Достъпът на правителствата до широк набор от неотработени уязвимости в софтуера може да бъде обект на злоупотреба, опасяват се експерти (снимка: CC0 Public Domain)
Предложените от Европейския съюз мерки за разкриване на новооткрити уязвимости в киберсигурността са добронамерени, но в крайна сметка ще се окажат контрапродуктивни, предупредиха експерти. Според тях, оповестяването на уязвимостите увеличава риска от тяхното злонамерено използване.
Десетки експерти по киберсигурност настояват Европейският съюз да преразгледа „контрапродуктивните“ си изисквания за разкриване на новооткрити уязвимости в предложения Закон за устойчивост на киберпространството (CRA). Специалистите се опасяват, че това отваря вратите за злоупотреби.
Въведен през септември 2022 г. от Европейската комисия, законът се основава на Стратегията за киберсигурност на ЕС и има за цел да подобри сигурността на всички свързани цифрови устройства и софтуера, който те използват, за потребителите в целия блок. Нормата налага на производителите задължителни изисквания и задължения за киберсигурност. Задължава ги да предоставят постоянна поддръжка за сигурността и софтуерни корекции, също и да осигуряват достатъчно информация на потребителите относно сигурността на своите продукти.
Обект на вниманието на киберспециалистите е разкриването на уязвимости. Член 11 от закона гласи, че производителите на софтуер трябва да уведомят Агенцията за киберсигурност на ЕС, позната като ENISA, за всяка новооткрита уязвимост в рамките на 24 часа.
В отворено писмо до ЕС десетки експерти по киберсигурността от редица организации от публичния и частния сектор заявиха, че разпоредбите за разкриване уязвимости ще създадат нови заплахи, подкопаващи сигурността на цифровите продукти и на лицата, които ги използват. Писмото е адресирано до Никола Данти, докладчик за CRA в Европейския парламент, Тиери Бретон, комисар по вътрешния пазар в ЕК, и Карме Артигас Бурга, държавен секретар на Испания по цифровизацията и изкуствения интелект.
„[Член 11] означава, че десетки правителствени агенции ще имат достъп в реално време до база данни със софтуер с… уязвимости, без възможността да ги използват за защита на онлайн-средата и същевременно създавайки примамлива цел за злонамерени лица“, пишат специалистите. Според тях, има няколко риска, свързани с бързото разкриване на информация за уязвимости, които не са отработени, т.е. за които не са взети мерки за справяне.
Налице са възможност за злоупотреба от европейски правителства, повишен риск от разкриване на уязвимости от страна на злонамерени лица и потенциално „смразяващ“ ефект върху добросъвестните изследвания на сигурността.
„Достъпът на правителството до широк набор от неотработени уязвимости в софтуера може да бъде обект на злоупотреба за целите на разузнаването или наблюдението. Липсата на ограничения за злонамереното използване на уязвимостите, разкрити чрез CRA, и липсата на прозрачен механизъм за надзор в почти всички държави-членки на ЕС отварят вратите за потенциални злоупотреби“, пишат киберспециалистите.
„Пробивите и последващата злоупотреба с уязвимости не са теоретична заплаха, те вече са се случвали у някои от най-добре защитените субекти в света. Въпреки че CRA не изисква разкриване на пълна техническа оценка, дори самата яснота за съществуването на уязвимост е достатъчно, за да може човек с необходимите умения да се възползва“.
Съществен е въпросът за отражението на проблема при изследванията в сферата на сигурността. Експертите са на мнение, че мерките за разкриване може да попречат на сътрудничеството между създателите на софтуер и изследователите по сигурността. Така е, защото последните се нуждаят от време, за да проверят, тестват и коригират уязвимостите, преди да ги направят публично достояние.
„В резултат на това CRA може да намали възприемчивостта на производителите към разкриването на уязвимости от страна на изследователи по сигурността и може да обезсърчи изследователите да докладват нови уязвимости, ако всяко оповестяване предизвиква вълна от правителствени уведомления“, пишат те.
„Въпреки че намерението зад незабавното разкриване на уязвимости може да е да се улесни справянето с проблема, CRA вече изисква – в отделна разпоредба – издателите на софтуер да коригират уязвимостите незабавно. Ние подкрепяме това задължение, но също така настояваме за отговорен и координиран процес на разкриване, който балансира необходимостта от прозрачност с необходимостта от сигурност.“
Като алтернатива експертите препоръчват възприемането на „базиран на риска подход“. Той следва да отчита сериозността на уязвимостта, наличието на средства за справяне, потенциалното въздействие върху крайните потребители и вероятността от по-широко използване. Експертите препоръчват или пълното премахване на разпоредбите на член 11, или поне преразглеждането им.
Предложените допълнителни ревизии включват изрична забрана на правителствените агенции да използват или споделят разкрити уязвимости за целите на разузнаването или наблюдението; промяна на изискванията за докладване, за да включват само уязвимости, които могат да бъдат коригирани в рамките на 72 часа след корекция; и напълно да изключи докладването на уязвимости, идентифицирани чрез добросъвестно проучване на сигурността.
„За разлика от злонамереното използване на уязвимост, добросъвестното изследване на сигурността не представлява заплаха за сигурността“, пишат те. Добавят и, че ISO/IEC 29147 трябва да бъде препратка в CRA и да се използва като основа за всички доклади за уязвимости в ЕС.
Макар че намеренията на законодателството са добри, въведените изисквания за разкриване на информация са в пряк конфликт с установените най-добри практики в областта, подчерта Алекс Райс, съосновател и главен технологичен директор в HackerOne. „Докладването на изключително чувствителни данни само на няколко правителствени агенции в ЕС създава силен стимул за злонамерените лица проникнат в тези центрове и да се доберат до знание за уязвимости, за да атакуват уязвимите организации – наред с цял набор от други рискове.“ Според него, повишеният риск от пробив за организациите ще усложни ситуацията и ще направи организациите по-малко възприемчиви към добросъвестно изследване на сигурността.
„Всеки страда, когато тези уязвимости се докладват преждевременно. Парламентът трябва да преразгледа CRA, за да изисква разкриване, след като уязвимостите бъдат коригирани“.
През юни 2023 г. Европейската група за цифрови права (EDRi) и 10 други граждански групи написаха подобно отворено писмо. В него те изразиха загриженост относно разкриването на некоригирани уязвимости. Тъй като са новооткрити, тези уязвимости е малко вероятно да бъдат адресирани веднага – а това „ще доведе до появата на бази данни в реално време със софтуер с неотстранени уязвимости, притежавани от десетки правителствени агенции“. Това увеличава риска от злоупотреба за държавно разузнаване или за злонамерени цели.