La Administración del Ciberespacio de China (CAC), emitió nuevas regulaciones de divulgación de vulnerabilidades más estrictas que obligan a los investigadores de seguridad que descubren fallas críticas en los sistemas informáticos, a revelarlas de primera mano a las autoridades gubernamentales dentro de los dos días posteriores a la presentación de un informe.
Se espera que las «Regulaciones sobre la gestión de vulnerabilidades de seguridad de productos de red» entren en vigencia a partir del 1 de septiembre de 2021 y tengan como objetivo estandarizar el descubrimiento, informe, reparación y liberación de vulnerabilidades de seguridad y prevenir riesgos de seguridad.
«Ninguna organización o individuo puede aprovechar las vulnerabilidades de seguridad de los productos de red para participar en actividades que pongan en peligro la seguridad de la red, y no recopilará, venderá ni publicará ilegalmente información sobre las vulnerabilidades de seguridad de los productos de red», dice el artículo 4 del reglamento.
Además de prohibir la venta de vulnerabilidad previamente desconocidas, las nuevas reglas también prohíben que las vulnerabilidades sean reveladas a «organizaciones o individuos en el extranjero» que no sean los fabricantes de los productos, al mismo tiempo que señalan que las revelaciones públicas deben ir acompañadas simultáneamente de la publicación de reparaciones o medidas preventivas.
«No se permite exagerar deliberadamente el daño y el riesgo de las vulnerabilidades de seguridad de los productos de red, y no se utilizará la información de vulnerabilidades de seguridad de los productos de red para llevar a cabo especulaciones maliciosas o fraude, extorsión y otras actividades ilegales y delictivas», dije el artículo 9 (3) del reglamento.
Además, también se prohíbe la publicación de programas y herramientas para explorar vulnerabilidades y poner las redes en riesgo de seguridad.
