Avrupa Birliği (AB), yakında yazılım yayıncılarının yama yapılmamış güvenlik açıklarını, kötüye kullanımdan sonraki 24 saat içinde devlet kurumlarına açıklamasını zorunlu kılabilir. Pek çok BT güvenlik uzmanı, AB Siber Dayanıklılık Yasası’nın (CRA) 11. Maddesinde belirtilen bu yeni kuralın yeniden değerlendirilmesini istiyor.
Kural, satıcıların, yama durumu ne olursa olsun, aktif olarak yararlanılan bir güvenlik açığından haberdar olduklarını öğrendikten sonraki bir gün içinde açıklamalarını gerektiriyor. Bazı güvenlik uzmanları, hükümetlerin güvenlik açığı açıklama gerekliliklerini istihbarat veya gözetim amacıyla kötüye kullanma potansiyelini görüyor.
Aralarında ARM, Google ve Trend Micro’nun temsilcilerinin de bulunduğu sektör ve akademi dünyasından 50 önde gelen siber güvenlik uzmanı tarafından imzalanan açık mektupta imzacılar, 24 saatlik sürenin yeterli olmadığını ve aynı zamanda rakiplerin saldırıya geçmesine kapı açacağını savunuyor. Kuruluşlara sorunları düzeltmeleri için yeterli zaman tanımadan güvenlik açıkları.
Mektupta, “CRA’nın Avrupa ve ötesinde siber güvenliği artırma amacını takdir etsek de, güvenlik açığının ifşa edilmesine ilişkin mevcut hükümlerin ters etki yarattığına ve dijital ürünlerin ve bunları kullanan bireylerin güvenliğini zayıflatacak yeni tehditler yaratacağına inanıyoruz.” ifadesi yer alıyor.
Symmetry Systems’in güvenlik ve GRC kıdemli direktörü Gopi Ramamoorthy, güvenlik açıklarının kapatılmasının aciliyeti konusunda herhangi bir anlaşmazlık olmadığını söylüyor. Endişeler, güvenlik açıklarının güncellemeler yayınlanmadan önce duyurulması üzerinde yoğunlaşıyor; çünkü bu, kuruluşları saldırı riskiyle karşı karşıya bırakıyor ve bunu önlemek için hiçbir şey yapamıyor.
Ramamoorthy, “Güvenlik açığı bilgilerinin yama uygulanmadan önce yayınlanması, yama uygulanmamış sistem veya cihazlardan daha fazla yararlanılmasına ve özel şirketleri ve vatandaşları daha fazla risk altına sokabileceğine dair endişeleri artırdı” dedi.
Gözetime Göre Yama Uygulamasına Öncelik Verin
Critical Start’ta siber tehdit araştırmasının kıdemli yöneticisi Callie Guenther, AB’nin Siber Dayanıklılık Yasası’nın ardındaki niyetin övgüye değer olduğunu, ancak hükümetlerin güncellemeler mevcut olmadan önce güvenlik açığı bilgilerine erişmesinin daha geniş sonuçlarını ve potansiyel istenmeyen sonuçlarını dikkate almanın hayati önem taşıdığını söylüyor.
“Hükümetlerin ulusal güvenliği sağlama konusunda meşru çıkarları var” diyor. “Ancak güvenlik açıklarını istihbarat veya saldırı yetenekleri için kullanmak vatandaşları ve altyapıyı tehditlere açık bırakabilir.”
Hükümetlerin, güvenlik açıklarından faydalanmak yerine sistemleri yamamaya ve korumaya öncelik vermesi konusunda bir denge kurulması gerektiğini söylüyor ve kademeli açıklamayla başlayarak, güvenlik açığının açıklanması için bazı alternatif yaklaşımlar önerdi.
Günther, “Bir güvenlik açığının ciddiyetine ve etkisine bağlı olarak, ifşa için farklı zaman dilimleri belirlenebilir” diyor. “Kritik güvenlik açıkları daha kısa bir pencereye sahip olabilirken, daha az ciddi sorunlara daha fazla zaman verilebilir.”
İkinci bir alternatif, ayrıntılı güvenlik açığı daha geniş bir kitleye açıklanmadan önce satıcılara kısa bir ek süre ile bir ön bildirim verilebildiği ön bildirimle ilgilidir.
