Компании напряглись: стоит ли им оставаться на борту Титаника?
Правительство Великобритании планирует обязать компании и исследователей сообщать о новых уязвимостях в системах безопасности и оставлять их неисправленными до проверки и одобрения необходимых правок. Подобная практика уже существует в Китае, но критикуется многочисленными ИБ-специалистами.
Представленные недавно Для просмотра ссылки Войдиили Зарегистрируйся Закона о следственных полномочиях 2016 года, регулирующего наблюдение за электронными коммуникациями в Соединённом Королевстве, привлекли внимание экспертов по кибербезопасности и свободе интернета.
Предлагаемые поправки фактически обяжут компании уведомлять правительство перед внесением любых технических изменений в свои системы. Это означает, что любой сервис, планирующий ввести важные функции или исправления безопасности, сначала должен будет проинформировать министерство внутренних дел Великобритании.
А если эта информация вдруг утечёт в открытый доступ, что также случается, безопасность всех пользователей сервиса по всему миру может оказаться под угрозой. Не говоря уже о том, что чем дольше уязвимость остаётся открытой, тем больше у киберпреступников шансов наткнуться на неё и успеть применить в реальных атаках.
По мнению Иоанниса Коувакаса, старшего юридического советника компании Privacy International, данные меры подрывающие сквозное шифрование и другие инструменты безопасности, и вряд ли выдержат тест на необходимость и соразмерность, закреплённый в статье 8 Европейской конвенции о правах человека.
Джон Скотт-Рейлтон, старший научный сотрудник Citizen Lab при Университете Торонто, назвал действия Лондона катастрофически краткосрочными: «Любой технический продукт, который останется в Великобритании, будет под подозрением на мировом рынке. Сектор исчезнет. Прощайте, инвестиции в технологии и рабочие места», — заявил Скотт-Рейлтон.
«Вы не сможете быть конкурентоспособны на глобальном уровне, когда для выпуска любых экстренных обновлений, исправляющих активно используемые уязвимости, вам нужно будет одобрение британского бюрократа», — добавил эксперт.
Тем не менее, подобную практику уже использует Китай — все обнаруженные китайскими исследователями уязвимости немедленно докладываются правительству. Теперь Великобритания, похоже, намерена последовать этому примеру.
Таким образом, планы Великобритании по введению обязательного уведомления о новых уязвимостях в системах кибербезопасности вызывают обоснованные опасения у экспертов, подрывают доверие пользователей и инвесторов, а также создают реальные риски для кибербезопасности в глобальном масштабе.
Вместо того, чтобы следовать весьма неоднозначному примеру Китая, правительствам развитых стран, возможно, следует налаживать тесный и обязательно конструктивный диалог с сообществом технических специалистов и внедрять только те решения, которые пойдут на благо всех пользователей конкретно взятого продукта.
Правительство Великобритании планирует обязать компании и исследователей сообщать о новых уязвимостях в системах безопасности и оставлять их неисправленными до проверки и одобрения необходимых правок. Подобная практика уже существует в Китае, но критикуется многочисленными ИБ-специалистами.
Представленные недавно Для просмотра ссылки Войди
Предлагаемые поправки фактически обяжут компании уведомлять правительство перед внесением любых технических изменений в свои системы. Это означает, что любой сервис, планирующий ввести важные функции или исправления безопасности, сначала должен будет проинформировать министерство внутренних дел Великобритании.
А если эта информация вдруг утечёт в открытый доступ, что также случается, безопасность всех пользователей сервиса по всему миру может оказаться под угрозой. Не говоря уже о том, что чем дольше уязвимость остаётся открытой, тем больше у киберпреступников шансов наткнуться на неё и успеть применить в реальных атаках.
По мнению Иоанниса Коувакаса, старшего юридического советника компании Privacy International, данные меры подрывающие сквозное шифрование и другие инструменты безопасности, и вряд ли выдержат тест на необходимость и соразмерность, закреплённый в статье 8 Европейской конвенции о правах человека.
Джон Скотт-Рейлтон, старший научный сотрудник Citizen Lab при Университете Торонто, назвал действия Лондона катастрофически краткосрочными: «Любой технический продукт, который останется в Великобритании, будет под подозрением на мировом рынке. Сектор исчезнет. Прощайте, инвестиции в технологии и рабочие места», — заявил Скотт-Рейлтон.
«Вы не сможете быть конкурентоспособны на глобальном уровне, когда для выпуска любых экстренных обновлений, исправляющих активно используемые уязвимости, вам нужно будет одобрение британского бюрократа», — добавил эксперт.
Тем не менее, подобную практику уже использует Китай — все обнаруженные китайскими исследователями уязвимости немедленно докладываются правительству. Теперь Великобритания, похоже, намерена последовать этому примеру.
Таким образом, планы Великобритании по введению обязательного уведомления о новых уязвимостях в системах кибербезопасности вызывают обоснованные опасения у экспертов, подрывают доверие пользователей и инвесторов, а также создают реальные риски для кибербезопасности в глобальном масштабе.
Вместо того, чтобы следовать весьма неоднозначному примеру Китая, правительствам развитых стран, возможно, следует налаживать тесный и обязательно конструктивный диалог с сообществом технических специалистов и внедрять только те решения, которые пойдут на благо всех пользователей конкретно взятого продукта.
- Источник новости
- www.securitylab.ru