{"id":15203,"date":"2020-05-18T20:46:44","date_gmt":"2020-05-18T23:46:44","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15203"},"modified":"2020-05-20T17:11:34","modified_gmt":"2020-05-20T20:11:34","slug":"vulnerability-disclosure-ethics","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/vulnerability-disclosure-ethics\/15203\/","title":{"rendered":"Princ\u00edpios \u00e9ticos da divulga\u00e7\u00e3o de vulnerabilidades"},"content":{"rendered":"

Erros e vulnerabilidades tornam-se quase inevit\u00e1veis \u200b\u200bno desenvolvimento de qualquer sistema de TI, ainda mais no \u00e2mbito dos software ou hardware mais complexos. Esses bugs ou falhas geralmente n\u00e3o s\u00e3o encontrados por funcion\u00e1rios e especialistas t\u00e9cnicos da empresa que produziu tal programa, mas por pesquisadores externos. Eliminar esses erros e poss\u00edveis vulnerabilidades \u00e9 a chave para uma forte ciberseguran\u00e7a, ponto de interse\u00e7\u00e3o com o trabalho de nossos experts. Assim, o principal fator que provoca erros e falhas \u2013 o humano \u2013 tamb\u00e9m \u00e9 a chave para a detec\u00e7\u00e3o e corre\u00e7\u00e3o dos problemas. Ao mesmo tempo, \u00e9 importante perceber que esse processo de corre\u00e7\u00e3o pode potencialmente criar novos riscos e falhas em vez de solucionar a quest\u00e3o inicial.<\/p>\n

Na Kaspersky, aderimos a princ\u00edpios \u00e9ticos claros e transparentes na divulga\u00e7\u00e3o respons\u00e1vel de vulnerabilidades (RVD) \u2013 o processo que seguimos quando encontramos vulnerabilidades nos sistemas de outras organiza\u00e7\u00f5es. Nossos cinco princ\u00edpios est\u00e3o baseados em mais de 23 anos de trabalho global e continuamos a ser inspirados por algumas pr\u00e1ticas recomendadas e, em particular, pelo C\u00f3digo de \u00c9tica<\/a> do F\u00f3rum de Resposta a Incidentes e Equipes de Seguran\u00e7a (FIRST, na sigla em ingl\u00eas). Em todos os casos, priorizamos a seguran\u00e7a de nossos usu\u00e1rios (pessoas e organiza\u00e7\u00f5es que usam produtos e solu\u00e7\u00f5es Kaspersky).<\/p>\n

Ao mesmo tempo, respeitamos os interesses de todas as partes envolvidas: os indiv\u00edduos ou organiza\u00e7\u00f5es cujo produto \u00e9 vulner\u00e1vel, seus clientes (como poss\u00edveis v\u00edtimas) e o setor de ciberseguran\u00e7a como um todo.<\/p>\n

Seguir tais princ\u00edpios garante que possamos agir de maneira transparente<\/a>, respons\u00e1vel e consistente, para criar um ecossistema mais seguro de tecnologia da informa\u00e7\u00e3o e comunica\u00e7\u00e3o (TIC). No entanto, para que essa abordagem funcione em todo o setor de TI, outros fornecedores \u2013 e seus usu\u00e1rios, pesquisadores independentes, reguladores e todas as partes interessadas \u2013 tamb\u00e9m devem ser guiados por fundamentos semelhantes. Portanto, decidimos publicar nossos princ\u00edpios para a divulga\u00e7\u00e3o respons\u00e1vel de vulnerabilidades encontradas no software de outras empresas. Somos pioneiros.<\/p>\n

<\/p>\n

Princ\u00edpio #1: Construa confian\u00e7a<\/h2>\n

Certo grau de desconfian\u00e7a \u00e9 a base da seguran\u00e7a da informa\u00e7\u00e3o. Mas as divulga\u00e7\u00f5es de vulnerabilidades sem um n\u00edvel de confian\u00e7a simplesmente n\u00e3o funcionam, por isso presumimos a benevol\u00eancia como um motivador para todas as partes, embora, \u00e9 claro, dediquemos tempo e esfor\u00e7o para coordenar a\u00e7\u00f5es e reduzir quaisquer danos associados \u00e0 vulnerabilidade \u2013 em outras palavras: confie, mas verifique. N\u00e3o publicamos informa\u00e7\u00f5es sobre brechas de seguran\u00e7a por divers\u00e3o ou ambi\u00e7\u00e3o, mas apenas para o interesse e seguran\u00e7a dos usu\u00e1rios e da sociedade.<\/p>\n

Princ\u00edpio # 2: informe primeiro a parte afetada<\/h2>\n

A divulga\u00e7\u00e3o de vulnerabilidades \u00e9 um processo complexo que pode enfrentar v\u00e1rios obst\u00e1culos, como partes envolvidas que n\u00e3o respondem ou at\u00e9 inacess\u00edveis. Apesar desses problemas, \u00e9 essencial fornecer informa\u00e7\u00f5es oportunas e precisas aos fornecedores afetados. Primeiro, coordenamos os esfor\u00e7os para eliminar a vulnerabilidade e minimizar o risco para o usu\u00e1rio. Para isso, o fornecedor deve possibilitar uma maneira clara e transparente de relatar e processar informa\u00e7\u00f5es sobre vulnerabilidades (para entender mais sobre como isso funciona na Kaspersky, acesse aqui<\/a> e aqui<\/a>).<\/p>\n

