Polityka i prawo
Wielka Brytania stworzyła reguły informowania o podatnościach bezpieczeństwa
Wielka Brytania stworzyła reguły informowania o podatnościach cyberbezpieczeństwa wykrytych wspólnie przez Narodowe Centrum Cyberbezpieczeństwa (NCSC) i Centralę Łączności Rządowej (GCHQ). Ich głównym zadaniem ma być wsparcie bezpieczeństwa narodowego.
Przedstawiciele GCHQ zaznaczyli, że w ciągu ostatnich dwudziestu lat wielokrotnie informowali producentów sprzętu elektronicznego i oprogramowania o odkrytych przez siebie podatnościach cyberbezpieczeństwa. Dotyczy to zarówno platform mobilnych, jak i sprzętu oraz oprogramowania komputerowego - podkreślili.
Zdaniem brytyjskiej agencji rozwiązywanie problemów z zakresu cyberbezpieczeństwa odgrywa istotną rolę w gospodarce i wywiera wpływ na życie milionów obywateli nie tylko Wielkiej Brytanii, ale i innych krajów świata. Funkcjonariusze poinformowali jednak, że nie o każdej odkrytej podatności mówią publicznie. W niektórych przypadkach bezpieczeństwo narodowe wymaga zachowania informacji o zagrożeniu wewnątrz struktur GCHQ i NCSC, a także rozwiązania problemu w ramach bezpośredniej współpracy z producentem danego produktu.
Służby wskazały, że to tylko jeden z możliwych scenariuszy zarządzania informacjami o podatnościach. Alternatywa zakłada zachowanie wiedzy o ryzyku w ścisłym gronie pracowników służb, które wykorzystują zdobyte informacje do poszerzenia swojej wiedzy na temat zagrożeń związanych z wystąpieniem danej podatności dla bezpieczeństwa narodowego. Dotyczy to np. możliwości zastosowania ich przez organizacje terrorystyczne lub przestępcze albo wrogie państwa.
Jak stwierdził dyrektor ds. technicznych NCSC Ian Levy, wybór pomiędzy dwoma scenariuszami informowania o podatnościach bezpieczeństwa dokonywany jest na podstawie analizy wielu czynników. Informacje o ryzykach nie są ujawniane przez rządowe agencje do momentu opracowania uaktualnień zabezpieczających, które umożliwiają podjęcie należytych środków ostrożności przez użytkowników.