Акт киберустойчивости ЕС — надёжная защита или большие проблемы

Ведущие эксперты в области кибербезопасности предупредили о потенциальном злоупотреблении актом о киберустойчивости ЕС (CRA), о котором мы впервые рассказывали в конце мая, в целях разведки или слежки.

Открытое письмо , подписанное 50 выдающимися специалистами в области кибербезопасности, призывает Европейский Союз пересмотреть статью 11 акта, касающуюся требований по раскрытию уязвимостей. В соответствии с этой статьёй, издатели программного обеспечения должны сообщать о неустранимых уязвимостях в течение 24 часов после начала их эксплуатации.

Эксперты опасаются, что данное требование позволит многим государственным структурам иметь доступ к реальной базе данных программного обеспечения с неустранёнными уязвимостями. Подобная информация может быть использована для сбора разведданных или слежки за организациями и отдельными лицами, а в случае утечки такой базы — банально поставит миллионы пользователей того или иного программного обеспечения под угрозу компрометации.

Письмо подписали такие знаменитости, как Киран Мартин, бывший глава Национального центра кибербезопасности Великобритании, Тоомас Хендрик Ильвес, экс-президент Эстонии, а также Винт Серф, вице-президент Google.

CRA был представлен Еврокомиссией в сентябре 2022 года с целью установления минимальных стандартов кибербезопасности, однако, как многим кажется, в случае принятия создаст больше рисков, чем принесёт пользы. Так, например, быстрое раскрытие уязвимостей может снизить восприимчивость производителей к раскрытию информации или отбить у исследователей желание сообщать о выявленных уязвимостях.

50 экспертов предложили ЕС пересмотреть свой подход к статье 11 и внести следующие изменения:

1. Чётко запретить агентствам использовать или делиться уязвимостями для разведывательных или наступательных целей.
2. Требовать сообщать только о таких уязвимостях, которые можно устранить в течение 72 часов после появления публично доступных средств устранения.
3. Не требовать сообщать об уязвимостях, выявленных в ходе добросовестных исследований безопасности, выполненных независимыми исследователями.

В апреле этого года открытое письмо было направлено в ЕС с предупреждением о том, что CRA может оказать «сдерживающий эффект» на разработку программного обеспечения. Прислушается ли Европейская комиссия или проигнорирует предостережения стольких экспертов, узнаем позже.