По мнению автора статьи на сайте Just Secu­ri­ty, изменения в британском Inves­ti­ga­to­ry Pow­ers Act 2016 (IPA) могут упростить использование 0day уязвимостей устройств для слежки.

"Производителям устройств, вероятно, также придется уведомлять правительство, прежде чем делать доступными важные обновления безопасности, которые устраняют известные уязвимости и обеспечивают безопасность устройств. Соответственно, госсекретарь (Sec­re­tary of State), получив такое предварительное уведомление, теперь может попросить операторов, например, воздержаться от исправления брешей в безопасности, чтобы позволить правительству сохранить доступ в целях слежки (sur­veil­lance)."

Пока это выглядит как спекуляция автора статьи. Может вендоров обяжут уведомлять о планируемых патчах, а может нет. Может вендоров будут просить повременить с патчами, а может нет. Но направление мысли достаточно интересное, и кажется вполне в духе времени.

Можно, например, вспомнить китайское "Положение об управлении уязвимостями безопасности сетевых продуктов" (2021), в котором вендоров обязывают оперативно сообщать об выявленных уязвимостях: "информация об уязвимостях должна быть отправлена на платформу обмена информацией об угрозах сетевой безопасности и уязвимостях Министерства промышленности и информационных технологий в течение 2 дней" (статья 7, п.2).

Так что используя зарубежные продукты нужно иметь в виду, что зарубежный вендор имеет с зарубежным государственным регулятором вполне отчётливые связи, зачастую вполне формальные и нескрываемые. Используешь зарубежное — принимай риски. Не хочешь принимать — не используй. 🤷‍♂️