Yasaya göre, yabancı şirketler de dahil olmak üzere Çin'deki şirketler, sistemlerdeki güvenlik açıklarını ve kodlardaki hataları derhal bir devlet kurumuna bildirmekle yükümlüdür. Ancak uzmanlar, Çin'in devlet kontrolündeki bilgisayar korsanlarını kullandığı ve güvenlik açıkları hakkındaki bilgileri şirketlerin sistemlerine neredeyse engelsiz erişim sağlamak için kullanabileceği konusunda uyarıyor.
Atlantik Konseyi düşünce kuruluşu, şirketlerin güvenlik açıklarını ve kod hatalarını hükümetin Sanayi ve Bilgi Teknolojileri Bakanlığına (MIIT) 48 saat içinde bildirmelerini gerektiren yeni Çin düzenlemesini analiz eden bir rapor yayınladı. Aynı zamanda uzmanlar, Çin'in birçok hacker grubunu kontrol ettiği ve bu bilgileri saldırılar için hemen kullanabileceği konusunda uyarıyor. Bu nedenle raporun başlığı “Çin yazılım açıklarını nasıl silah haline getiriyor”. Analizde, düşünce kuruluşunun uzmanları, sıfır gün güvenlik açıklarının mevcut sabit kaynağının MIIT'in Çin veritabanına dayandığını bile varsayıyor.
MIIT veritabanından birçok yeni sıfır gün güvenlik açığı mı var?
Çin kuralları, ürün sahibi ve MIIT ile işbirliği yapmadıkları sürece araştırmacıların bir yama yayınlanmadan önce güvenlik açıkları hakkında bilgi yayınlamasını yasaklıyor.Ayrıca, bir güvenlik açığından nasıl yararlanıldığını gösteren kavram kanıtı kodunun yayınlanmasına da izin verilmiyor.
Rapora göre, güvenlik açığının 13. MSS Bürosu Pekin Ofisine ifşa edilmesi özellikle endişe verici. Uzmanlar, büronun son yirmi yılını yazılım açıklarına erken erişim sağlamak için harcadığına dikkat çekiyor.
ICS güvenlik açıkları neredeyse hiç paylaşılmıyor
Mayıs 2021'den bu yana, CNVD veritabanına göre Çin'de kamuya açık olarak bildirilen ICS güvenlik açıklarında neredeyse tamamen bir düşüş yaşandı (Resim: Sleight of Hand, Cary ve Del Rosso, Atlantic Council).
Raporda ayrıca ICS (Endüstriyel Kontrol Sistemi) alanında bildirilen birçok güvenlik açığının artık etkilenen şirketlere iletilmediği de ortaya çıktı. Çin devlet veritabanları, Mayıs 2021'den bu yana ICS alanında neredeyse hiçbir güvenlik açığı göstermedi. Bundan önce her ay 40 ila 80 veya daha fazla güvenlik açığı bulunuyordu. Mayıs 2021 itibarıyla aniden 1'den 10'a çıktılar. Buna karşılık ABD CISA, 100'den fazla güvenlik açığına ilişkin aylık ICS raporları almaya devam ediyor.
Uzmanlar, birçok yabancı şirketin Çinli çalışanlarının güvenlik açıklarını bildirdiklerinin farkında bile olmayabileceğini belirtiyor. Sonuçta Çin yasalarını ihlal etmeleri halinde cezalandırılabilirler.
Daha fazlası AtlanticCouncil.org'da