Эксперты: Требования Закона ЕС о раскрытии информации об уязвимостях вызывают тревогу

Тайлер Кросс
Опубликовано: 4 октября 2023

Предложенные ЕС законы о раскрытии уязвимостей в рамках Закона о киберустойчивости (CRA) вызвали серьезную обеспокоенность у экспертов по кибербезопасности во всем мире.

По сути, в законе оговаривается, что у компаний будет 24 часа на то, чтобы раскрыть правительственным учреждениям эксплойты уязвимостей.

Десятки мировых экспертов и лидеров в области кибербезопасности собрались вместе, чтобы написать краткое, но мощное открытое письмо ЕС, в котором объясняется, что, хотя законопроект имеет благие намерения, он создает множество новых проблем.

Среди подписантов открытого письма такие крупные компании, как Google, Trend Micro, Eset, Immuniweb, TomTom. Еще более впечатляюще то, что его подписали такие важные фигуры, как Тоомас Хендрик Ильвес, бывший президент Эстонской Республики, и Серджио Кальтаджироне, президент Академии разведки угроз.

Письмо было адресовано г-ну Тьерри Бретону, комиссару по внутреннему рынку Европейской комиссии, г-же Карме Артигас Бругаль, государственному секретарю по цифровизации и искусственному интеллекту, и г-ну Никола Данти, докладчику по Закону об устойчивости кибербезопасности Европейского парламента.

«Хотя мы ценим цель CRA по повышению кибербезопасности в Европе и за ее пределами», — говорится в письме. «Мы считаем, что нынешние положения о раскрытии уязвимостей контрпродуктивны и создадут новые угрозы».

В законах о раскрытии уязвимостей были отмечены три основные проблемы. Новые законы готовы к злоупотреблениям со стороны спецслужб и в целях наблюдения. Раскрытие уязвимостей в течение 24 часов также дает преступникам преимущество.

«Даже знания о существовании уязвимости достаточно для умелого человека, чтобы

реконструировать его», — пишут они.

Это также может побудить компании тратить меньше ресурсов на исследователей кибербезопасности, поскольку компаниям придется сообщать о каждой уязвимости, обнаруженной во время тестирования. Авторы опасаются, что добросовестные исследователи будут строго наказаны.

Авторы добавляют, что, по их мнению, ни одно агентство не должно делиться отчетами об уязвимостях со спецслужбами и требовать раскрытия уязвимостей, которые можно устранить, в течение 72 часов. Они также считают, что уязвимости, обнаруженные в результате добросовестного исследования, не должны подлежать разглашению.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.safetydetectives.com/news/experts-eu-cyber-resilience-acts-vulnerability-disclosure-requirements-raise-red-flags/