Niedawno mieliśmy do czynienia z głośną sprawą ataków hakerskich skierowanych w polskich parlamentarzystów, co wywołało dyskusję o tym, w jaki sposób jako państwo powinniśmy podchodzić do incydentów cyberbezpieczeństwa.

Chiny idą właśnie o krok dalej i wprowadzają interesującą strategię, która wywraca do góry nogami postrzeganie podatności bezpieczeństwa.

Co zostanie zakazane / nakazane?

Chiński rząd wprowadził regulacje, które dotyczą bezpośrednio sposobu w jaki ujawniane mogą być podatności bezpieczeństwa. Zaczną one obowiązywać na przełomie tego i następnego roku. Niektóre z nich to np.:

  • Zakazanie organizacjom gromadzenia, sprzedawania, lub publikacji informacji o podatnościach bezpieczeństwa
  • Organizacja, która otrzyma raport o podatnościach bezpieczeństwa, powinna przechowywać go wraz z dokumentacją wdrożonych działań przez co najmniej 6 miesięcy
  • Rekomenduje się wprowadzenie nagród dla badaczy bezpieczeństwa
  • Zakazuje się tzw. full disclosure, czyli ujawniania błędów dopóki nie zostaną one naprawione
  • Ale zakazuje się także przesadzonych kalkulacji ryzyka w raportach
  • Zabrania się także publikowania eksploitów, jak również
  • Udzielania ich zagranicznym firmom (czy to delegalizacja bug bounty?)
  • Oraz nakazuje się rejestrowanie zgłoszonych podatności w centralnym rejestrze – przez firmy, ponadto każdy badacz musi zgłosić tam każdą znalezioną podatność w terminie do dwóch dni od jej znalezienia.

Ponadto nowe prawo przewiduje kary dla firm, które nieefektywnie lub opieszale wprowadzają poprawki bezpieczeństwa, a firmy, które obsługują więcej niż milion użytkowników obowiązkowo muszą przejść audyt cyberbezpieczeństwa zanim będą mogły zadebiutować na międzynarodowych giełdach.

Nas to też kiedyś może czekać

Z jednej strony, wygląda na to, że cyberbezpieczeństwo zaczyna mieć coraz większe znaczenie na świecie, z drugiej jednak, dla pojedynczych badaczy z pewnością wprowadza to dodatkowe obowiązki i zamyka w pewnym stopniu okno na świat poprzez uregulowanie zbierania referencji czy uczestnictwa w bug bounty. Należy się spodziewać, że kolejne kraje mogą w przyszłości także formalizować ten obszar – niekoniecznie w taki sam sposób oczywiście, jednak w podobnym kierunku. Z drugiej strony, dla wszystkich aspirujących do branży lub już w niej pracujących oznacza to, że pracy raczej nie zabraknie.

Źródło: http://www.cac.gov.cn/2021-07/13/c_1627761607640342.htm