ЗАЩО ЧАСТ ОТ НОВИТЕ РЕГУЛАЦИИ НА ЕС ЗА КИБЕРСИГУРНОСТ СЪЗДАВАТ РИСК

Експерти по киберсигурност призовават европейските органи да преразгледат изискванията за разкриване на уязвимости, посочени в Закона за киберсигурността (CRA). В отворено писмо, подписано от специалисти от над 50 организации, експертите твърдят, че някои аспекти на член 11 ще създадат нови заплахи и ще подкопаят сигурността на множество системи и потребителите им. Разпоредбите, предложени от Европейската комисия през септември миналата година, имат за цел да въведат общи изисквания за киберсигурност в целия Европейски съюз (ЕС), включително задължителнистандарти за сигурност и справяне с уязвимостите в продуктите на Internet of Things (IoT). Целта е да се повишат прозрачността, отчетността и защитата на потребителите.

Съгласно новите правила организациите трябва да разкриват софтуерни уязвимости на правителствени агенции в рамките на 24 часа след експлоатирането им. Това ще доведе до създаването на база данни за уязвимостите в реално време, която ще включва всички непоправени пропуски в сигурността. Експерти по киберсигурност обаче твърдят, че тази информация може да създаде ненужни рискове за потребителите и компаниите. Те твърдят, че консолидирането на всички текущи уязвимости на едно място може да увеличи заплахите за организациите. Прибързването на процеса на разкриване може да доведе до неуспешни поправки на системите и допълнителен натиск върху експертите по сигурността и доставчиците на софтуер.

В отвореното писмо се изтъкват опасенията, че десетки правителствени агенции ще имат достъп в реално време до изчерпателни бази данни с уязвимости, което ще ги превърне в примамлива цел за злонамерени лица. Прибързването на процеса на разкриване и широкото разпространение на информация за уязвимостите може да постави организациите в неизгодно положение и да създаде възможности за хакерите. Експертите предлагат промени в член 11, като например отчитане на значимостта на уязвимостта и възможността за използването ѝ от киберпрестъпници. Те препоръчват подход, основан на риска, и изискване за задължително докладване за 72 часа след „ефективно смекчаване“, за да се сведе до минимум рискът от експлоатация.

Експертите по киберсигурност изразяват загриженост и относно въздействието на изискванията за разкриване на информация върху сътрудничеството между производителите на софтуер и изследователите. Сегашният вид на изискванията не отчита времето, необходимо за проверка, тестване и отстраняване на уязвимостите, преди те да бъдат публично оповестени. Това би могло да наруши координацията и сътрудничеството, което в крайна сметка ще затрудни усилията в областта на киберсигурността.

Това не е първият случай, в който се повдигат тези опасения. Подобни проблеми бяха изтъкнати в предишно отворено писмо на организации задигитални права през юни, както и в съвместно изявление на организации за киберсигурност. В тези предишни призиви за разглеждане се подчертава потенциалната злоупотреба с широко разпространена информация.