A CISA ordena às agências que criem programas de divulgação de vulnerabilidades
Dentre dezenas de agências civis federais, apenas um punhado delas tem programas oficiais para trabalhar com pesquisadores de segurança externos para encontrar e corrigir bugs de software – um processo que é comum no setor privado.
Agora, para acabar com a lentidão, a Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna está dando às agências seis meses para configurar os programas, conhecidos como políticas de divulgação de vulnerabilidade (VDPs).
A CISA emitiu na quarta-feira uma diretiva exigindo que as agências estabeleçam VDPs que previnam ações legais contra pesquisadores que agem de boa fé, permitem que os participantes enviem relatórios de vulnerabilidade anonimamente e cobrem pelo menos um sistema ou serviço acessível pela Internet. É o mais recente sinal de que as autoridades federais estão gostando de hackers de chapéu branco de várias classes sociais.
“Acreditamos que a melhor segurança dos sistemas de computador do governo só pode ser alcançada quando as pessoas têm a oportunidade de ajudar”, disse o diretor assistente da CISA, Bryan S. Ware, ao anunciar a diretiva.
A Casa Branca ecoou essa linguagem em um memorando às agências que apóiam a iniciativa VDP e definem prazos para as agências agirem.
“Ao fornecer mecanismos de relatório, feedback oportuno e remediação, as agências podem se beneficiar de pesquisas de segurança de boa fé para aumentar a segurança dos sistemas de informação federais”, afirma o memorando do Office of Management and Budget.
O progresso federal em VDPs tem sido lento. Muito poucas agências civis federais adotaram programas nos 10 meses desde que o CyberScoop informou que a CISA estava considerando publicar a diretiva.
As agências terão que adicionar sistemas gradualmente aos seus VDPs até que, após dois anos, todos os ativos acessíveis da agência de uma agência sejam cobertos pelo programa. A CISA ajudará as agências com recursos e experiência limitados a configurar VDPs, disse Ware.
Os legisladores saudaram a diretiva.
“A CISA merece elogios por este esforço para reparar os danos causados ao longo dos anos por agências governamentais que perseguem e processam pesquisadores de segurança cibernética”, disse o senador Ron Wyden , D-Ore. “Os americanos estarão em melhor situação se a primeira pessoa a encontrar um problema de segurança em [um] sistema governamental for um pesquisador trabalhando no interesse público, que relatará a falha para que possa ser consertada, e não um hacker trabalhando para a Rússia ou China. ”
O deputado Jim Langevin , DR.I., co-fundador do Congressional Cybersecurity Caucus, sugeriu que os governos estaduais e locais, e até mesmo empresas privadas, poderiam usar a diretriz CISA como um modelo para trabalhar com pesquisadores.
O esforço para adotar os VDPs no nível federal coincide com uma adoção gradual deles no setor de infraestrutura eleitoral. Em agosto, Ohio se tornou o primeiro estado a emitir um VDP para sites relacionados a eleições. Na mesma semana, o maior fornecedor de equipamento de votação dos Estados Unidos anunciou seu próprio VDP.
Fonte: https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/