Voltar
Artigo Acesso aberto Revisado por pares
BIBTEX RIS

The legal obligation to provide timely security patching and automatic updates

2022; Springer Nature; Volume: 3; Issue: 2 Linguagem: Inglês

10.1365/s43439-022-00059-6

ISSN

2662-9739

Autores

Alana Maurushat, Kathy Nguyen,

Tópico(s)

IPv6, Mobility, Handover, Networks, Security

Resumo

Do you use Office 365 or Windows 10? How about GoDaddy to support your website? Has it been a while since you connected your iPhone to Wi-Fi instead of merely running off your data? Or is your Samsung phone more than 2 years old? Would it surprise you to learn that some of these products no longer receive security support or automatic updates? If so, you may be surprised to hear that you are being exposed to security risks, as many cyber incidences are the direct result of an absence of security patching and automatic updates. There are many reasons for this. Most companies provide security patches, but they are not always timely and many are not automated, requiring manual effort (often unbeknownst to consumers and businesses). Timely security patching is, upon discovery or notification of a security flaw in a system or product, the release of a security update within a reasonable time that patches and updates the security of a system-sometimes this is automatic, sometimes the security patch is merely a notification that you can and should patch your own system. A contributing factor to this is that there is no legal obligation to provide security support, let alone timely security support. This means that there is no legal requirement to patch known security vulnerabilities and bugs or issue automatic updates. This paper asks whether or not Australia should have a legal obligation to ensure timely security patching and require automatic updates by default in all consumer systems. Our conclusion: yes, it should, since many companies cannot be relied on to self-regulate and put their client's security interests first, and the stakes in cybersecurity have become too high to continue with the status quo. We conclude by presenting our recommended pathway for legal reform.Verwenden Sie Office 365 oder Windows 10? Wie ist es mit GoDaddy zur Unterstützung Ihrer Website? Ist es schon eine Weile her, dass Sie Ihr iPhone mit WLAN verbunden haben, statt es nur mit Ihren mobilen Daten zu betreiben? Oder verwenden Sie ein mehr als zwei Jahre altes Samsung-Telefon? Würde es Sie überraschen zu erfahren, dass einige dieser Produkte keine Sicherheitsunterstützung oder automatischen Updates mehr erhalten? Wenn ja, überrascht es Sie vielleicht, dass Sie dadurch Sicherheitsrisiken ausgesetzt sind, denn viele Cybervorfälle sind das direkte Ergebnis fehlender Sicherheitspatches und automatischer Updates. Dafür gibt es viele Gründe. Die meisten Unternehmen stellen zwar Sicherheitspatches zur Verfügung, aber nicht immer rechtzeitig, und viele davon sind nicht automatisiert und erfordern manuellen Aufwand (oft ohne Wissen der Verbraucher und Unternehmen). Rechtzeitige Sicherheitspatches bedeuten, dass nach der Entdeckung oder Meldung einer Sicherheitslücke in einem System oder Produkt innerhalb eines angemessenen Zeitrahmens ein Sicherheitsupdate veröffentlicht wird, das die Sicherheit des Systems verbessert und aktualisiert – manchmal geschieht dies automatisch, manchmal ist der Sicherheitspatch eine bloße Benachrichtigung, dass Sie Ihr eigenes System patchen können und sollten. Dazu trägt auch bei, dass es keine rechtliche Verpflichtung zur Sicherheitsunterstützung gibt, geschweige denn zur rechtzeitigen Sicherheitsunterstützung. Das bedeutet, dass es keine rechtliche Verpflichtung gibt, bekannte Sicherheitslücken zu schließen und Fehler zu beheben oder automatische Updates herauszugeben. In diesem Beitrag wird die Frage gestellt, ob es in Australien eine gesetzliche Verpflichtung geben sollte, Sicherheitslücken rechtzeitig zu schließen und automatische Updates für alle Verbrauchersysteme herauszugeben. Unsere Schlussfolgerung: Ja, das sollte es, denn man kann sich bei vielen Unternehmen nicht darauf verlassen, dass sie sich selbst regulieren und die Sicherheitsinteressen ihrer Kunden priorisieren. Zudem sind die Risiken im Bereich der Cybersicherheit zu hoch, um am Status quo festzuhalten. Abschließend stellen wir unseren empfohlenen Weg für eine Rechtsreform vor.

Referência(s)