Организации должны сообщать о каждой уязвимости правительству Китая, а исследователи беспокоятся за свою безопасность.
Исследовательский документ Атлантического совета подробно описал китайский закон, требующий организации сообщать об уязвимостях не только поставщикам, но и правительству Китая.
Положения об управлении уязвимостями безопасности сетевых продуктов (RMSV) требуют, чтобы китайские поставщики сетевых продуктов уведомляли Министерство промышленности и информационных технологий страны (MIIT) об уязвимостях, обнаруженных в «сетевых продуктах», в течение нескольких дней после сообщения о них поставщику.
Учитывая, что правительственные учреждения собирают уязвимости для злонамеренного использования, новый закон вызывает опасения в сообществе из-за влияния на международные исследования в области кибербезопасности.
Закон подразумевает, что:
- Информация об уязвимостях в MIIT дойдет значительно раньше стандартных для отрасли сроков;
- Возникнет «сдерживающий эффект для будущего скоординированного раскрытия информации».
Данные от технологических гигантов (Apple, Microsoft, VMWare, RedHat и F5), обсуждаемые в документе, показывают, что RMSV еще не оказал существенного влияния на раскрытие информации об уязвимостях. Возможным исключением здесь является Microsoft: в 2020 году количество уязвимостей, о которых сообщили китайские исследователи, резко упало с 59 до 11, и с тех пор они колеблются каждый месяц.
Атлантический совет — американская неправительственная организация, основанная в 1961 году при НАТО для того, чтобы усилить сотрудничество между США и европейскими странами. В 2019 году Минюст признал Атлантический совет нежелательной в России организацией.
Источник: securitylab