CRA критикуют из каждого утюга, но прислушаются ли законодатели, пока неясно.
Ведущие эксперты в области кибербезопасности предупредили о потенциальном злоупотреблении актом о киберустойчивости ЕС ( CRA ), о котором мы Для просмотра ссылки Войдиили Зарегистрируйся в конце мая, в целях разведки или слежки.
Для просмотра ссылки Войдиили Зарегистрируйся , подписанное 50 выдающимися специалистами в области кибербезопасности, призывает Европейский Союз пересмотреть статью 11 акта, касающуюся требований по раскрытию уязвимостей. В соответствии с этой статьёй, издатели программного обеспечения должны сообщать о неустранимых уязвимостях в течение 24 часов после начала их эксплуатации.
Эксперты опасаются, что данное требование позволит многим государственным структурам иметь доступ к реальной базе данных программного обеспечения с неустранёнными уязвимостями. Подобная информация может быть использована для сбора разведданных или слежки за организациями и отдельными лицами, а в случае утечки такой базы — банально поставит миллионы пользователей того или иного программного обеспечения под угрозу компрометации.
Письмо подписали такие знаменитости, как Киран Мартин, бывший глава Национального центра кибербезопасности Великобритании, Тоомас Хендрик Ильвес, экс-президент Эстонии, а также Винт Серф, вице-президент Google.
CRA был представлен Еврокомиссией в сентябре 2022 года с целью установления минимальных стандартов кибербезопасности, однако, как многим кажется, в случае принятия создаст больше рисков, чем принесёт пользы. Так, например, быстрое раскрытие уязвимостей может снизить восприимчивость производителей к раскрытию информации или отбить у исследователей желание сообщать о выявленных уязвимостях.
50 экспертов предложили ЕС пересмотреть свой подход к статье 11 и внести следующие изменения:
Ведущие эксперты в области кибербезопасности предупредили о потенциальном злоупотреблении актом о киберустойчивости ЕС ( CRA ), о котором мы Для просмотра ссылки Войди
Для просмотра ссылки Войди
Эксперты опасаются, что данное требование позволит многим государственным структурам иметь доступ к реальной базе данных программного обеспечения с неустранёнными уязвимостями. Подобная информация может быть использована для сбора разведданных или слежки за организациями и отдельными лицами, а в случае утечки такой базы — банально поставит миллионы пользователей того или иного программного обеспечения под угрозу компрометации.
Письмо подписали такие знаменитости, как Киран Мартин, бывший глава Национального центра кибербезопасности Великобритании, Тоомас Хендрик Ильвес, экс-президент Эстонии, а также Винт Серф, вице-президент Google.
CRA был представлен Еврокомиссией в сентябре 2022 года с целью установления минимальных стандартов кибербезопасности, однако, как многим кажется, в случае принятия создаст больше рисков, чем принесёт пользы. Так, например, быстрое раскрытие уязвимостей может снизить восприимчивость производителей к раскрытию информации или отбить у исследователей желание сообщать о выявленных уязвимостях.
50 экспертов предложили ЕС пересмотреть свой подход к статье 11 и внести следующие изменения:
- Чётко запретить агентствам использовать или делиться уязвимостями для разведывательных или наступательных целей.
- Требовать сообщать только о таких уязвимостях, которые можно устранить в течение 72 часов после появления публично доступных средств устранения.
- Не требовать сообщать об уязвимостях, выявленных в ходе добросовестных исследований безопасности, выполненных независимыми исследователями.
- Источник новости
- www.securitylab.ru