A congressista Nancy Mace (R-SC) apresentou esta semana um projeto de lei que exigiria que os empreiteiros federais implementassem uma Política de Divulgação de Vulnerabilidade (VDP).
A legislação proposta, denominada Lei Federal de Redução de Vulnerabilidades de Segurança Cibernética, exigiria um VDP consistente com as diretrizes do NIST. Isto inclui deixar claro como as vulnerabilidades podem ser comunicadas, estabelecer um sistema para fornecer feedback aos denunciantes e fornecer garantias de que a investigação de segurança de boa-fé é autorizada e bem-vinda.
Um VDP pode ajudar as organizações a aprenderem sobre a existência de vulnerabilidades em seus sistemas e infraestrutura, facilitando que terceiros relatem problemas de segurança descobertos.
O governo dos EUA tem confiado em VDPs e programas de recompensa de bugs há anos para encontrar e corrigir vulnerabilidades antes que possam ser exploradas por agentes mal-intencionados.
Também vale a pena ressaltar que a diretiva operacional vinculativa DBO 20-01 a partir de 2020 exige que as agências federais tenham um VDP. O novo projeto de lei ampliaria a exigência, ajudando a reduzir os riscos associados aos empreiteiros federais.
“Ao impor Políticas de Divulgação de Vulnerabilidades (VDP) para contratantes federais, podemos garantir uma abordagem proativa à segurança cibernética, permitindo que os contratantes identifiquem e resolvam vulnerabilidades de software prontamente”, disse a congressista Mace. “Esta legislação, alinhada com padrões reconhecidos internacionalmente, capacita os contratantes a ficarem à frente de atores mal-intencionados, prevenindo potenciais explorações e protegendo informações confidenciais.”
Mace é presidente do Subcomitê de Supervisão da Câmara sobre Segurança Cibernética, Tecnologia da Informação e Inovação Governamental.
A HackerOne, uma empresa de segurança cibernética especializada em programas de recompensa de bugs e políticas de divulgação de vulnerabilidades, disse na quinta-feira que endossa fortemente o projeto de lei, observando que a legislação “é um passo importante para aumentar a resiliência da segurança cibernética de muitas empresas que apoiam o governo federal e têm acesso a dados governamentais”.
O Pentágono executa programas de recompensa por bugs desde 2016, recebendo ajuda de milhares de hackers de chapéu branco que descobriram um total de mais de 2.500 vulnerabilidades. Os pagamentos de mais de 40 programas de recompensa por bugs totalizam US$ 650.000.
Em sua inauguração Relatório Anual da Plataforma VDP publicado na sexta-feira, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) disse que sua plataforma VPD facilitou a correção de mais de 1.000 vulnerabilidades até dezembro de 2022, incluindo quase 200 problemas críticos.
:
: