Günther, “Bir güvenlik açığının ciddiyetine ve etkisine bağlı olarak, ifşa için farklı zaman dilimleri belirlenebilir” diyor ”
İkinci bir alternatif, ayrıntılı güvenlik açığı daha geniş bir kitleye açıklanmadan önce satıcılara kısa bir ödemesiz süre ile bir ön bildirim verilebildiği ön bildirimle ilgilidir “Ancak güvenlik açıklarını istihbarat veya saldırı yetenekleri için kullanmak vatandaşları ve altyapıyı tehditlere açık bırakabilir
“Ek olarak, yalnızca yeterli izin ve eğitime sahip seçilmiş personelin veri tabanına erişimi olmalıdır, bu da sızıntı veya kötüye kullanım riskini azaltır” diyor
Mektupta, “CRA’nın Avrupa ve ötesinde siber güvenliği artırma amacını takdir etsek de, güvenlik açığının ifşa edilmesine ilişkin mevcut hükümlerin ters etki yarattığına ve dijital ürünlerin ve bunları kullanan bireylerin güvenliğini zayıflatacak yeni tehditler yaratacağına inanıyoruz
Onun bakış açısına göre, güvenlik açığı herhangi bir hükümete veya AB’ye de bildirilmemelidir; bunun gerekli kılınması tüketici güvenini azaltacak ve ulus devletin casusluk riskleri nedeniyle ticarete zarar verecektir
Aralarında Arm, Google ve Trend Micro’nun temsilcilerinin de bulunduğu sektör ve akademi dünyasından 50 önde gelen siber güvenlik uzmanı tarafından imzalanan açık mektupta imzacılar, 24 saatlik sürenin yeterli olmadığını ve aynı zamanda düşmanların üzerine atlaması için kapılar açacağını savunuyor “Birçok Amerikan şirketi küresel ölçekte faaliyet gösteriyor ve AB’deki düzenleyici değişiklikler küresel operasyonlarını etkileyebilir
Kural, satıcıların, yama durumu ne olursa olsun, aktif olarak yararlanılan bir güvenlik açığından haberdar olduklarını öğrendikten sonraki bir gün içinde açıklamalarını gerektiriyor Maddesinde belirtilen bu yeni kuralın yeniden değerlendirilmesini istiyor Kuruluşlara sorunları düzeltmeleri için yeterli zaman tanımadan güvenlik açıklarını ortadan kaldırın
Güvenlik açığı bilgilerinin nasıl alınacağına ve açıklanacağına ilişkin kılavuzların yanı sıra raporlamaya ilişkin teknikler ve politika hususları, ISO/IEC 29147’de zaten özetlenmiştir “Kritik güvenlik açıkları daha kısa bir pencereye sahip olabilirken, daha az ciddi sorunlara daha fazla zaman verilebilir
Smith, bu “tartışmaya açık bir şekilde anlık yaklaşıma” bir alternatifin, yazılım şirketlerinin rapor edilen güvenlik açıklarını belirli ancak hızlandırılmış bir zaman çerçevesi içinde kabul etmelerini ve ardından ilerlemeyi keşfeden varlığa düzenli olarak rapor etmelerini talep etmek ve sonuçta bu güvenlik açıklarını düzenli olarak kamuya açık bir şekilde düzeltmelerini talep etmek olduğunu belirtiyor maksimum 90 gün
“Açıklama kesinlikle önemlidir ”
Ne Zaman, Nasıl ve Ne Kadar AçıklanacakConversant Group CEO’su John A
“Hükümetlerin ulusal güvenliği sağlama konusunda meşru çıkarları var” diyor ” ifadesi yer alıyor ”
Hükümetlerin, güvenlik açıklarından faydalanmak yerine sistemleri yamamaya ve korumaya öncelik vermesi konusunda bir denge kurulması gerektiğini söylüyor ve kademeli açıklamayla başlayarak, güvenlik açığının açıklanması için bazı alternatif yaklaşımlar önerdi
