מקצועני האבטחה מזהירים שכלל גילוי הפגיעות של האיחוד האירופי מסוכן

האיחוד האירופי (האיחוד האירופי) עשוי לדרוש בקרוב ממפרסמי תוכנה לחשוף פרצות שלא תואמו לסוכנויות ממשלתיות תוך 24 שעות מרגע ניצול. מומחי אבטחת IT רבים רוצים שהכלל החדש הזה, הקבוע בסעיף 11 של חוק חוסן הסייבר (CRA) של האיחוד האירופי, ייבחן מחדש.

הכלל מחייב ספקים לחשוף שהם יודעים על פגיעות המנוצלת באופן פעיל תוך יום אחד לאחר שנודע על כך, ללא קשר למצב התיקון. חלק מאנשי מקצוע האבטחה רואים את הפוטנציאל של ממשלות לנצל לרעה את דרישות גילוי הפגיעות למטרות מודיעין או מעקב.

במכתב פתוח שנחתם על ידי 50 אנשי מקצוע בולטים בתחום אבטחת הסייבר ברחבי התעשייה והאקדמיה, ביניהם נציגי Arm, Google ו-Trend Micro, החותמים טוענים כי חלון 24 שעות ביממה אינו מספיק זמן - והוא גם יפתח דלתות בפני יריבים. את נקודות התורפה מבלי לאפשר לארגונים מספיק זמן לתקן את הבעיות.

"למרות שאנו מעריכים את המטרה של ה-CRA לשפר את אבטחת הסייבר באירופה ומחוצה לה, אנו מאמינים כי ההוראות הנוכחיות על חשיפת פגיעות אינן מועילות וייצרו איומים חדשים שיערערו את אבטחת המוצרים הדיגיטליים והאנשים המשתמשים בהם", נכתב במכתב.

גופי רממורתי, מנהל בכיר לאבטחה ו-GRC ב-Symmetry Systems, אומר שאין מחלוקת לגבי הדחיפות של תיקון נקודות התורפה. החששות מתמקדים בפרסום נקודות התורפה לפני שעדכונים זמינים, שכן הדבר מותיר ארגונים בסיכון להתקפה ואינם יכולים לעשות דבר כדי למנוע זאת.

"פרסום מידע הפגיעות לפני התיקון העלה חשש שהוא עשוי לאפשר ניצול נוסף של המערכות או המכשירים שלא תוכדו ולהעמיד חברות פרטיות ואזרחים בסיכון נוסף", אומר Ramamourthy.

תעדוף תיקון על פני מעקב

קלי גינטר, מנהלת בכירה של חקר איומי סייבר ב-Critical Start, אומרת שהכוונה מאחורי חוק חוסן הסייבר של האיחוד האירופי ראויה לשבח, אך חיוני לשקול את ההשלכות הרחבות יותר ואת ההשלכות הבלתי רצויות הפוטנציאליות של ממשלות שיש לה גישה למידע על פגיעות לפני שעדכונים יהיו זמינים.

"לממשלות יש אינטרס לגיטימי להבטיח את הביטחון הלאומי", היא אומרת. "עם זאת, שימוש בנקודות תורפה ליכולות מודיעיניות או התקפיות עלול להשאיר אזרחים ותשתיות חשופים לאיומים".

לדבריה, יש להגיע לאיזון שבו ממשלות מתעדפות תיקון והגנה על מערכות על פני ניצול פגיעויות, והציעה כמה גישות חלופיות לחשיפת פגיעות, החל מחשיפה מדורגת.

"בהתאם לחומרת וההשפעה של פגיעות, ניתן לקבוע מסגרות זמן משתנות לחשיפה", אומר גינטר. "לחולשות קריטיות עשויות להיות חלון קצר יותר, בעוד שבעיות פחות חמורות יכולות לקבל יותר זמן."

חלופה שנייה נוגעת להודעה מוקדמת, שבה ניתן לתת לספקים הודעה מוקדמת, עם תקופת חסד קצרה לפני שהפגיעות המפורטת תיחשף לקהל רחב יותר.

