Призоваха ЕС да преосмисли плановете за известяване на уязвимости
Законовите ограничения могат да подкопаят киберзащитата, настояват специалисти
Достъпът на държавните управления до необятен набор от неотработени уязвимости в софтуера може да бъде обект на корист, притесняват се специалисти (снимка: CC0 Public Domain)
Предложените от Европейския съюз ограничения за откриване на новооткрити уязвимости в киберсигурността са доброжелателни, само че в последна сметка ще се окажат контрапродуктивни, предизвестиха специалисти. Според тях, оповестението на уязвимостите усилва риска от тяхното злонамерено потребление.
Десетки специалисти по киберсигурност упорстват Европейският съюз да преразгледа „ контрапродуктивните “ си условия за откриване на новооткрити уязвимости в оферти Закон за резистентност на киберпространството (CRA). Специалистите се притесняват, че това отваря вратите за злоупотреби.
Въведен през септември 2022 година от Европейската комисия, законът се основава на Стратегията за киберсигурност на Европейски Съюз и има за цел да усъвършенства сигурността на всички свързани цифрови устройства и софтуера, който те употребяват, за потребителите в целия блок. Нормата постанова на производителите наложителни условия и отговорности за киберсигурност. Задължава ги да дават непрекъсната поддръжка за сигурността и софтуерни корекции, също и да обезпечават задоволително информация на потребителите по отношение на сигурността на своите артикули.
Обект на вниманието на киберспециалистите е разкриването на уязвимости. Член 11 от закона гласи, че производителите на програмен продукт би трябвало да уведомят Агенцията за киберсигурност на Европейски Съюз, позната като ENISA, за всяка новооткрита накърнимост в границите на 24 часа.
В отворено писмо до Европейски Съюз десетки специалисти по киберсигурността от редица организации от обществения и частния бранш обявиха, че наредбите за откриване уязвимости ще основат нови закани, подкопаващи сигурността на цифровите артикули и на лицата, които ги употребяват. Писмото е адресирано до Никола Данти, докладчик за CRA в Европейския парламент, Тиери Бретон, комисар по вътрешния пазар в Европейска комисия, и Карме Артигас Бурга, държавен секретар на Испания по цифровизацията и изкуствения разсъдък.
„ [Член 11] значи, че десетки държавни организации ще имат достъп в действително време до база данни със програмен продукт с… уязвимости, без опцията да ги употребяват за отбрана на онлайн-средата и в същото време създавайки примамлива цел за злонамерени лица “, пишат експертите. Според тях, има няколко риска, свързани с бързото откриване на информация за уязвимости, които не са отработени, т.е. за които не са взети ограничения за справяне.
още по темата
Налице са опция за корист от европейски държавни управления, нараснал риск от откриване на уязвимости от страна на злонамерени лица и евентуално „ вцепеняващ “ резултат върху добросъвестните проучвания на сигурността.
„ Достъпът на държавното управление до необятен набор от неотработени уязвимости в софтуера може да бъде обект на корист за задачите на разузнаването или наблюдението. Липсата на ограничавания за злонамереното потребление на уязвимостите, разкрити посредством CRA, и неналичието на транспарантен механизъм за контрол в съвсем всички държави-членки на Европейски Съюз отварят вратите за евентуални злоупотреби “, пишат киберспециалистите.
„ Пробивите и последващата корист с уязвимости не са теоретична опасност, те към този момент са се случвали у някои от най-добре предпазените субекти в света. Въпреки че CRA не изисква откриване на цялостна техническа оценка, даже самата изясненост за съществуването на накърнимост е задоволително, с цел да може човек с нужните умения да се възползва “.
Съществен е въпросът за отражението на казуса при проучванията в областта на сигурността. Експертите са на мнение, че ограниченията за откриване може да попречат на съдействието сред основателите на програмен продукт и откривателите по сигурността. Така е, тъй като последните се нуждаят от време, с цел да ревизират, тестват и поправят уязвимостите, преди да ги създадат обществено притежание.
„ В резултат на това CRA може да понижи възприемчивостта на производителите към разкриването на уязвимости от страна на откриватели по сигурността и може да обезсърчи откривателите да рапортуват нови уязвимости, в случай че всяко обявяване провокира вълна от държавни уведомления “, пишат те.
„ Въпреки че желанието зад незабавното откриване на уязвимости може да е да се улесни оправянето с казуса, CRA към този момент изисква – в обособена наредба – издателите на програмен продукт да поправят уязвимостите неотложно. Ние поддържаме това обвързване, само че също по този начин настояваме за виновен и съгласуван развой на откриване, който балансира нуждата от бистрота с нуждата от сигурност. “
Като опция специалистите предлагат възприемането на „ основан на риска метод “. Той следва да регистрира сериозността на уязвимостта, съществуването на средства за справяне, евентуалното влияние върху крайните консуматори и вероятността от по-широко потребление. Експертите предлагат или цялостното унищожаване на наредбите на член 11, или най-малко преразглеждането им.
