Cybersikkerhedseksperterpå tværs af Europa har i et åbent brev opfordret EU's lovgivere til at revidere centrale aspekter af Cyber Resilience Act (CRA).
Konkret drejer det sig om kravene om afsløring og rapportering af sårbarheder.
CRA, som for nylig blev godkendt af EU-Parlamentet og nu skal igennem trilog-forhandlinger med EU-Rådet og Kommissionen for at blive endeligt vedtaget, vil pålægge producenter af hardware og software at overholde en række cybersikkerhedskrav.
Loven vil kræve at producenter skal tænke cybersikkerhed ind i deres planlægning, design, udvikling, produktion, levering og vedligeholdelse af et produkt.
Alle kendte cybersikkerheds-mæssige risici skal være udpenslet.
Selskaber skal rapportere nye sårbarheder og udsende opdateringer til at ordne disse sårbarheder i en livscyklus på minimum fem år per produkt.
En lang række af eksperter råber nu vagt i gevær over kravet om hurtig rapportering af sårbarheder til myndigheder.
Det sker i et åbent brev fra en lang række eksperter fra blandt andet Eset, Google, WithSecure, Trend Micro, Aarhus Universitet og mange flere.
I henhold til artikel 11 i CRA skal softwareproducenter informere offentlige myndigheder om uoprettede sårbarheder inden for 24 timer efter deres udnyttelse.
En sådan afsløring vil dog skabe en stor risiko i sig selv, hvis myndigheder får adgang til en database over sårbarheder, der ikke er rettet, hvilket kan udgøre en risiko for udnyttelse, lyder det i brevet, som er adresseret til EU-kommissær for det indre marked Thierry Breton.
”Som bekymrede cybersikkerhedseksperter, der har dedikeret vores liv til at forbedre sikkerheden i onlinemiljøet, opfordrer vi dig til at genoverveje kravene til afsløring af sårbarhed i henhold til den foreslåede Cyber Resilience Act,” skriver eksperterne i brevet.
Eksperterne understreger, at de er enige i ambitionen med CRA, og de støtter at hæve niveauet for cybersikkerhed, men rapporteringskravet er uhensigtsmæssigt og vil skabe nye trusler.
”Dette betyder, at snesevis af offentlige myndigheder ville have adgang til en realtidsdatabase med software med ubegrænsede sårbarheder, uden evnen til at udnytte dem til at beskytte onlinemiljøet og samtidig skabe et fristende mål for ondsindede aktører. Der er flere risici forbundet med at fremskynde afsløringsprocessen og have en udbredt viden om ubegrænsede sårbarheder,” fremgår det i brevet.
Eksperterne frygter, at statslig adgang til en lang række sårbarheder kan ”misbruges til efterretnings- eller overvågningsformål”.
”Fraværet af restriktioner for stødende brug af sårbarheder afsløret gennem CRA og fraværet af gennemsigtige tilsynsmekanismer i næsten alle EU-medlemsstater åbner dørene for potentiel misbrug,” lyder det.
Selv få informationer om sårbarheder, som falder i de forkerte hænder, kan få fatale konsekvenser, skriver eksperterne.
”Overtrædelser og den efterfølgende misbrug af offentlige sårbarheder er ikke en teoretisk trussel, men er sket hos nogle af de bedst beskyttede enheder i verden,” skriver de i brevet.
Eksperterne frygter også, at for tidlige afsløringer og rapportering af sårbarheder kan forstyrre koordineringen og samarbejdet mellem softwareudgivere og sikkerhedsforskere, som ofte har brug for mere tid til at verificere, teste og rette sårbarheder, før de offentliggøres.
”Som et resultat heraf kan CRA reducere producenternes modtagelighed over for afsløringer af sårbarheder fra sikkerhedsforskere og kan afskrække forskere fra at rapportere sårbarheder, hvis hver afsløring udløser en bølge af regeringsmeddelelser,” lyder det.
De ønsker paragraf 11 fjernet helt fra CRA eller revideret.
