Concorrer com os cibercriminosos na aquisição de vulnerabilidades do tipo dia zero, levaria muitos a desistirem da actividade, e a redução de prejuízos compensaria os custos, estima a empresa.
Uma forma eficaz de melhorar significativamente a segurança de software seria competir com o mercado negro de vulnerabilidades desconhecidas, na aquisição das mesmas – propõe a NSS Labs. Numa análise divulgada na última terça-feira, a empresa recomenda a implantação de um programa internacional de compra de vulnerabilidades: visando ganhar disponibilidade financeira para pagar os preços altos associados a vulnerabilidades de dia zero vendidos num sub-mundo de corretores, serviços de assinatura e hackers.
De 60 a 80% das vulnerabilidades são dadas a conhecer aos fornecedores de software gratuitamente, por especialistas em segurança. Normalmente estão mais interessados em proteger os utilizadores em vez de lucrar com as falhas, considera a NSS.
As restantes vulnerabilidades são adquiridas por fornecedores ou acabam no mercado negro, onde os cibercriminosos podem facilmente comprá-los. Ao ter um programa de compra de vulnerabilidade centralizado “poderíamos ter muitos investigadores a estudar as vulnerabilidades”, diz Stefan Frei, director de investigação da NSS Labs e co -autor do estudo.
Além disso, seria enviada uma clara mensagem aos fornecedores de software: quando lançassem um produto saberiam que “seria completamente analisadas desde o primeiro dia”. Uma ” estimativa conservadora ” da redução de perdas devido ao cibercrime através de um programa de recompensas competitivas é de 10%, segundo a NSS Labs.
A redução valeria muito mais do que o custo, pois o cibercrime e a ciber-espionagem resultam em centenas de milhares de milhões de dólares em perdas, todos os anos. Se todas as vulnerabilidades dos produtos forem compradas por 150 mil dólares cada, o total ascenderia a menos de 0,01% por cento do produto interno bruto anual para dos EUA ou da União Europeia, de acordo com a NSS Labs.
Se os grandes fornecedores de software pagassem um montante semelhante por cada vulnerabilidade descoberta nos seus produtos, o custo seria de menos de 1% das suas receitas. Portanto, o programa seria “uma proposta economicamente viável para reduzir as perdas resultantes do cibercrime”, diz o estudo.
“Ao pagar preços competitivos, podemos realmente competir e afastar muitos cibercriminosos”, disse Frei. A necessidade de um esforço do sector e do governo para reduzir as vulnerabilidades de software é clara.
Entre os nove principais fornecedores de software, só a Microsoft revelou menos vulnerabilidades do que a sua média nos últimos 10 ou cinco anos, de acordo com a NSS. O conjunto dos outros fornecedores inclui a Adobe, a Apple, a Cisco, a Google, a Hewlett -Packard, a IBM, a Mozilla e a Oracle.