Princ\u00edpio # 3: Coordene esfor\u00e7os<\/h2>\n

\u00c9 \u00f3bvio que cada vulnerabilidade tem sua especificidade. Algumas amea\u00e7am os usu\u00e1rios de um \u00fanico produto e outras podem afetar v\u00e1rias partes (por exemplo, nos casos envolvendo empresas internacionais com cadeias de suprimentos complexas). As vulnerabilidades tamb\u00e9m podem prejudicar a infraestrutura cr\u00edtica e as redes do setor p\u00fablico e, assim, amea\u00e7ar a seguran\u00e7a nacional. Ao mesmo tempo, pesquisadores e fornecedores n\u00e3o s\u00e3o as \u00fanicas partes relevantes; reguladores, clientes, pesquisadores independentes e White-hat hackers (ou hackers \u2018do bem\u2019) tamb\u00e9m podem estar envolvidos. Para uma coordena\u00e7\u00e3o eficaz entre todas as partes interessadas, somos guiados pelas melhores pr\u00e1ticas internacionais (por exemplo, o padr\u00e3o ISO\/IEC 29147:2018<\/a> para divulga\u00e7\u00e3o de vulnerabilidades). Em particular, tentamos fornecer a todos os envolvidos, prazo suficiente para uma an\u00e1lise completa da vulnerabilidade e desenvolvimento da corre\u00e7\u00e3o.<\/p>\n

Princ\u00edpio # 4: Mantenha a confidencialidade, quando for apropriado<\/h2>\n

Se as informa\u00e7\u00f5es t\u00e9cnicas sobre uma vulnerabilidade forem reveladas muito cedo no processo, os invasores poder\u00e3o explor\u00e1-la. \u00c9 por isso que compartilhamos informa\u00e7\u00f5es de maneira confidencial com as partes que precisam desenvolver medidas de mitiga\u00e7\u00e3o e, em seguida, trabalhamos nos canais de comunica\u00e7\u00e3o mais confi\u00e1veis \u200b\u200be seguros para gera\u00e7\u00e3o de relat\u00f3rios. Pelo mesmo motivo, negociamos os termos e condi\u00e7\u00f5es de divulga\u00e7\u00e3o com o fornecedor ou empresa que tem rela\u00e7\u00e3o com a falha. No entanto, se n\u00e3o houver resposta, dependendo da gravidade e da escala da vulnerabilidade e do imediatismo do risco, comunicamos por meio de nossos pr\u00f3prios canais de comunica\u00e7\u00e3o e as divulgamos de acordo com nossas pol\u00edticas internas, regulamentos locais e melhores pr\u00e1ticas do setor, mantendo o fornecedor informado.<\/p>\n

Princ\u00edpio # 5: Incentive o comportamento desejado<\/h2>\n

Apesar dos esfor\u00e7os do setor, os cibercriminosos continuam buscando e encontrando vulnerabilidades. Portanto, consideramos importante apoiar abertamente todos os que relatam vulnerabilidades de forma respons\u00e1vel e seguem as melhores pr\u00e1ticas do setor para divulga\u00e7\u00e3o.<\/p>\n

Preservando a divulga\u00e7\u00e3o de vulnerabilidades<\/h2>\n

Estou convencido de que, se todas as partes aderirem a princ\u00edpios \u00e9ticos semelhantes, seremos capazes de trabalhar juntos para tornar o ecossistema de TIC n\u00e3o apenas mais seguro, como tamb\u00e9m mais saud\u00e1vel e previs\u00edvel para nossos usu\u00e1rios \u2013 que s\u00e3o as pessoas para quem trabalhamos.<\/p>\n

Voc\u00ea pode aprender mais sobre nossos Princ\u00edpios \u00c9ticos para Divulga\u00e7\u00e3o Respons\u00e1vel<\/a> na p\u00e1gina da Iniciativa Global de Transpar\u00eancia da Informa\u00e7\u00e3o<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Para garantir que uma divulga\u00e7\u00e3o de vulnerabilidade n\u00e3o cause mais problemas do que solu\u00e7\u00f5es, recomendamos alguns princ\u00edpios b\u00e1sicos.<\/p>\n","protected":false},"author":2597,"featured_media":15204,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[1185,2348,267],"class_list":{"0":"post-15203","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-business","10":"tag-rvd","11":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vulnerability-disclosure-ethics\/15203\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/vulnerability-disclosure-ethics\/21319\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/16785\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/22348\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vulnerability-disclosure-ethics\/20510\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/18812\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vulnerability-disclosure-ethics\/22734\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/vulnerability-disclosure-ethics\/21759\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vulnerability-disclosure-ethics\/28424\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vulnerability-disclosure-ethics\/8338\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/35581\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vulnerability-disclosure-ethics\/14915\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/vulnerability-disclosure-ethics\/13472\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/vulnerability-disclosure-ethics\/24004\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/vulnerability-disclosure-ethics\/11463\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/vulnerability-disclosure-ethics\/25429\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vulnerability-disclosure-ethics\/22319\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vulnerability-disclosure-ethics\/27607\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vulnerability-disclosure-ethics\/27440\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15203","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2597"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=15203"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15203\/revisions"}],"predecessor-version":[{"id":15376,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15203\/revisions\/15376"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/15204"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=15203"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=15203"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=15203"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}