A Agência da União Europeia para a Segurança Cibernética (ENISA) publica um mapa das políticas nacionais coordenadas de divulgação de vulnerabilidades (CVD) nos Estados-Membros da UE e faz recomendações.
A divulgação de vulnerabilidades tornou-se o foco da atenção dos especialistas em segurança cibernética engajados no fortalecimento da resiliência da segurança cibernética da União Europeia. A fonte de preocupação válida vem das ameaças de segurança cibernética que se aproximam por trás das vulnerabilidades, como demonstrado pelo impacto da vulnerabilidade Log4Shell.
Pesquisadores de segurança e hackers éticos constantemente examinam sistemas de TIC – tanto de código aberto quanto de software de código fechado comercial – para encontrar fraquezas, configurações erradas, vulnerabilidades de software, etc. Uma ampla gama de problemas são, portanto, revelados: senhas fracas, falhas criptográficas fundamentais ou bugs de software profundamente aninhados.
Identificar vulnerabilidades é, portanto, essencial se quisermos impedir que os invasores as explorem. É importante considerar que os atacantes sempre podem desenvolver malware especialmente projetado para explorar vulnerabilidades divulgadas ao público. Além da identificação em si, os fornecedores também podem estar relutantes em reconhecer vulnerabilidades, pois sua reputação pode ser prejudicada como consequência.
O que é divulgação coordenada de vulnerabilidade?
A divulgação coordenada de vulnerabilidades (CVD) é um processo pelo qual os localizadores de vulnerabilidades trabalham juntos e compartilham informações com os stakeholders relevantes, como fornecedores e proprietários de infraestrutura de TIC.
O CVD garante que as vulnerabilidades de software ãoramam ao público uma vez que o fornecedor tenha sido capaz de desenvolver uma correção, um patch ou tenha encontrado uma solução diferente.
Quais são as políticas nacionais coordenadas de divulgação de vulnerabilidades?
As políticas nacionais de DCV são marcos nacionais de regras e acordos destinados a garantir:
- pesquisadores entram em contato com as partes certas para divulgar a vulnerabilidade
- fornecedores podem desenvolver uma correção ou um patch em tempo hábil
- pesquisadores recebem reconhecimento de seu trabalho e são protegidos da acusação.
What is the situation in the EU?
The report published today maps the national CVD policies in place across the EU, compares the different approaches and, highlights good practices.
A análise permite observar uma ampla disparidade entre os Estados-Membros em relação ao seu nível de realização da política de DCV. No momento da coleta dos dados utilizados no relatório, apenas quatro Estados-Membros já haviam implementado essa política de DCV, enquanto outros quatro estavam prestes a fazê-lo. Os demais Estados-Membros estão divididos em dois grupos: aqueles que discutem atualmente como avançar e aqueles que ainda não chegaram a esse estágio.
Quais são as recomendações da ENISA para promover a DCV?
As principais recomendações da análise de dezenove Estados-Membros da UE incluem:
- Alterações às leis penais e à Diretiva de Crimes Cibernéticos para oferecer proteção legal aos pesquisadores de segurança envolvidos na descoberta de vulnerabilidades
- a definição de critérios específicos para uma distinção clara entre atividades de “hacking ético” e “chapéus negros” antes de estabelecer qualquer proteção legal para pesquisadores de segurança
- Incentivos a serem desenvolvidos para que os pesquisadores de segurança participem ativamente da pesquisa de DCV, seja através de programas nacionais ou europeus de recompensa por bugs, ou através da promoção e realização de treinamentos de segurança cibernética.
Além do exposto, recomendações adicionais são emitidas em relação aos desafios econômicos e policiais e também abordam as atividades operacionais e de gestão de crises.
Próximos passos
A proposta da Comissão para a revisão da Diretiva de Segurança da Rede e da Informação ou proposta nis2 prevê que os países da UE implementem uma política nacional de DCV. A ENISA apoiará os Estados-Membros da UE com a implementação desta disposição e desenvolverá uma diretriz para ajudar os Estados-Membros da UE a estabelecer suas políticas nacionais de DCV.
Além disso, a ENISA precisará desenvolver e manter um banco de dados de vulnerabilidades da UE (EUVDB). O trabalho complementará as bases de dados de vulnerabilidade internacional já existentes. A ENISA começará a discutir a implementação do banco de dados com a Comissão Europeia e os Estados-Membros da UE após a aprovação da proposta do NIS2.
FONTE: HELPNET SECURITY