Das Vereinigte Königreich hat einen Dienst eingeführt, der Organisationen warnen soll, wenn ihre internetbezogenen Systeme nachweisbare Sicherheitslücken enthalten. Der als Proactive Notification Service bekannte Dienst wird vom National Cyber Security Centre in Zusammenarbeit mit Netcraft betrieben. Es nutzt öffentlich verfügbare Informationen und externe Scans, um veraltete Software, Fehlkonfigurationen oder andere Schwachstellen zu identifizieren, die ohne Zugang zu internen Netzwerken entdeckt werden können. Wenn eine Schwachstelle festgestellt wird, sendet der Dienst eine E-Mail-Benachrichtigung an Kontakte, die für die betroffene Domain oder IP-Adresse registriert sind.
Die Benachrichtigungen informieren Organisationen über die Art des Problems und enthalten empfohlene Maßnahmen wie das Anwenden von Updates oder Anpassungen der Konfigurationen. Beamte erklärten, dass Nachrichten von einer verifizierten Netcraft-Adresse gesendet werden, keine Anhänge enthalten und keine Passwörter, Zahlungen oder persönliche Daten anfordern. Ziel ist es, eine klare und risikoarme Kommunikation zu gewährleisten und dabei Merkmale zu vermeiden, die mit Phishing-Versuchen verbunden sind. Der Dienst ist freiwillig und ersetzt nicht die Verantwortung einer Organisation, ihre eigene Sicherheit zu gewährleisten.
Die aktuelle Phase der Initiative ist ein Pilotprojekt, das sich auf Domänen und IP-Bereiche konzentriert, die mit autonomen Systemnummern im Vereinigten Königreich verknüpft sind. Die Behörden beabsichtigen, zu messen, ob externe Benachrichtigungen die Anzahl der exponierten Schwachstellen in einer breiten Gruppe von Organisationen verringern können. Sie sagten, dass der Dienst Unternehmen ohne dedizierte Sicherheitsteams helfen kann, indem er frühzeitig vor Problemen warnt, die sonst unbemerkt bleiben könnten.
Sicherheitsanalysten haben festgestellt, dass der Dienst Einschränkungen hat, da er nur Schwächen identifiziert, die aus dem Internet sichtbar sind. Schwachstellen, die auf interne Netzwerke oder Systeme hinter Zugriffskontrollen beschränkt sind, können mit dieser Methode nicht erkannt werden. Daher wird Organisationen geraten, weiterhin interne Überprüfungen durchzuführen und regelmäßige Patching-Pläne einzuhalten. Die Ermittler empfehlen außerdem, die Benachrichtigungen mit bestehenden Diensten wie dem National Cyber Security Centre Early Warning System zu ergänzen, das Organisationen vor Anzeichen von Scanning oder Kompromittierung warnt.
Der Start des Dienstes spiegelt die wachsende Besorgnis über die Auswirkungen ungepatchter Software und falsch konfigurierter Geräte auf die nationale Cyberresilienz wider. Beamte erklärten, dass viele erfolgreiche Angriffe mit der Ausnutzung öffentlich bekannter Schwachstellen beginnen und dass rechtzeitige Warnungen die Gefährdung verringern kann. Sie betonten, dass der Dienst dazu gedacht ist, etablierte Sicherheitspraktiken zu unterstützen und nicht zu ersetzen, und dass Organisationen aktive Überwachungs- und Vorfallreaktionsverfahren aufrechterhalten sollten, um Bedrohungen zu adressieren, die durch externe Scans nicht identifiziert werden können.