Cyberbezpieczeństwo
Pekin wie, gdzie są luki w oprogramowaniu. Co robi z tą wiedzą?
Rząd w Pekinie może mieć wiedzę o podatnościach cyberbezpieczeństwa, zanim naprawią je firmy – ostrzega jeden z ważniejszych urzędników USA. Wynika to z ustaw, które regulują sposób zgłaszania błędów cyberbezpieczeństwa w oprogramowaniu w Chinach.
Chiński rząd najprawdopodobniej wykorzystuje wdrożone wcześniej w tym roku regulacje prawne dotyczące sposobu zgłaszania poważnych luk bezpieczeństwa w oprogramowaniu do zdobywania wiedzy na temat podatności zero-day – ostrzega jeden z ważniejszych urzędników ministerstwa bezpieczeństwa wewnętrznego USA, cytowany przez serwis CyberScoop.
Na co pozwala chińskie prawo?
W praktyce na zdobywanie przez administrację w Pekinie wczesnego dostępu do najnowszych podatności w oprogramowaniu, które nie zostały jeszcze załatane przez odpowiedzialne za nie firmy. Twierdzi tak podsekretarz ds. polityki w ministerstwie bezpieczeństwa wewnętrznego USA Robert Silvers.
Czytaj też
Jego zdaniem, jeśli Pekin analizuje luki typu zero-day lub inne nieznane wcześniej podatności, może wykorzystywać je do przewagi m.in. w prowadzeniu cyberataków przeciwko Stanom Zjednoczonym lub swoim innym adwersarzom w cyberprzestrzeni.
Log4j rodzi pytania o działania Pekinu
Według Silversa, specjalny zespół ministerstwa powołany do zbadania luki Log4j odkrytej pierwotnie przez chińskich specjalistów z koncernu Alibaba ocenił, że jego działania jak i nowe regulacje prawne w Chinach rodzą wiele pytań na temat roli, jakie prawo regulujące kwestie ujawniania luk bezpieczeństwa w ChRL odgrywa w budowaniu chińskiej cyberpotęgi.
Silvers odnotował przy tym, że w przypadku wspomnianej luki Log4j koncern Alibaba podał ją do wiadomości zanim poinformował o tym chiński rząd. Zdaniem podsekretarza, koncern został najpewniej za swoje działania ukarany przez administrację w Pekinie, co stawia kolejne pytania – bo w ocenie Silversa firma postąpiła słusznie.
Czytaj też
Alibaba informacje o podatności Log4j przekazała chińskiej administracji 13 grudnia, cztery dni po poinformowaniu na jej temat odpowiedzialnej za rozwój oprogramowania, którego dotyczyła podatność, organizacji Apache Software Foundation.
Jakie obowiązki na podmioty nakłada chińskie prawo?
Regulacje dotyczące informowania o wykrytych podatnościach oprogramowania i sprzętu zobowiązują podmioty, które je wykryły, do przekazywania informacji na ten temat organom chińskiej administracji w ciągu dwóch dni od odkrycia.
Prawo zabrania również informowania opinii publicznej o wykrytych podatnościach w czasie trwania wydarzeń o znaczeniu państwowym.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].