Eksperter: EUs Cyber ​​Resilience Acts krav til avsløring av sårbarhet hever røde flagg

Tyler Cross
Publisert på: Oktober 4, 2023

EUs foreslåtte Cyber ​​Resilience Acts (CRA) lover om sårbarhet har utløst alvorlige bekymringer fra cybersikkerhetseksperter over hele verden.

Loven skisserer i hovedsak at selskaper vil ha 24 timer på seg til å avsløre utnyttelser i sårbarheter til offentlige etater.

Dusinvis av globale cybersikkerhetseksperter og ledere kom sammen for å skrive et kort, men kraftig åpent brev til EU som forklarer at selv om lovforslaget har gode intensjoner, skaper det en rekke nye problemer.

Underskriverne av det åpne brevet inkluderer massive selskaper som Google, Trend Micro, Eset, Immuniweb, TomTom. Mer imponerende er det at den er signert av viktige skikkelser som Toomas Hendrik Ilves, den tidligere presidenten i Republikken Estland, og Sergio Caltagirone, presidenten for Threat Intelligence Academy.

Brevet var adressert til Thierry Breton, kommisjonær for indre marked i EU-kommisjonen, Carme Artigas Brugal, statssekretær for digitalisering og kunstig intelligens og Nicola Danti, rapportør for Cybersecurity Resilience Act, Europaparlamentet.

"Selv om vi setter pris på CRAs mål om å forbedre cybersikkerhet i Europa og utover," står det i brevet. "Vi mener at gjeldende bestemmelser om avsløring av sårbarhet er kontraproduktive og vil skape nye trusler."

Det ble fremhevet tre kjerneproblemer med hensyn til lover om sårbarhet. De nye lovene er modne for misbruk av etterretningsbyråer og for overvåkingsformål. Å avsløre sårbarheter innen 24 timer gir også kriminelle en fordel.

«Selv kunnskapen om eksistensen av en sårbarhet er tilstrekkelig for en dyktig person

rekonstruere den», skriver de.

Det kan også oppmuntre selskaper til å bruke færre ressurser på cybersikkerhetsforskere, gitt at selskapene måtte rapportere alle sårbarheter som ble funnet under testing. Forfatterne bekymrer seg for at trofaste forskere vil bli hardt straffet.

Forfatterne legger til at de mener at ingen byråer bør dele sårbarhetsrapporter med etterretningsbyråer og kreve avsløring av avbøtelige sårbarheter innen 72 timer. De mener også at sårbarheter funnet gjennom god trosforskning ikke bør avsløres.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.safetydetectives.com/news/experts-eu-cyber-resilience-acts-vulnerability-disclosure-requirements-raise-red-flags/