דרך שלישית מתמקדת בחשיפת פגיעות מתואמת, המעודדת מערכת שבה חוקרים, ספקים וממשלות עובדים יחד כדי להעריך, לתקן ולחשוף פגיעויות בצורה אחראית.

היא מוסיפה שכל כלל חייב לכלול סעיפים מפורשים כדי לאסור שימוש לרעה בפגיעויות שנחשפו למטרות מעקב או פוגעניות.

"בנוסף, רק לצוות נבחר עם אישור והכשרה נאותים צריכה להיות גישה למסד הנתונים, מה שמפחית את הסיכון לדליפות או שימוש לרעה", היא אומרת. "אפילו עם סעיפים והגבלות מפורשים, ישנם אתגרים וסיכונים רבים שיכולים להתעורר."

מתי, איך וכמה לחשוף

ג'ון א. סמית', מנכ"ל ב-Conversant Group, מציין כי חשיפה אחראית של פגיעויות היא תהליך שכלל, באופן מסורתי, גישה מתחשבת שאפשרה לארגונים וחוקרי אבטחה להבין את הסיכון ולפתח תיקונים לפני חשיפת הפגיעות בפני גורמי איומים פוטנציאליים.

"למרות שה-CRA אולי לא ידרוש פרטים עמוקים על הפגיעות, העובדה שידוע כעת שהוא נוכח מספיקה כדי לגרום לשחקני איומים לחקור, לבדוק ולעבוד כדי למצוא ניצול פעיל", הוא מזהיר.

מנקודת המבט שלו, אין לדווח על הפגיעות לאף ממשלה בודדת או לאיחוד האירופי - דרישה לכך תפחית את אמון הצרכנים ותפגע במסחר עקב סיכוני ריגול של מדינות לאום.

"חשיפה חשובה - בהחלט. אבל אנחנו חייבים לשקול את היתרונות והחסרונות של מתי, איך וכמה פרטים מסופקים במהלך מחקר וגילוי כדי להפחית את הסיכון", הוא אומר.

סמית' מציין שחלופה ל"גישה מטומטמת" זו היא לדרוש מחברות תוכנה להכיר בפרצות שדווחו במסגרת זמן מוגדרת אך מזורזת, ולאחר מכן לדרוש מהן לדווח על התקדמות לישות המגלה באופן קבוע, ובסופו של דבר לספק תיקון פומבי בתוך מקסימום 90 ימים.

הנחיות כיצד לעשות זאת לקבל ולחשוף מידע על פגיעות, כמו גם טכניקות ושיקולי מדיניות לדיווח, כבר מפורטים ב ISO / IEC 29147.

השפעות מעבר לאיחוד האירופי

גינטר מוסיף שלארה"ב יש הזדמנות להתבונן, ללמוד, ולאחר מכן לפתח מדיניות אבטחת סייבר מושכלת, כמו גם להתכונן באופן יזום לכל השלכות אפשריות אם אירופה תתקדם מהר מדי.

"עבור חברות אמריקאיות, הפיתוח הזה הוא בעל חשיבות עליונה", היא אומרת. "תאגידים אמריקאים רבים פועלים בקנה מידה עולמי, ושינויים רגולטוריים באיחוד האירופי עלולים להשפיע על הפעילות הגלובלית שלהם".

היא מציינת כי ההשפעה הגלומה של החלטות הרגולציה של האיחוד האירופי, כפי שמעידה השפעת ה-GDPR על ה-CCPA ו- חוקי פרטיות אחרים בארה"ב, מציע שהחלטות אירופיות יכולות להקדים שיקולים רגולטוריים דומים בארה"ב.

"כל פגיעות שנחשפה בחיפזון עקב תקנות האיחוד האירופי אינה מגבילה את הסיכונים שלה לאירופה", מזהיר גינטר. "גם מערכות בארה"ב המשתמשות באותה תוכנה ייחשפו."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/edge/security-pros-warn-that-eu-vulnerability-disclosure-rule-is-risky