Kína kiberfegyverkezése
A Kínai Kibertér Adminisztráció (CAC), a Közbiztonsági Minisztérium (MPS), valamint az Ipari és Informatikai Minisztérium (MIIT) 2021 júliusában közzétette a Hálózati termékek biztonsági réseinek kezeléséről szóló szabályokat (RSMV). A szabályozás követelménye, hogy a szoftveres sebezhetőségeket/sérülékenységeket – azokat a kódhibákat, amelyeket a támadók kihasználhatnak – jelenteni kell a MIIT-nek a felfedezésüket követő negyvennyolc órán belül (7. cikk, 2. szakasz). A szabályok megtiltják a kutatóknak, hogy: a sebezhetőségekről információkat tegyenek közzé, mielőtt a javítás elérhetővé válik, kivéve, ha egyeztetik a termék tulajdonosával és a MIIT-vel. Valójában a szabályozás az összes szoftversebezhetőségi jelentést elküldi a MIIT-nek, mielőtt a javítás elérhető lenne. Ezzel szemben az Egyesült Államok rendszere a vállalatoknak szóló önkéntes jelentésekre támaszkodik, a sebezhetőségeket a pénzt és presztízst hajszoló kutatóktól vagy a vadonban történő kizsákmányolást megfigyelő kiberbiztonsági cégektől származnak.
A hackerek kihasználják ezeket a sérülékenységeket, hogy elérjék a célpontjaikat. Egy támadó műveletek során, például egy katonai vagy hírszerző szolgálatnál, jobb, ha több sebezhető pont is van. Ezt gyakorlatilag olyan, mint a katonai fegyverkezés. Amikor a támadó azonosít egy célpontot, megtekintheti a működésüket lehetővé tevő biztonsági rések tárházát. További sebezhetőségek gyűjtése növelheti a működési ütemet, a sikert és a hatékonyságot.
Az Atlantic Council jelentése részletezi a MIIT új sebezhetőségi adatbázisainak felépítését, az új adatbázisok és a régebbi adatbázisok interakcióját, valamint az ezekben a rendszerekben részt vevő cégeket.