En rad globala cybersäkerhetsexperter uttrycker oro över de föreslagna kraven på offentliggörande av sårbarheter i EU:s Cyber Resilience Act (CRA).
I ett öppet brev undertecknat av experter från ett stort antal organisationer, däribland Google, Electronic Frontier Foundation, Hacker One, ESET, Rapid7, Bugcrowd och Trend Micro, hävdas att de föreslagna bestämmelserna om sårbarhetsrapportering är kontraproduktiva och kommer att skapa nya hot som underminerar säkerheten för digitala produkter och de personer som använder dem.
Brevet är adresserat till bland andra Thierry Breton, EU-kommissionär för den inre marknaden och Nicola Danti, föredragande för CRA i EU-parlamentet.
CRA syftar till att fastställa nya cybersäkerhetskrav för produkter med digitala element och stärka cybersäkerhetsreglerna för hårdvara och programvara för att skydda konsumenter och företag från otillräckliga säkerhetsfunktioner. Förslaget lades först fram av EU-kommissionens ordförande Ursula von der Leyen i september 2021, och ett första förslag publicerades i september 2022. Det håller för närvarande på att beredas av EU:s lagstiftare.
I juli publicerade flera it- och teknikindustrigrupper en lista med rekommendationer för att förbättra EU:s CRA. Organisationerna uppmanade lagstiftarna att inte prioritera hastighet framför kvalitet när de färdigställer sina ståndpunkter för att undvika oavsiktliga resultat och nämnde problematiska aspekter som måste åtgärdas i det nuvarande förslaget.
Sårbarheter måste offentliggöras
Enligt artikel 11 i CRA ska programvarutillverkare informera statliga myndigheter om opatchade sårbarheter inom 24 timmar efter att de har utnyttjats. Detta innebär att dussintals statliga myndigheter skulle ha tillgång till en realtidsdatabas med programvara med opatchade sårbarheter, utan möjlighet att utnyttja dem för att skydda onlinemiljön och samtidigt skapa ett lockande mål för skadliga aktörer, står det i brevet.
”Det finns flera risker förknippade med att påskynda processen för offentliggörande och ha en utbredd kunskap om oförminskade sårbarheter”, heter det vidare.
Risk för missbruk
Riskerna med de nuvarande förslagen om offentliggörande av sårbarheter inkluderar missbruk för underrättelse och övervakning, exponering för skadliga aktörer och negativa effekter på säkerhetsforskning i god tro, enligt brevet.
”Avsaknaden av restriktioner för offensiv användning av sårbarheter som avslöjas genom CRA och avsaknaden av en transparent övervakningsmekanism i nästan alla EU-medlemsstater öppnar dörrarna för potentiellt missbruk”, står det att läsa.
Intrång och efterföljande missbruk av sårbarheter som innehas av myndigheter är inte ett teoretiskt hot, utan förekommer hos några av de bäst skyddade verksamheterna i världen, påpekas det i brevet.
”Även om CRA inte kräver att en fullständig teknisk bedömning ska avslöjas, är till och med kunskapen om en sårbarhets existens tillräcklig för att en skicklig person ska kunna rekonstruera den.”
För tidigt offentliggjorda sårbarheter kan också störa samordningen och samarbetet mellan programvarutillverkare och säkerhetsforskare, och påverka deras förmåga att verifiera, testa och korrigera sårbarheter innan de offentliggörs, fortsätter brevet.
”CRA kan minska tillverkarnas mottaglighet för avslöjanden om sårbarheter från säkerhetsforskare, och kan avskräcka forskare från att rapportera sårbarheter, om varje avslöjande utlöser en våg av statliga meddelanden.”
Riskbaserad strategi
I brevet rekommenderas att CRA använder ett riskbaserat tillvägagångssätt för offentliggörande av sårbarheter, med beaktande av faktorer som hur allvarliga sårbarheterna är, tillgången till mildrande åtgärder, den potentiella inverkan på användarna och sannolikheten för bredare utnyttjande. Det anges att artikel 11-1 antingen bör tas bort i sin helhet eller revideras enligt följande:
Myndigheter bör uttryckligen förbjudas att använda eller dela sårbarheter som avslöjats genom CRA för underrättelse-, övervaknings- eller offensiva ändamål. Endast rapportering av sårbarheter som kan åtgärdas bör krävas inom 72 timmar efter det att effektiva åtgärder (exempelvis en patch) har blivit allmänt tillgängliga. Detaljerna kan omfatta tillverkarens datum för den första upptäckten. CRA bör inte kräva rapportering av sårbarheter som utnyttjas genom säkerhetsforskning i god tro. ISO/IEC 29147 bör nämnas i artikel 11-1 och användas som utgångspunkt för all sårbarhetsrapportering i EU.