Cục quản lý không gian mạng Trung Quốc (CAC) đã ban hành các quy định tiết lộ lỗ hổng bảo mật mới nghiêm ngặt hơn, bắt buộc các nhà cung cấp phần mềm và mạng bị ảnh hưởng bởi các lỗ hổng nghiêm trọng phải trực tiếp tiết lộ chúng cho cơ quan chính phủ trong vòng hai ngày kể từ khi gửi báo cáo.
“Quy định về quản lý lỗ hổng bảo mật sản phẩm mạng” dự kiến sẽ có hiệu lực kể từ ngày 1 tháng 9 năm 2021 và nhằm mục đích chuẩn hóa việc phát hiện, báo cáo, sửa chữa và phát hành lỗ hổng bảo mật cũng như ngăn ngừa rủi ro bảo mật.
“Không tổ chức, cá nhân nào được lợi dụng lỗ hổng bảo mật sản phẩm mạng để tham gia vào các hoạt động gây nguy hiểm đến an ninh mạng; không được thu thập, mua bán, công bố trái pháp luật thông tin về lỗ hổng bảo mật sản phẩm mạng”, Điều 4 của quy định nêu rõ.
Ngoài việc cấm bán các điểm yếu bảo mật chưa biết trước đây, các quy tắc mới cũng cấm tiết lộ các lỗ hổng cho “tổ chức hoặc cá nhân ở nước ngoài” không phải là nhà sản xuất sản phẩm, đồng thời lưu ý rằng việc tiết lộ công khai phải đồng thời với việc phát hành bản sửa chữa hoặc biện pháp phòng ngừa.
“Không được phép cố ý phóng đại tác hại và rủi ro của các lỗ hổng bảo mật sản phẩm mạng, đồng thời không được sử dụng thông tin về lỗ hổng bảo mật sản phẩm mạng để thực hiện hành vi đầu cơ ác ý hoặc gian lận, tống tiền và các hoạt động tội phạm và bất hợp pháp khác”, Điều 9 (3) của các quy định đọc.
Hơn nữa, nó cũng cấm xuất bản các chương trình và công cụ để khai thác các lỗ hổng và đặt các mạng vào rủi ro bảo mật.
