NSS propõe programa de aquisição de vulnerabilidades

A NSS Labs propõe que uma forma eficaz de melhorar a segurança de software seria competir com o mercado negro de vulnerabilidades desconhecidas, na compra das mesmas. Assim, a empresa recomenda a implantação de um programa internacional de aquisição de vulnerabilidades.

Este programa tem como objetivo ganhar disponibilidade financeira para pagar os preços altos associados a vulnerabilidades de dia zero vendidos num sub-mundo de corretores, serviços de assinatura e hackers.

Entre 60 a 80 por cento das vulnerabilidades são dadas a conhecer aos fornecedores de software de modo gratuito, por especialistas em segurança que, segundo a NSS, pretendem proteger os utilizadores em vez de lucrar com as falhas.

As restantes vulnerabilidades são adquiridas por fornecedores ou acabam no mercado negro, onde os cibercriminosos podem adquiri-los. “Ao ter um programa de compra de vulnerabilidade centralizado poderíamos ter muitos investigadores a estudá-las”, refere o Diretor de investigação da NSS Labs e co-autor do estudo, Stefan Frei.

“Quando os fornecedores de software lançassem um produto saberiam que seria completamente analisado desde o primeiro dia”, acrescenta.

Segundo a NSS Labs, a redução de perdas devido ao cibercrime através de um programa de recompensas competitivas é de dez por cento. Esta redução valeria muito mais do que o custo, pois o cibercrime e a ciberespionagem resultam em centenas de milhares de milhões de euros em perdas anualmente.

Se as vulnerabilidades dos produtos forem adquiridos por 150 mil dólares cada, ou seja, 110 mil euros, o total ascenderia a menos de 0,01 por cento do produto interno bruto anual para os Estados Unidos ou da União Europeia. Se os grandes fornecedores de software pagassem um montante semelhante por cada vulnerabilidade descoberta nos seus produtos, o custo seria de menos de um por cento das suas receitas.

“Ao pagar preços competitivos, podemos realmente competir e afastar muitos cibercriminosos”, afirma Stefan Frei. Existe uma grande necessidade de haver um esforço do setor e do governo para reduzir as vulnerabilidades de software.

Apenas a Microsoft revelou menos vulnerabilidades do que a sua média nos últimos dez ou cinco anos.