Niedawno mieliśmy do czynienia z głośną sprawą ataków hakerskich skierowanych w polskich parlamentarzystów, co wywołało dyskusję o tym, w jaki sposób jako państwo powinniśmy podchodzić do incydentów cyberbezpieczeństwa.
Chiny idą właśnie o krok dalej i wprowadzają interesującą strategię, która wywraca do góry nogami postrzeganie podatności bezpieczeństwa.
Co zostanie zakazane / nakazane?
Chiński rząd wprowadził regulacje, które dotyczą bezpośrednio sposobu w jaki ujawniane mogą być podatności bezpieczeństwa. Zaczną one obowiązywać na przełomie tego i następnego roku. Niektóre z nich to np.:
- Zakazanie organizacjom gromadzenia, sprzedawania, lub publikacji informacji o podatnościach bezpieczeństwa
- Organizacja, która otrzyma raport o podatnościach bezpieczeństwa, powinna przechowywać go wraz z dokumentacją wdrożonych działań przez co najmniej 6 miesięcy
- Rekomenduje się wprowadzenie nagród dla badaczy bezpieczeństwa
- Zakazuje się tzw. full disclosure, czyli ujawniania błędów dopóki nie zostaną one naprawione
- Ale zakazuje się także przesadzonych kalkulacji ryzyka w raportach
- Zabrania się także publikowania eksploitów, jak również
- Udzielania ich zagranicznym firmom (czy to delegalizacja bug bounty?)
- Oraz nakazuje się rejestrowanie zgłoszonych podatności w centralnym rejestrze – przez firmy, ponadto każdy badacz musi zgłosić tam każdą znalezioną podatność w terminie do dwóch dni od jej znalezienia.
Ponadto nowe prawo przewiduje kary dla firm, które nieefektywnie lub opieszale wprowadzają poprawki bezpieczeństwa, a firmy, które obsługują więcej niż milion użytkowników obowiązkowo muszą przejść audyt cyberbezpieczeństwa zanim będą mogły zadebiutować na międzynarodowych giełdach.
Nas to też kiedyś może czekać
Z jednej strony, wygląda na to, że cyberbezpieczeństwo zaczyna mieć coraz większe znaczenie na świecie, z drugiej jednak, dla pojedynczych badaczy z pewnością wprowadza to dodatkowe obowiązki i zamyka w pewnym stopniu okno na świat poprzez uregulowanie zbierania referencji czy uczestnictwa w bug bounty. Należy się spodziewać, że kolejne kraje mogą w przyszłości także formalizować ten obszar – niekoniecznie w taki sam sposób oczywiście, jednak w podobnym kierunku. Z drugiej strony, dla wszystkich aspirujących do branży lub już w niej pracujących oznacza to, że pracy raczej nie zabraknie.
Źródło: http://www.cac.gov.cn/2021-07/13/c_1627761607640342.htm