Експерти: Вимоги щодо розкриття вразливостей Закону ЄС про кіберстійкість викликають тривогу

Тайлер Кросс
Опубліковано: Жовтень 4, 2023

Запропоновані ЄС закони про розкриття вразливостей Закону про захист від кібербезпеки (CRA) викликали серйозне занепокоєння експертів з кібербезпеки в усьому світі.

По суті, закон передбачає, що компанії матимуть 24 години, щоб розкрити державним установам інформацію про експлойти в уразливостях.

Десятки глобальних експертів із кібербезпеки та лідерів зібралися, щоб написати короткий, але потужний відкритий лист до ЄС, пояснюючи, що, хоча законопроект має добрі наміри, він створює низку нових проблем.

Серед підписантів відкритого листа такі великі компанії, як Google, Trend Micro, Eset, Immuniweb, TomTom. Що ще більш вражаюче, його підписали такі важливі особи, як Тоомас Хендрік Ільвес, колишній президент Естонської Республіки, та Серхіо Кальтаджіроне, президент Академії розвідки загроз.

Лист було адресовано пану Тьєррі Бретону, Комісару з питань внутрішнього ринку Європейської комісії, пані Карме Артігас Бругал, Державному секретарю з питань оцифровки та штучного інтелекту, і пану Нікола Данті, доповідачу з питань Акту про стійкість кібербезпеки Європейського парламенту.

«Хоча ми цінуємо мету CRA посилити кібербезпеку в Європі та за її межами», — йдеться в листі. «Ми вважаємо, що поточні положення про розкриття вразливостей є контрпродуктивними та створять нові загрози».

У законах про розкриття вразливостей було виділено три основні проблеми. Нові закони готові для зловживання розвідувальними службами та для цілей стеження. Розкриття вразливостей протягом 24 годин також дає злочинцям перевагу.

«Навіть знання про існування вразливості достатньо для вмілої людини

реконструювати його», – пишуть вони.

Це також може спонукати компанії витрачати менше ресурсів на дослідників кібербезпеки, враховуючи, що компаніям доведеться повідомляти про кожну вразливість, виявлену під час тестування. Письменники хвилюються, що добросовісні дослідники будуть суворо покарані.

Автори додають, що вони вважають, що жодні агентства не повинні ділитися звітами про вразливості з розвідувальними службами та вимагати розкриття пом’якшуваних вразливостей протягом 72 годин. Вони також вважають, що вразливі місця, виявлені в результаті добросовісного дослідження, не повинні підлягати розголошенню.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.safetydetectives.com/news/experts-eu-cyber-resilience-acts-vulnerability-disclosure-requirements-raise-red-flags/