Предложените спомагателни проверки включват експлицитна възбрана на държавните организации да употребяват или споделят разкрити уязвимости за задачите на разузнаването или наблюдението; смяна на условията за докладване, с цел да включват единствено уязвимости, които могат да бъдат поправени в границите на 72 часа след корекция; и изцяло да изключи докладването на уязвимости, разпознати посредством добросъвестно изследване на сигурността.
„ За разлика от злонамереното потребление на накърнимост, добросъвестното проучване на сигурността не съставлява опасност за сигурността “, пишат те. Добавят и, че ISO/IEC 29147 би трябвало да бъде отпратка в CRA и да се употребява като основа за всички отчети за уязвимости в Европейски Съюз.
Макар че желанията на законодателството са положителни, въведените условия за откриване на информация са в директен спор с откритите най-хубави практики в региона, акцентира Алекс Райс, съосновател и основен софтуерен шеф в HackerOne. „ Докладването на извънредно чувствителни данни единствено на няколко държавни организации в Европейски Съюз основава мощен тласък за злонамерените лица обхванат в тези центрове и да се доберат до познание за уязвимости, с цел да нападат уязвимите организации – наред с цялостен набор от други опасности. “ Според него, нарасналият риск от пробив за организациите ще усложни обстановката и ще направи организациите по-малко възприемчиви към добросъвестно проучване на сигурността.
„ Всеки страда, когато тези уязвимости се рапортуват прибързано. Парламентът би трябвало да преразгледа CRA, с цел да изисква откриване, откакто уязвимостите бъдат поправени “.
През юни 2023 година Европейската група за цифрови права (EDRi) и 10 други цивилен групи написаха сходно отворено писмо. В него те показаха угриженост по отношение на разкриването на некоригирани уязвимости. Тъй като са новооткрити, тези уязвимости е малко евентуално да бъдат адресирани незабавно – а това „ ще докара до появяването на бази данни в действително време със програмен продукт с неотстранени уязвимости, притежавани от десетки държавни организации “. Това усилва риска от корист за държавно разузнаване или за злонамерени цели.
Достъпът на държавните управления до необятен набор от неотработени уязвимости в софтуера може да бъде обект на корист, притесняват се специалисти (снимка: CC0 Public Domain)
Предложените от Европейския съюз ограничения за откриване на новооткрити уязвимости в киберсигурността са доброжелателни, само че в последна сметка ще се окажат контрапродуктивни, предизвестиха специалисти. Според тях, оповестението на уязвимостите усилва риска от тяхното злонамерено потребление.
Десетки специалисти по киберсигурност упорстват Европейският съюз да преразгледа „ контрапродуктивните “ си условия за откриване на новооткрити уязвимости в оферти Закон за резистентност на киберпространството (CRA). Специалистите се притесняват, че това отваря вратите за злоупотреби.
Въведен през септември 2022 година от Европейската комисия, законът се основава на Стратегията за киберсигурност на Европейски Съюз и има за цел да усъвършенства сигурността на всички свързани цифрови устройства и софтуера, който те употребяват, за потребителите в целия блок. Нормата постанова на производителите наложителни условия и отговорности за киберсигурност. Задължава ги да дават непрекъсната поддръжка за сигурността и софтуерни корекции, също и да обезпечават задоволително информация на потребителите по отношение на сигурността на своите артикули.
Обект на вниманието на киберспециалистите е разкриването на уязвимости. Член 11 от закона гласи, че производителите на програмен продукт би трябвало да уведомят Агенцията за киберсигурност на Европейски Съюз, позната като ENISA, за всяка новооткрита накърнимост в границите на 24 часа.
В отворено писмо до Европейски Съюз десетки специалисти по киберсигурността от редица организации от обществения и частния бранш обявиха, че наредбите за откриване уязвимости ще основат нови закани, подкопаващи сигурността на цифровите артикули и на лицата, които ги употребяват. Писмото е адресирано до Никола Данти, докладчик за CRA в Европейския парламент, Тиери Бретон, комисар по вътрешния пазар в Европейска комисия, и Карме Артигас Бурга, държавен секретар на Испания по цифровизацията и изкуствения разсъдък.
„ [Член 11] значи, че десетки държавни организации ще имат достъп в действително време до база данни със програмен продукт с… уязвимости, без опцията да ги употребяват за отбрана на онлайн-средата и в същото време създавайки примамлива цел за злонамерени лица “, пишат експертите. Според тях, има няколко риска, свързани с бързото откриване на информация за уязвимости, които не са отработени, т.е. за които не са взети ограничения за справяне.
