Raziskava IoT Security Foundation poudarja pomanjkanje poročanja o ranljivosti

Analiza 330 vpletenih podjetij je pokazala, da pet od šestih (86,7%, 286) ne omogoča takšnega poročanja, zaradi česar bi bili novi mednarodni standardi prekršni.

In med 13%, ki izvajajo politiko poročanja o ranljivosti, jih mnogi na nek način odpravljajo, pravi organizacija.

Morda presenetljivo, ker je Evropa kljub britanskim zakonom in standardom ETSI ena najbolj slabših regij.

Podrobne ugotovitve - Potrošniški IoT: Razumevanje sodobne uporabe razkritja o ranljivosti - Poročilo o napredku 2020 - lahko preberete iz tega centra virov za smernice najboljše prakse.

Glavni sklep je, da je glavna pozornost razkritja ranljivosti v industriji.

"Izvajanje postopka razkritja ranljivosti je ključnega pomena za številne interese zainteresiranih strani in je eden najpreprostejših varnostnih ukrepov, ki jih podjetja lahko namestijo."

Medtem ko se je - od zadnje raziskave - delež podjetij z javnimi politikami povečal z nekaj manj kot 10% na nekaj več kot 13%, je to mogoče opisati le kot "slabo delovanje", pravijo pisci.

»V idealnem primeru bi morali vsi ponudniki izdelkov in storitev IoT imeti postopek za razkritje ranljivosti. Doseganje sprejemljive svetovne ravni (t.b.d, vendar čim bližje 100%) ob trenutni stopnji napredka še vedno ni, če ne bodo močne spodbude. Številne vladne agencije in institucije, kot je varnostna fundacija IoT, se zavzemajo za to, da bi podjetja uporabila mehanizme politike razkritja kot temeljni in osnovni higienski ukrep. "

„Prizadevanje za normalizacijo, standardizacijo in na koncu ureditev razkritja ranljivosti je torej naraven potek, ko trg in industrija dozorevata. Edino odprto vprašanje je zdaj: „kdaj bo zakonito pooblaščen?“