Uma resposta mista às novas regras de divulgação de vulnerabilidades da UE
19 de Outubro de 2023

Dezenas de especialistas globais em segurança cibernética alertaram que novas atualizações no Artigo 11 do Ato de Resiliência Cibernética (CRA) da União Europeia poderiam criar riscos desnecessários para consumidores e empresas.

O Ato de Resiliência Cibernética Europeia (CRA), que é um enquadramento jurídico, delineia as exigências de segurança cibernética aplicáveis a produtos de hardware e software disponíveis no mercado da União Europeia.

O objetivo do CRA é estabelecer padrões de segurança cibernética para produtos com elementos digitais.

Busca-se aprimorar as regras de segurança cibernética para ambos, software e hardware, com o objetivo de proteger empresas e consumidores de recursos de segurança inferiores.

No entanto, altos representantes de mais de 50 organizações, incluindo Google, a Fundação Fronteira Eletrônica (EFF) e o Instituto CyberPeace, afirmaram em uma carta aberta que certos aspectos do artigo são 'contraprodutivos' e levam a novas ameaças que comprometem a segurança dos produtos digitais e das pessoas que os utilizam.

De acordo com o Artigo 11, os editores de software seriam obrigados a relatar quaisquer vulnerabilidades de segurança não corrigidas à Agência da União Europeia para a Segurança Cibernética (ENISA) dentro de 24 horas de sua descoberta.

Informações sobre essas vulnerabilidades seriam compartilhadas com várias agências governamentais responsáveis pela segurança nos estados membros da UE.

Isso exigiria que os provedores de software alimentassem suas vulnerabilidades conhecidas em um "banco de dados em tempo real" contendo informações sobre falhas não corrigidas, fornecendo às agências insights sobre desafios de segurança em andamento ou potenciais.

Aumentando a transparência e a responsabilidade.

Esta iniciativa faz parte do esforço da União Europeia para aumentar a transparência e a responsabilidade, acelerar a divulgação de vulnerabilidades e, acima de tudo, proteger os interesses dos consumidores.

Achi Lewis, vice-presidente da área EMEA para o Absolute Software, acrescentou: “O relato oportuno e preciso das vulnerabilidades é crucial para as organizações, não apenas para proteger a própria organização, mas outras ao longo da cadeia de suprimentos, bem como alertar os provedores de software para possíveis problemas.

“O atual cenário de aplicação de correções é desordenado, e nossa pesquisa no Índice de Resiliência descobriu que existem, por exemplo, 14 versões diferentes do Windows 10 sendo usadas por empresas de grande porte, com mais de 800 correções diferentes.

Isso é agravado por um em cada seis dispositivos funcionando com uma correção antiga, aumentando os riscos de segurança cibernética para o dispositivo e, consequentemente, para a organização.

"Os gerentes de TI já têm um trabalho difícil de gerenciar uma frota de dispositivos que pode trabalhar de qualquer lugar, por isso garantir que as correções estejam atualizadas é um passo importante para fortalecer a segurança, e novas regras de relatório de vulnerabilidade como parte do Ato de Resiliência Cibernética apoiará as organizações para impedir a propagação de vulnerabilidades.

Essas ações melhores prepararão as organizações para prevenir incidentes cibernéticos, bem como aprimorar os protocolos de resposta quando ocorrem ataques".

Na carta aberta, os críticos argumentam que, ao ter um repositório de vulnerabilidades não corrigidas, as organizações correm um risco maior e podem ser alvo de atores mal-intencionados.

Eles argumentam que essa abordagem simplesmente incentiva uma tendência de “acelerar o processo de divulgação, aumentando a pressão sobre as equipes de segurança e provedores de software, o que pode levar a correções falhas.”

Em resposta, a carta aberta propõe uma sugestão de que os requisitos obrigatórios de relatório devem ser alterados para dentro de 72 horas de conseguir uma "mitigação eficaz", para mitigar o risco de exploração.

Para obter mais insights sobre o mundo do Cyber, confira a última edição da revista Cyber e certifique-se de nos seguir no LinkedIn & Twitter.

Outras revistas que podem ser de seu interesse - Revista de Tecnologia | Revista de IA.

Também confira nosso próximo evento - Cloud and 5G LIVE em 11 e 12 de outubro de 2023.

A BizClik é um provedor global de plataformas de mídia digital B2B que cobre comunidades executivas para CEOs, CFOs, CMOs, líderes de sustentabilidade, líderes de aquisições e cadeia de suprimentos, líderes de tecnologia e IA, líderes cibernéticos, líderes de FinTech e InsurTech, bem como indústrias como manufatura, mineração, energia, veículos elétricos, construção, saúde e alimentação.

A BizClik - com sede em Londres, Dubai e Nova York - oferece serviços como criação de conteúdo, publicidade e soluções de patrocínio, webinars e eventos.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...