A CISA ordena às agências que criem programas de divulgação de vulnerabilidades

Agora, para acabar com a lentidão, a Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna está dando às agências seis meses para configurar os programas, conhecidos como políticas de divulgação de vulnerabilidade (VDPs).

A CISA emitiu na quarta-feira uma diretiva exigindo que as agências estabeleçam VDPs que previnam ações legais contra pesquisadores que agem de boa fé, permitem que os participantes enviem relatórios de vulnerabilidade anonimamente e cobrem pelo menos um sistema ou serviço acessível pela Internet. É o mais recente sinal de que as autoridades federais estão gostando de hackers de chapéu branco de várias classes sociais.

“Acreditamos que a melhor segurança dos sistemas de computador do governo só pode ser alcançada quando as pessoas têm a oportunidade de ajudar”, disse o diretor assistente da CISA, Bryan S. Ware, ao anunciar a diretiva.

A Casa Branca ecoou essa linguagem em um memorando às agências que apóiam a iniciativa VDP e definem prazos para as agências agirem.

“Ao fornecer mecanismos de relatório, feedback oportuno e remediação, as agências podem se beneficiar de pesquisas de segurança de boa fé para aumentar a segurança dos sistemas de informação federais”, afirma o memorando do Office of Management and Budget.

O progresso federal em VDPs tem sido lento. Muito poucas agências civis federais adotaram programas nos 10 meses desde que o CyberScoop informou que a CISA estava considerando publicar a diretiva.

As agências terão que adicionar sistemas gradualmente aos seus VDPs até que, após dois anos, todos os ativos acessíveis da agência de uma agência sejam cobertos pelo programa. A CISA ajudará as agências com recursos e experiência limitados a configurar VDPs, disse Ware.

Os legisladores saudaram a diretiva.

“A CISA merece elogios por este esforço para reparar os danos causados ​​ao longo dos anos por agências governamentais que perseguem e processam pesquisadores de segurança cibernética”, disse o senador Ron Wyden , D-Ore. “Os americanos estarão em melhor situação se a primeira pessoa a encontrar um problema de segurança em [um] sistema governamental for um pesquisador trabalhando no interesse público, que relatará a falha para que possa ser consertada, e não um hacker trabalhando para a Rússia ou China. ”

O deputado Jim Langevin , DR.I., co-fundador do Congressional Cybersecurity Caucus, sugeriu que os governos estaduais e locais, e até mesmo empresas privadas, poderiam usar a diretriz CISA como um modelo para trabalhar com pesquisadores.

O esforço para adotar os VDPs no nível federal coincide com uma adoção gradual deles no setor de infraestrutura eleitoral. Em agosto, Ohio se tornou o primeiro estado a emitir um VDP para sites relacionados a eleições. Na mesma semana, o maior fornecedor de equipamento de votação dos Estados Unidos  anunciou seu próprio VDP.

Fonte: https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/