Европейският съюз (ЕС) може скоро да изиска от издателите на софтуер да разкриват на правителствените агенции непоправени уязвимости в рамките на 24 часа след експлоатирането им. Много специалисти в областта на ИТ сигурността искат това ново правило, заложено в член 11 от Акта за кибернетична устойчивост на ЕС (CRA), да бъде преразгледано.
Правилото изисква от доставчиците да разкриват, че знаят за уязвимост, която активно се експлоатира, в рамките на един ден от узнаването за нея, независимо от статуса на кръпката. Някои специалисти по сигурността виждат потенциал за злоупотреба от страна на правителствата с изискванията за разкриване на уязвимости за целите на разузнаването или наблюдението.
В отворено писмо, подписано от 50 изтъкнати професионалисти в областта на киберсигурността от индустрията и академичните среди, сред които представители на Arm, Google и Trend Micro, подписалите го твърдят, че 24-часовият срок не е достатъчен и ще отвори вратите за противници, които ще се възползват от уязвимостите, без да предоставят на организациите достатъчно време за отстраняване на проблемите.
„Въпреки че оценяваме целта на CRA да повиши киберсигурността в Европа и извън нея, смятаме, че настоящите разпоредби относно разкриването на уязвимости са контрапродуктивни и ще създадат нови заплахи, които ще подкопаят сигурността на цифровите продукти и на лицата, които ги използват“, се посочва в писмото.
Гопи Рамамоорти, старши директор по сигурността и GRC в Symmetry Systems, казва, че няма разногласия относно спешността на поправянето на уязвимостите. Притесненията се съсредоточават върху оповестяването на уязвимостите преди наличните актуализации, тъй като това оставя организациите в риск от атака и не могат да направят нищо, за да я предотвратят.
„Публикуването на информация за уязвимостите преди закърпването им предизвиква опасения, че това може да позволи по-нататъшна експлоатация на незакърпените системи или устройства и да изложи частните компании и гражданите на допълнителен риск“, казва Рамамурти.
Дайте приоритет на поправянето пред наблюдението
Кали Гюнтер, старши мениджър на отдел „Изследване на киберзаплахите“ в Critical Start, казва, че намеренията, които стоят зад Закона за киберустойчивостта на ЕС, са похвални, но е от съществено значение да се вземат предвид по-широките последици и потенциалните непредвидени последствия от това, че правителствата имат достъп до информация за уязвимостите, преди да са налични актуализации.
„Правителствата имат легитимен интерес да гарантират националната сигурност“, казва тя. „Използването на уязвимостите за разузнавателни или нападателни цели обаче може да остави гражданите и инфраструктурата изложени на заплахи.“
Тя казва, че трябва да се намери баланс, при който правителствата да дадат приоритет на поправките и защитата на системите пред използването на уязвимостите, и предлага някои алтернативни подходи за разкриване на уязвимости, като се започне с многостепенно разкриване.
„В зависимост от сериозността и въздействието на дадена уязвимост могат да се определят различни срокове за разкриване“, казва Гюнтер. „Критичните уязвимости могат да имат по-кратък срок, докато за по-малко сериозните проблеми може да се даде повече време.“
Втората алтернатива се отнася до предварителното уведомяване, при което на доставчиците може да се даде предварително уведомление, с кратък гратисен период, преди подробната уязвимост да бъде разкрита пред по-широка аудитория.
Третият начин се фокусира върху координираното разкриване на уязвимости, което насърчава система, в която изследователи, доставчици и правителства работят заедно за отговорно оценяване, поправяне и разкриване на уязвимости.
Тя добавя, че всяко правило трябва да включва изрични клаузи, които да забраняват злоупотребата с разкрити уязвимости за наблюдение или за офанзивни цели.
„Освен това достъп до базата данни трябва да имат само избрани служители с подходящо разрешение и обучение, което намалява риска от изтичане на информация или злоупотреба“, казва тя. „Дори при изрични клаузи и ограничения могат да възникнат множество предизвикателства и рискове.“
Кога, как и колко да се оповестява
Джон А. Смит, главен изпълнителен директор на Conversant Group, отбелязва, че отговорното разкриване на уязвимости е процес, който традиционно включва обмислен подход, позволяващ на организациите и изследователите в областта на сигурността да разберат риска и да разработят кръпки, преди да разкрият уязвимостта на потенциални автори на заплахи.
„Макар че CRA може да не изисква задълбочени подробности за уязвимостта, фактът, че вече се знае, че такава съществува, е достатъчен, за да накара групите за заплахи да сондират, тестват и работят за намиране на активен експлойт“, предупреждава той.
От негова гледна точка уязвимостта също така не трябва да се докладва на нито едно отделно правителство или ЕС – изискването за това ще намали доверието на потребителите и ще навреди на търговията поради рисковете от шпионаж от страна на националните държави.
„Оповестяването е важно – абсолютно. Но трябва да преценим плюсовете и минусите на това кога, как и колко подробности се предоставят по време на проучването и откриването, за да се намали рискът“, казва той.
Смит отбелязва, че алтернативата на този „вероятно прибързан подход“ е да се изисква от софтуерните компании да потвърждават докладваните уязвимости в определен, но ускорен срок, а след това да се изисква от тях да докладват редовно за напредъка на откриващата организация, като накрая предоставят публична корекция в рамките на максимум 90 дни.
Насоките за това как да се получава и разкрива информация за уязвимостите, както и техниките и политическите съображения за докладване, вече са описани в ISO/IEC 29147.
Въздействия извън ЕС
Гюнтер добавя, че САЩ имат възможност да наблюдават, да се учат и впоследствие да разработят добре информирани политики за киберсигурност, както и да се подготвят активно за евентуални последици, ако Европа напредне твърде бързо.
„За американските компании това развитие е от първостепенно значение“, казва тя. „Много американски корпорации работят в глобален мащаб и регулаторните промени в ЕС биха могли да повлияят на техните глобални операции.“
Тя изтъква, че ефектът на вълната от регулаторните решения на ЕС, както се вижда от влиянието на GDPR върху ЗЗЛД и други американски закони за защита на личните данни, предполага, че европейските решения могат да предвещават подобни регулаторни съображения в САЩ.
„Всяка уязвимост, разкрита прибързано поради регулациите на ЕС, не ограничава рисковете си само в Европа“, предупреждава Гюнтер. „Американските системи, използващи същия софтуер, също биха били изложени на риск.“