Só nos EUA, até agora em 2024, foram publicadas 14.286 CVEs no site do National Institute of Standards and Technology. Estas "Common Vulnerabilities and Exposures (CVE)" designam vulnerabilidades de segurança e outras fraquezas em sistemas informáticos que podem permitir a um hacker realizar um ataque. De acordo com a futura legislação da UE, o Cyber Resilience Act (CRA), os dispositivos não poderão mais ser distribuídos com vulnerabilidades exploráveis conhecidas. Se, ainda assim, surgirem vulnerabilidades conhecidas e exploráveis, os fabricantes, vendedores ou importadores serão responsabilizados como empresas e toda a gestão corporativa. Em relação à ciber-resiliência, no futuro, sob a legislação do Cyber Resilience Act, é claro que os clientes – tanto no ambiente privado como industrial – têm um direito efetivo a software seguro. A corrida, no entanto, para ver quem descobre as vulnerabilidades primeiro, continua: as empresas são, portanto, aconselhadas a introduzir agora tanto uma deteção eficiente de CVE como uma avaliação de impacto, para analisar melhor os seus próprios produtos e proteger-se contra as graves consequências de cenários de vulnerabilidade. "O CRA exige de todos os fabricantes verificações obrigatórias, monitorização e documentação da cibersegurança do produto, o que inclui também a verificação de vulnerabilidades desconhecidas, os chamados 'Zero-Days'", afirma Jan Wendenburg, CEO da ONEKEY, empresa especializada em cibersegurança com sede em Düsseldorf.
O termo Zero-Day refere-se a vulnerabilidades de segurança recém-descobertas através das quais os hackers podem atacar, e refere-se a "zero dias" que um fabricante ou desenvolvedor tem para corrigir o erro. Muitos fabricantes ou distribuidores conhecem insuficientemente as potenciais vulnerabilidades dos seus próprios produtos, que podem, por exemplo, em controlos industriais, também se esconder em componentes com firmware próprio de fornecedores. Em geral, hardware e firmware, bem como todos os dispositivos da Internet das Coisas (IoT), podem ser afetados por tais vulnerabilidades. Com o ONEKEY Compliance Wizard, os especialistas em cibersegurança da ONEKEY oferecem uma avaliação abrangente de cibersegurança de produtos com elementos digitais. Através da combinação de deteção automática de vulnerabilidades, priorização e filtragem de CVE com um questionário de conformidade interativo e holístico, o esforço e os custos dos processos de conformidade de cibersegurança são significativamente reduzidos e o risco de multas iminentes é minimizado. "Quem não quiser estar na linha da frente dos pagadores de multas no início do CRA, tem de criar agora processos para analisar e corrigir os seus próprios riscos", aconselha Jan Wendenburg da ONEKEY.
