Mozilla vraagt Obama om transparant zero day-beleid

[Captain Kirk]

Mozilla heeft de Amerikaanse president Barack Obama opgeroepen om met een transparant zero day-beleid te komen voor het vinden, melden en delen van beveiligingslekken. Volgens de opensource-ontwikkelaar helpt dit bij de veiligheid op internet en het voorkomen van allerlei aanvallen.

De Amerikaanse overheid hanteert sinds enige jaren het Vulnerabilities Equities Process (VEP), dat omschrijft hoe er met kwetsbaarheden wordt omgegaan die de overheid zelf heeft ontdekt of op andere manieren heeft verkregen. Mozilla wil dat Obama dit proces aanpast, zodat alle beveiligingslekken via het VEP verlopen en er openbare momenten zijn voor het beoordelen van beslissingen om een openbaarmaking van een kwetsbaarheid uit te stellen.

Verder moeten alle relevante overheidsdiensten die bij het VEP betrokken zijn samenwerken en een aantal criteria opstellen waarin alle risico's en belangen worden meegenomen. Verder pleit de opensource-ontwikkelaar voor onafhankelijk toezicht op en transparantie van het VEP. Daarnaast moet het VEP in het wetboek worden vastgelegd, zodat overheidsdiensten verplicht zijn zich hier aan te houden.

"Deze aanpassingen van het vinden, beoordelen en delen van kwetsbaarheden zouden een fantastisch begin zijn om de gedeelde verantwoordelijkheid van cyberveiligheid te versterken en de talloze cyberaanvallen die we vandaag de dag zien terug te dringen", aldus Mozilla's Heather West. Deze week waren er ook twee Amerikaanse senatoren die Obama opriepen om het VEP via duidelijke richtlijnen en beleid te versterken, zodat de betrokken fabrikanten sneller updates kunnen uitrollen en er een reviewproces is in het geval de overheid besluit om de bekendmaking van een kwetsbaarheid voor een bepaalde tijd uit te stellen.

 

 

bron: security.nl