още по темата
Налице са опция за корист от европейски държавни управления, нараснал риск от откриване на уязвимости от страна на злонамерени лица и евентуално „ вцепеняващ “ резултат върху добросъвестните проучвания на сигурността.
„ Достъпът на държавното управление до необятен набор от неотработени уязвимости в софтуера може да бъде обект на корист за задачите на разузнаването или наблюдението. Липсата на ограничавания за злонамереното потребление на уязвимостите, разкрити посредством CRA, и неналичието на транспарантен механизъм за контрол в съвсем всички държави-членки на Европейски Съюз отварят вратите за евентуални злоупотреби “, пишат киберспециалистите.
„ Пробивите и последващата корист с уязвимости не са теоретична опасност, те към този момент са се случвали у някои от най-добре предпазените субекти в света. Въпреки че CRA не изисква откриване на цялостна техническа оценка, даже самата изясненост за съществуването на накърнимост е задоволително, с цел да може човек с нужните умения да се възползва “.
Съществен е въпросът за отражението на казуса при проучванията в областта на сигурността. Експертите са на мнение, че ограниченията за откриване може да попречат на съдействието сред основателите на програмен продукт и откривателите по сигурността. Така е, тъй като последните се нуждаят от време, с цел да ревизират, тестват и поправят уязвимостите, преди да ги създадат обществено притежание.
„ В резултат на това CRA може да понижи възприемчивостта на производителите към разкриването на уязвимости от страна на откриватели по сигурността и може да обезсърчи откривателите да рапортуват нови уязвимости, в случай че всяко обявяване провокира вълна от държавни уведомления “, пишат те.
„ Въпреки че желанието зад незабавното откриване на уязвимости може да е да се улесни оправянето с казуса, CRA към този момент изисква – в обособена наредба – издателите на програмен продукт да поправят уязвимостите неотложно. Ние поддържаме това обвързване, само че също по този начин настояваме за виновен и съгласуван развой на откриване, който балансира нуждата от бистрота с нуждата от сигурност. “
Като опция специалистите предлагат възприемането на „ основан на риска метод “. Той следва да регистрира сериозността на уязвимостта, съществуването на средства за справяне, евентуалното влияние върху крайните консуматори и вероятността от по-широко потребление. Експертите предлагат или цялостното унищожаване на наредбите на член 11, или най-малко преразглеждането им.
Предложените спомагателни проверки включват експлицитна възбрана на държавните организации да употребяват или споделят разкрити уязвимости за задачите на разузнаването или наблюдението; смяна на условията за докладване, с цел да включват единствено уязвимости, които могат да бъдат поправени в границите на 72 часа след корекция; и изцяло да изключи докладването на уязвимости, разпознати посредством добросъвестно изследване на сигурността.
„ За разлика от злонамереното потребление на накърнимост, добросъвестното проучване на сигурността не съставлява опасност за сигурността “, пишат те. Добавят и, че ISO/IEC 29147 би трябвало да бъде отпратка в CRA и да се употребява като основа за всички отчети за уязвимости в Европейски Съюз.
Макар че желанията на законодателството са положителни, въведените условия за откриване на информация са в директен спор с откритите най-хубави практики в региона, акцентира Алекс Райс, съосновател и основен софтуерен шеф в HackerOne. „ Докладването на извънредно чувствителни данни единствено на няколко държавни организации в Европейски Съюз основава мощен тласък за злонамерените лица обхванат в тези центрове и да се доберат до познание за уязвимости, с цел да нападат уязвимите организации – наред с цялостен набор от други опасности. “ Според него, нарасналият риск от пробив за организациите ще усложни обстановката и ще направи организациите по-малко възприемчиви към добросъвестно проучване на сигурността.
„ Всеки страда, когато тези уязвимости се рапортуват прибързано. Парламентът би трябвало да преразгледа CRA, с цел да изисква откриване, откакто уязвимостите бъдат поправени “.
През юни 2023 година Европейската група за цифрови права (EDRi) и 10 други цивилен групи написаха сходно отворено писмо. В него те показаха угриженост по отношение на разкриването на некоригирани уязвимости. Тъй като са новооткрити, тези уязвимости е малко евентуално да бъдат адресирани незабавно – а това „ ще докара до появяването на бази данни в действително време със програмен продукт с неотстранени уязвимости, притежавани от десетки държавни организации “. Това усилва риска от корист за държавно разузнаване или за злонамерени цели.
Източник: technews.bg
КОМЕНТАРИ