La Oficina del Ciberespacio de China (CAC, por sus siglas en inglés) ha emitido regulaciones de divulgación de vulnerabilidades más estrictas que requieren que los proveedores de software y redes afectadas por errores críticos lo informen de primera mano a las autoridades gubernamentales dentro de los dos días posteriores al informe.
Se espera que las «Reglas de gestión de vulnerabilidades de productos de red» entren en vigor el 1 de septiembre de 2021 y tienen como objetivo estandarizar la detección, el informe, la reparación y la liberación de vulnerabilidades de seguridad y prevenir riesgos de seguridad.
«Ninguna organización o individuo puede utilizar las vulnerabilidades de seguridad de los productos de red para participar en actividades que amenacen la seguridad de la red y no puede recopilar, vender o divulgar ilegalmente información sobre vulnerabilidades de productos de red», establece el artículo 4 del Reglamento.
Además de prohibir la venta de vulnerabilidades de seguridad previamente desconocidas, las nuevas reglas también prohíben la divulgación de vulnerabilidades a «organizaciones o individuos en el extranjero» que no sean fabricantes de productos, pero se debe tener en cuenta que la divulgación debe ir acompañada de correcciones o medidas de precaución.
«No está permitido exagerar intencionalmente el daño y el riesgo de las vulnerabilidades de seguridad de los productos de red y no puede usar la información de vulnerabilidad de seguridad de los productos de red para participar en especulaciones maliciosas o fraude, extorsión y otras actividades ilegales y delictivas», dice el Artículo 9 (3).
Además, también prohíbe la publicación de programas y herramientas de explotación de vulnerabilidades y la exposición de las redes a riesgos de seguridad.
