Araştırmacılar aslında bazı firmaların ikinci seçeneği tercih ettiğini buldu. Sanayi ve Bilgi Teknolojileri Bakanlığı bünyesindeki bir araştırma kuruluşunun Çince sosyal medya hizmeti WeChat’teki hesabına gönderilen Temmuz 2022 tarihli bir belgeye işaret ediyorlar. Yayınlanan belgede, Güvenlik Açığı Bilgi Paylaşımı programının “incelemeyi geçen” üyeleri listeleniyor ve bu da muhtemelen listelenen şirketlerin yasaya uyduğunu gösteriyor. Endüstriyel kontrol sistemi (veya ICS) teknoloji şirketlerine odaklanan listede Çinli olmayan altı firma yer alıyor: Beckhoff, D-Link, KUKA, Omron, Phoenix Contact ve Schneider Electric.
WIRED, altı firmaya da gerçekten yasalara uyup uymadıklarını ve ürünlerindeki yamalanmamış güvenlik açıkları hakkındaki bilgileri Çin hükümetiyle paylaşıp paylaşmadıklarını sordu. Yalnızca ikisi, D-Link ve Phoenix Contact, Çinli yetkililere yamalı güvenlik açıkları hakkında bilgi vermeyi açıkça reddetti; ancak diğerlerinin çoğu, Çin hükümetine yalnızca nispeten zararsız güvenlik açığı bilgileri sunduklarını ve bunu aynı zamanda bu bilgiyi verdiklerini iddia etti. diğer ülkelerin hükümetlerine veya kendi müşterilerine.
Atlantik Konseyi raporunun yazarları, Sanayi ve Bilgi Teknolojileri Bakanlığı’nın listesindeki şirketlerin, Çinli devlet korsanları tarafından hemen kullanılabilecek ayrıntılı güvenlik açığı bilgilerini muhtemelen vermediklerini kabul ediyor. Bir güvenlik açığından yararlanan bir bilgisayar korsanlığı yazılımı aracı olan güvenilir bir “istismar”ın kodlanması, bazen uzun ve zor bir süreçtir ve Çin yasalarının gerektirdiği güvenlik açığına ilişkin bilgiler, bu tür bir istismarın hemen oluşturulması için yeterince ayrıntılı olmayabilir.
Ancak yasa metni, şirketlerin etkilenen ürünün adını, model numarasını ve sürümünün yanı sıra güvenlik açığının “teknik özelliklerini, tehdidini, etki kapsamını vb.” belirtmesini (biraz muğlak bir şekilde) gerektiriyor. Atlantik Konseyi raporunun yazarları, hacklenebilir kusurları bildirmek için çevrimiçi portala erişim sağladıklarında, bu portalın, kodun neresinde güvenlik açığını “tetikleyeceğine” ilişkin ayrıntılar için gerekli bir giriş alanı veya “güvenlik açığının ayrıntılı kanıtını” gösteren bir video içerdiğini buldular. keşif süreci”nin yanı sıra kusuru göstermek için kavram kanıtını kullanan bir istismarın yüklenmesi için gerekli olmayan bir giriş alanı. Tüm bunlar, yama yapılmamış güvenlik açıkları hakkında diğer hükümetlerin genellikle talep ettiğinden veya şirketlerin genellikle müşterileriyle paylaştığından çok daha fazla bilgi anlamına geliyor.
Kristin Del Rosso, bu ayrıntılar veya kavram kanıtı istismarı olmasa bile, bir hatanın gerekli düzeyde spesifikliğe sahip yalnızca bir açıklamasının, Çin’in saldırgan bilgisayar korsanlarına, istismar edecekleri yeni güvenlik açıkları ararken bir “öncülük” sağlayacağını söylüyor. Atlantik Konseyi raporunun ortak yazarı olan siber güvenlik firması Sophos’un kamu sektörü baş teknoloji sorumlusu. Yasanın, devlet destekli bilgisayar korsanlarına, şirketlerin sistemlerini yamalama ve savunma çabalarına karşı yarışlarında önemli bir avantaj sağlayabileceğini savunuyor. Del Rosso, “Bu, ‘Buraya bakın ve kazmaya başlayın’ diyen bir haritaya benziyor” diyor. “Bu güvenlik açıklarının potansiyel olarak silah haline getirilmesine hazırlıklı olmalıyız.”
Eğer Çin yasaları aslında ülkenin devlet destekli bilgisayar korsanlarının hacklenebilir kusurlardan oluşan daha büyük bir cephanelik kazanmasına yardımcı oluyorsa, bunun ciddi jeopolitik sonuçları olabilir. ABD’nin Çin ile ülkenin siber casusluğu ve yıkıcı siber saldırıya yönelik görünürdeki hazırlıkları nedeniyle yaşadığı gerilim son aylarda zirveye ulaştı. Örneğin Temmuz ayında Siber Güvenlik ve Bilgi Güvenliği Ajansı (CISA) ve Microsoft, Çinli bilgisayar korsanlarının bir şekilde Çinli casusların Dışişleri Bakanlığı ve Ticaret Bakanlığı da dahil olmak üzere 25 kuruluşun e-posta hesaplarına erişmesine olanak tanıyan bir kriptografik anahtar elde ettiğini ortaya çıkardı. Microsoft, CISA ve NSA, belki de ABD askeri üslerinin elektriğini kesme yeteneği elde etmek için ABD eyaletleri ve Guam’daki elektrik şebekelerine kötü amaçlı yazılım yerleştiren Çin kökenli bir hackleme kampanyası hakkında da uyarıda bulundu.