Skip to main content
НОВИНИ

ЗАЩО ЧАСТ ОТ НОВИТЕ РЕГУЛАЦИИ НА ЕС ЗА КИБЕРСИГУРНОСТ СЪЗДАВАТ РИСК

By 03.10.2023октомври 4th, 2023No Comments
ЗАЩО ЧАСТ ОТ НОВИТЕ РЕГУЛАЦИИ НА ЕС ЗА КИБЕРСИГУРНОСТ СЪЗДАВАТ РИСК

03.10.2023 |

В ново отворено писмо експертите в сферата на киберсигурността призовават да се променят изискванията на Законодателния акт за киберустойчивост за разкриване на уязвимости

 

Експерти по киберсигурност призовават европейските органи да преразгледат изискванията за разкриване на уязвимости, посочени в Закона за киберсигурността (CRA). В отворено писмо, подписано от специалисти от над 50 организации, експертите твърдят, че някои аспекти на член 11 ще създадат нови заплахи и ще подкопаят сигурността на множество системи и потребителите им. Разпоредбите, предложени от Европейската комисия през септември миналата година, имат за цел да въведат общи изисквания за киберсигурност в целия Европейски съюз (ЕС), включително задължителнистандарти за сигурност и справяне с уязвимостите в продуктите на Internet of Things (IoT). Целта е да се повишат прозрачността, отчетността и защитата на потребителите.

Съгласно новите правила организациите трябва да разкриват софтуерни уязвимости на правителствени агенции в рамките на 24 часа след експлоатирането им. Това ще доведе до създаването на база данни за уязвимостите в реално време, която ще включва всички непоправени пропуски в сигурността. Експерти по киберсигурност обаче твърдят, че тази информация може да създаде ненужни рискове за потребителите и компаниите. Те твърдят, че консолидирането на всички текущи уязвимости на едно място може да увеличи заплахите за организациите. Прибързването на процеса на разкриване може да доведе до неуспешни поправки на системите и допълнителен натиск върху експертите по сигурността и доставчиците на софтуер.

В отвореното писмо се изтъкват опасенията, че десетки правителствени агенции ще имат достъп в реално време до изчерпателни бази данни с уязвимости, което ще ги превърне в примамлива цел за злонамерени лица. Прибързването на процеса на разкриване и широкото разпространение на информация за уязвимостите може да постави организациите в неизгодно положение и да създаде възможности за хакерите. Експертите предлагат промени в член 11, като например отчитане на значимостта на уязвимостта и възможността за използването ѝ от киберпрестъпници. Те препоръчват подход, основан на риска, и изискване за задължително докладване за 72 часа след „ефективно смекчаване“, за да се сведе до минимум рискът от експлоатация.

Експертите по киберсигурност изразяват загриженост и относно въздействието на изискванията за разкриване на информация върху сътрудничеството между производителите на софтуер и изследователите. Сегашният вид на изискванията не отчита времето, необходимо за проверка, тестване и отстраняване на уязвимостите, преди те да бъдат публично оповестени. Това би могло да наруши координацията и сътрудничеството, което в крайна сметка ще затрудни усилията в областта на киберсигурността.

Това не е първият случай, в който се повдигат тези опасения. Подобни проблеми бяха изтъкнати в предишно отворено писмо на организации задигитални права през юни, както и в съвместно изявление на организации за киберсигурност. В тези предишни призиви за разглеждане се подчертава потенциалната злоупотреба с широко разпространена информация.

Детайли

Уебсайт

Таргет аудитория

Дигитални умения за работещи

Дигитална технология/ категория

Куберсигурност