Китай работает над правилами публикации информации об уязвимостях

25 ноября 2019
|В разделах С китайской спецификой
| Demian Terentev
Время чтения: 2 мин

(Автор новости: Крис Удеманс)

Китай планирует ввести правила для исследователей кибербезопасности о публикации информации об уязвимостях, которые будут требовать сообщать о проблемах властям до публикации, согласно проекту правил, опубликованному на этой неделе.

Почему это важно: изменения предотвращают публикацию информации об уязвимостях в СМИ до того, как о них узнают власти, что может привести к задержке уведомления пострадавших лиц и компаний.

  • Правила, в настоящее время открытые для общественного обсуждения, это часть «Закона о кибербезопасности» от 2017 года, который указывает, что публикация информации не должна угрожать «государственной безопасности и общественным интересам».
  • Этот шаг последовал за серией атак на приложения, которые нарушают конфиденциальность пользователей путём чрезмерного сбора данных, в том числе множества кредитных организаций P2P.

Подробности: публикация информации об уязвимости не должна содержать исходный код вирусов, троянов или любых вредоносных программ, а также описания методов взлома или разрушения сетей, согласно интернет-регулятору — Управлению киберпространства Китая.

  • Кроме того, она не должна содержать информацию, которая может привести к копированию способа кибератаки. Также не должны публиковаться никакие украденные данные или информация о взломанной сети.
  • Предлагаемые правила также ограничат дискуссии на конференциях, форумах или конкурсах по кибербезопасности, поскольку они запрещают публичное обсуждение методов взлома и тактики вторжения до официальной публикации информации.
  • Организации не вправе публиковать публичные сообщения с заголовком, содержащим слово «предупреждение», не получив одобрения правительства, заявил регулятор.
  • Проект открыт для общественного обсуждения до 19 декабря.

Контекст: публикация информации об уязвимости важна для повышения кибербезопасности, а своевременное предупреждение физических и юридических лиц необходимо для предотвращения дальнейшего ущерба.

  • В этом году Китай столкнулся с рядом громких утечек данных, от открытых баз данных, содержащих данные о посетителях интернет-кафе, до более чувствительных просчётов в области безопасности, связанных с медицинской информацией.
  • Уязвимости в системе безопасности привели к появлению в Китае огромного рынка незаконно полученных данных. Их возможно не только относительно легко получить, но и дёшево купить.
Защита персональных данных Кибербезопасность Новости Правительство