Угрозы от поставщиков связаны с авторским правом и/или уголовным законодательством.
Парижская организация Cybersecurity Advisors Network (CyAN), представляющая интересы специалистов в области информационной безопасности, создала новую рабочую группу, которая ищет законные основания для отклонения исков от поставщиков ПО из-за обнаружения уязвимостей нулевого дня.
Как рассказал руководитель нового проекта Zero Day Legislative Project Питера Коронеоса (Peter Coroneos) изданию The Register, организация провела виртуальную встречу с более чем 150 исследователями в области кибербезопасности, и тема агрессивных юридических мер реагирования на разглашение информации об уязвимостях была в их списке проблем.
«Обычно они находят уязвимость, а затем уведомляют поставщика. И в этот момент они получают письмо с угрозами. Угрозы обычно связаны с авторским правом и/или уголовным законодательством, регулирующим доступ или вмешательство в компьютерные системы», — пояснил Коронеос.
Поставщики обычно приветствуют данные подходы исследователей, и многие из них теперь используют программы вознаграждения за обнаружение уязвимостей или формальные инициативы по раскрытию информации, гарантируя обработку уведомлений об уязвимостях с надлежащей скоростью. Поэтому Коронеос был удивлен тем, что проблема судебных исков по-прежнему возникает у ИБ-экспертов.
«Вот почему мы создаем международную коалицию, которая будет выступать за внесение изменений в законы, гарантирующих искателям 0Day-уязвимостей защиту от жестких юридических ответных мер со стороны компаний, продукты которых они стремятся обезопасить», — сообщил эксперт.
Проект будет работать над определением типовых законов, защищающих исследователей угроз, а затем побуждать участников по всему миру лоббировать их введение в различных юрисдикциях.
Гравитация научных фактов сильнее, чем вы думаете