Gözetime Göre Yama Uygulamasına Öncelik VerinCritical Start’ta siber tehdit araştırmasının kıdemli yöneticisi Callie Guenther, AB’nin Siber Dayanıklılık Yasası’nın ardındaki niyetin övgüye değer olduğunu, ancak hükümetlerin güncellemeler mevcut olmadan önce güvenlik açığı bilgilerine erişmesinin daha geniş sonuçlarını ve potansiyel istenmeyen sonuçlarını dikkate almanın hayati önem taşıdığını söylüyor ”
GDPR’nin CCPA ve diğer ABD gizlilik yasaları üzerindeki etkisi ile kanıtlandığı gibi, AB’nin düzenleyici kararlarının dalgalanma etkisinin, Avrupa kararlarının ABD’deki benzer düzenleyici hususların habercisi olabileceğini öne sürdüğüne dikkat çekiyor
Avrupa Birliği (AB), yakında yazılım yayıncılarının yama yapılmamış güvenlik açıklarını, kötüye kullanımdan sonraki 24 saat içinde devlet kurumlarına açıklamasını zorunlu kılabilir Smith, güvenlik açıklarının sorumlu bir şekilde ifşa edilmesinin, geleneksel olarak kuruluşların ve güvenlik araştırmacılarının riski anlamalarına ve güvenlik açığını potansiyel tehdit aktörlerine ifşa etmeden önce yamalar geliştirmelerine olanak tanıyan düşünceli bir yaklaşımı içeren bir süreç olduğunu belirtiyor Bazı güvenlik uzmanları, hükümetlerin güvenlik açığı açıklama gerekliliklerini istihbarat veya gözetim amacıyla kötüye kullanma potansiyelini görüyor “Aynı yazılımı kullanan ABD sistemleri de açığa çıkacak ”
siber-1
Günther, “AB düzenlemeleri nedeniyle alelacele açıklanan herhangi bir güvenlik açığının Avrupa’yla sınırlı olmadığı” uyarısında bulunuyor Pek çok BT güvenlik uzmanı, AB Siber Dayanıklılık Yasası’nın (CRA) 11
“ABD şirketleri için bu gelişme büyük önem taşıyor” diyor
Üçüncü yol, araştırmacıların, satıcıların ve hükümetlerin güvenlik açıklarını sorumlu bir şekilde değerlendirmek, yamalamak ve ifşa etmek için birlikte çalıştığı bir sistemi teşvik eden koordineli güvenlik açığı açıklamasına odaklanır
Symmetry Systems’in güvenlik ve GRC kıdemli direktörü Gopi Ramamoorthy, güvenlik açıklarının kapatılmasının aciliyeti konusunda herhangi bir anlaşmazlık olmadığını söylüyor
Herhangi bir kuralın, açıklanan güvenlik açıklarının gözetleme veya saldırı amacıyla kötüye kullanılmasını yasaklayan açık hükümler içermesi gerektiğini ekliyor
“CRA, güvenlik açığı hakkında derin ayrıntılara ihtiyaç duymasa da, bir güvenlik açığının mevcut olduğunun bilinmesi, tehdit aktörlerinin aktif bir güvenlik açığını araştırmaya, test etmeye ve bulmaya çalışmasını sağlamak için yeterlidir” diye uyarıyor
Ramamoorthy, “Güvenlik açığı bilgilerinin yama uygulanmadan önce yayınlanması, yama uygulanmamış sistem veya cihazlardan daha fazla yararlanılmasına ve özel şirketler ile vatandaşların daha fazla risk altına girmesine neden olabileceği yönündeki endişeleri artırdı” dedi Ancak riski azaltmak için araştırma ve keşif sırasında ne zaman, nasıl ve ne kadar ayrıntı sağlandığı konusunda artıları ve eksileri tartmalıyız” diyor “Açık maddeler ve kısıtlamalarla bile ortaya çıkabilecek çok sayıda zorluk ve risk var
AB Dışındaki EtkilerGünther, ABD’nin gözlemleme, öğrenme ve ardından iyi bilgilendirilmiş siber güvenlik politikaları geliştirmenin yanı sıra Avrupa’nın çok hızlı ilerlemesi durumunda olası sonuçlara karşı proaktif olarak hazırlanma fırsatına sahip olduğunu da ekliyor