Üçüncü yol, araştırmacıların, satıcıların ve hükümetlerin güvenlik açıklarını sorumlu bir şekilde değerlendirmek, yamalamak ve ifşa etmek için birlikte çalıştığı bir sistemi teşvik eden koordineli güvenlik açığı açıklamasına odaklanır.
Herhangi bir kuralın, açıklanan güvenlik açıklarının gözetim veya saldırı amacıyla kötüye kullanılmasını yasaklayan açık hükümler içermesi gerektiğini ekliyor.
“Ek olarak, yalnızca yeterli izin ve eğitime sahip seçilmiş personelin veri tabanına erişimi olmalıdır, bu da sızıntı veya kötüye kullanım riskini azaltır” diyor. “Açık maddeler ve kısıtlamalarla bile ortaya çıkabilecek çok sayıda zorluk ve risk var.”
Ne Zaman, Nasıl ve Ne Kadar Açıklanacak
Conversant Group CEO’su John A. Smith, güvenlik açıklarının sorumlu bir şekilde ifşa edilmesinin, geleneksel olarak kuruluşların ve güvenlik araştırmacılarının riski anlamalarına ve güvenlik açığını potansiyel tehdit aktörlerine ifşa etmeden önce yamalar geliştirmelerine olanak tanıyan düşünceli bir yaklaşımı içeren bir süreç olduğuna dikkat çekiyor.
“CRA, güvenlik açığı hakkında derin ayrıntılara ihtiyaç duymasa da, bir güvenlik açığının mevcut olduğunun bilinmesi, tehdit aktörlerinin aktif bir güvenlik açığını araştırmaya, test etmeye ve bulmaya çalışmasını sağlamak için yeterlidir” diye uyarıyor.
Onun bakış açısına göre, güvenlik açığı herhangi bir hükümete veya AB’ye de bildirilmemeli; bunun gerekli kılınması tüketici güvenini azaltacak ve ulus devletin casusluk riskleri nedeniyle ticarete zarar verecektir.
“Açıklama kesinlikle önemlidir. Ancak riski azaltmak için araştırma ve keşif sırasında ne zaman, nasıl ve ne kadar ayrıntı sağlandığı konusunda artıları ve eksileri tartmalıyız” diyor.
Smith, bu “tartışmalı bir şekilde anlık yaklaşıma” bir alternatifin, yazılım şirketlerinin rapor edilen güvenlik açıklarını belirli ancak hızlandırılmış bir zaman çerçevesi içinde kabul etmelerini ve ardından ilerlemeyi keşfeden varlığa düzenli olarak rapor etmelerini talep etmek ve sonuçta kendi içinde kamuya açık bir düzeltme sağlamak olduğunu belirtiyor. maksimum 90 gün.
Güvenlik açığı bilgilerinin nasıl alınacağına ve açıklanacağına ilişkin kılavuzların yanı sıra raporlamaya yönelik teknikler ve politika hususları, ISO/IEC 29147’de zaten özetlenmiştir.
AB Dışındaki Etkiler
Günther, ABD’nin gözlemleme, öğrenme ve ardından iyi bilgilendirilmiş siber güvenlik politikaları geliştirmenin yanı sıra Avrupa’nın çok hızlı ilerlemesi durumunda olası sonuçlara karşı proaktif olarak hazırlanma fırsatına sahip olduğunu da ekliyor.
“ABD şirketleri için bu gelişme büyük önem taşıyor” diyor. “Birçok Amerikan şirketi küresel ölçekte faaliyet gösteriyor ve AB’deki düzenleyici değişiklikler küresel operasyonlarını etkileyebilir.”
GDPR’nin CCPA ve diğer ABD gizlilik yasaları üzerindeki etkisi ile kanıtlandığı gibi, AB’nin düzenleyici kararlarının dalgalanma etkisine dikkat çekiyor ve Avrupa kararlarının ABD’deki benzer düzenleyici hususların habercisi olabileceğini öne sürüyor
Günther, “AB düzenlemeleri nedeniyle alelacele açıklanan herhangi bir güvenlik açığının Avrupa’yla sınırlı olmadığı” uyarısında bulunuyor. “Aynı yazılımı kullanan ABD sistemleri de açığa çıkacak.”