek olarak, yalnızca yeterli izin ve eğitime sahip seçilmiş personelin veri tabanına erişimi olmalıdır, bu da sızıntı veya kötüye kullanım riskini azaltır” diyor “Açık maddeler ve kısıtlamalarla bile ortaya çıkabilecek çok sayıda zorluk ve risk var “Aynı yazılımı kullanan ABD sistemleri de açığa çıkacak

“Hükümetlerin ulusal güvenliği sağlama konusunda meşru çıkarları var” diyor