Επαγγελματίες ασφάλειας, εταιρείες προστασίας από ιούς και υποστηρικτές πολιτικών δικαιωμάτων κρούουν τον κώδωνα του κινδύνου για τον Ευρωπαϊκό Νόμο που αφορά την Ανθεκτικότητα στον Κυβερνοχώρο (CRA από το Cyber Resilience Act). Το θέμα τους; Το Άρθρο 11.
Το συγκεκριμένο άρθρο αναφέρει ότι οι πωλητές λογισμικού πρέπει να αναφέρουν τις 0day ευπάθειες σε κυβερνητικούς φορείς εντός 24 ωρών από την ανακάλυψή τους. Οι εμπειρογνώμονες που έχουν σημαντική επιρροή στον κλάδο, προειδοποιούν ότι αυτό το άρθρο θα μπορούσε να χρησιμοποιηθεί για κατάχρηση, για παρακολούθηση ή ακόμη και να θέσει σε κίνδυνο τις προσπάθειες για την ασφάλεια στον κυβερνοχώρο.
Ο CRA στοχεύει φυσικά να ενισχύσει την ασφάλεια του λογισμικού και του hardware. Αν και νόμος συμπεριλαμβάνει σημαντικές κατευθυντήριες γραμμές, τα χαλάει όλα το άρθρο 11.
Αυτή η διάταξη ορίζει μια προθεσμία 24 ωρών για την αναφορά 0day — τα σφάλματα λογισμικού που μπορούν να χρησιμοποιηθούν και δεν έχουν διορθωθεί. Η ιδέα των νομοθετών είναι να δημιουργηθεί μια ολοκληρωμένη βάση δεδομένων που θα βοηθήσει στην άμυνα έναντι των απειλών στον κυβερνοχώρο.
Οι εμπειρογνώμονες ανακοίνωσαν τις ανησυχίες τους μέσω μιας ανοιχτής επιστολής (PDF). Η επιστολή υποστηρίζεται από τεχνολογικούς γίγαντες όπως η Google και οργανισμούς όπως το Electronic Frontier Foundation και την Trend Micro.
Η επιστολή περιγράφει αρκετούς πιθανούς κινδύνους που συνδέονται με το άρθρο 11:
Κυβερνητική κατάχρηση. Οι ειδικοί ανησυχούν ότι τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν καταχρηστικά από τις κυβερνήσεις για δραστηριότητες παρακολούθησης και συλλογής πληροφοριών.
Ένα honey pot για τους επιτιθέμενους. Η βάση δεδομένων των μη επιδιορθωμένων τρωτών σημείων θα μπορούσε η να γίνει στόχος από εγκληματίες του κυβερνοχώρου που αναζητούν αδύναμα σημεία για εκμετάλλευση.
Ρήξη των σχέσεων Ερευνητή-Πωλητή. Οι ειδικοί υποστηρίζουν ότι ο εξαναγκασμός των εταιρειών να αποκαλύπτουν τρωτά σημεία τόσο γρήγορα θα μπορούσε να βλάψει τις σχέσεις μεταξύ προμηθευτών λογισμικού και ερευνητών ασφάλειας. Ο νέος νόμος μπορεί να κάνει τους ερευνητές να διστάζουν να αναφέρουν τα σφάλματα.
Η ανοιχτή επιστολή δεν υπογραμμίζει απλώς τα προβλήματα, αλλά προτείνει και λύσεις.
Αναφέρει ότι το άρθρο 11 ή πρέπει να αφαιρεθεί ή να αναθεωρηθεί με τις παρακάτω αλλαγές:
- Αποκλεισμός των κρατικών υπηρεσιών από τη χρήση των δεδομένων για παρακολούθηση ή οποιαδήποτε άλλη μορφή επιθετικής δραστηριότητας.
- Να απαιτείται η αναφορά μόνο όταν οι ενημερώσεις είναι έτοιμες να κυκλοφορήσουν.
- Εξαίρεση της έρευνας ασφάλειας καλής πίστης από την υποχρεωτική αναφορά.
Η επιστολή έχει υπογραφεί από εμπειρογνώμονες από πάρα πολλές εταιρείες και ιδρύματα, όπως τις ESET, Rapid7, Bitdefender, Google, Citizen Lab, TomTom, HackerOne, Panasonic, KU Leuven, Black Hat, DEF CON και το Κέντρου Πολιτικής Κυβερνητικής Πολιτικής του Πανεπιστημίου Stanford.
Ο CRA βρίσκεται ακόμη σε στάδιο draft, επομένως υπάρχει περιθώριο για αλλαγές.
Ο τρόπος με τον οποίο θα ανταποκριθεί η Ευρωπαϊκή Ένωση σε αυτή τη συντονισμένη διαμαρτυρία θα είναι ενδεικτικός για την ισορροπία δυνάμεων μεταξύ της κυβερνητικής εποπτείας και της ιδιωτικής ζωής του κάθε ατόμου.