Cyber Resilience Act, sau agoniseala de vulnerabilități de securitate

Cyber Resilience Act este o nouă propunere, apărută în 2022, a Uniunii Europene care are ca scop creșterea nivelului de siguranță a dispozitivelor informatice conectate. Sună lăudabil și vrem să ne asigurăm că propunerea de Regulament își îndeplinește scopul - drept pentru care scriem, acum, despre neajunsurile sale.

Practic, propunerea CRA se axează pe patru lucruri concrete:

1. să se asigure că cei care creează dispozitive și software îmbunătățesc continuu nivelul de siguranță al produsului, pe toată durata sa de viață;
2. să creeze un cadru unic și coerent pentru conformitatea în materie de securitate cibernetică în UE;
3. să sporească transparența practicilor de securitate cibernetică și a proprietăților produselor;
4. să ofere consumatorilor și întreprinderilor produse sigure.

Sub incidența noului Regulament ar intra "orice produs software sau hardware și soluțiile sale de prelucrare de date la distanță, inclusiv componentele software sau hardware care urmează să fie introduse pe piață separat" (Art. 3). Practic, ar acoperi atât dispozitive hardware cât și software care nu sunt acoperite de o legislație specifică deja existentă (cum e cazul dispozitivelor medicale, de exemplu).

Intenția e bună, ne dorim doar să îmbunătățim forma. European Digital Rights, o rețea de ONG-uri din care face parte și ApTI, a scris deja patru sugestii de îmbunătățire a Regulamentului:

1. Producătorii de software și hardware ar trebui să garanteze 10 ani de actualizări de securitate și să comunice clar data de încetare a asistenței pentru fiecare produs în parte;
2. Software-ul liber care este furnizat fără scop comercial sau de către microîntreprinderi trebuie exceptat de la obligațiile impuse de Regulament;
3. Creșterea transparenței în ceea ce privește gestionarea și dezvăluirea vulnerabilităților de securitate;
4. Practicile de raportare ale vulnerabilităților pe care le fac cercetătorii de securitate de bună credință trebuie să fie protejate de orice urmărire penală.

În momentul de față există state membre UE care au fost acuzate de proprii cetățeni că folosesc spyware pentru a spiona jurnaliștii și membrii opoziției politice. Un exemplu este Grecia, care e în plin scandal spyware. Ar mai fi Spania, Polonia și Ungaria.

În contextul acesta, obligațiile din Cyber Resilience Act de raportare ale vulnerabilităților de securitate sunt extrem de importante. Propunerea de Regulament cere să fie raportată orice vulnerabilitate de securitate către autorități în nu mai puțin de 24 de ore de când au descoperit că acea vulnerabilitate este exploatată. Ce ne e teamă este că asta va crea, practic, niște baze de date cu vulnerabilități numai bune de exploatat, în mâinile autorităților. Aceleași autorități care, spuneam, nu se sfiesc să cumpere software de spionaj.

De ce să dai bani când vin la tine gratis găuri de securitate care îți permit a infecta dispozitive informatice?

ApTI, alături de EDRi și nouă alte organizații, a semnat o scrisoare deschisă prin care credem modificarea Articolului 11 din CRA și a modului în care sunt formulate obligațiile de raportare ale vulnerabilităților.

Practic, cerem:

1. Limitarea detaliilor pe care o entitate e obligată să le dea, legate de o vulnerabilitate. Practic, din raport, nu ar trebui ca autoritățile să poată își dea seama care este vulnerabilitatea suficient cât să o exploateze.
2. Să interzică folosirea în scopuri ofensive ale acestor vulnerabilități raportate.
3. Să dea timp organizațiilor să rezolve problemele care au dus la apariția vulnerabilității. Dacă nu e vorba de un incident grav, în general, standardul în industria de securitate este că o organizație are 90 de zile să înlăture cauzele unei vulnerabilități.
4. Informațiile despre vulnerabilități trebuie să fie păstrate în siguranță și să nu fie accesate decât la nevoie.
5. Cercetătorii de bună credință care raportează vulnerabilități trebuie să fie protejați de lege.

Întreg conținutul scrisorii este atașat acestei postări.

Ne dorim să vedem și în spațiul media românesc o discuție despre spyware și despre folosirea vulnerabilităților de către autorități. Mai ales în contextul adoptării legii securității cibernetice, care creează un regim foarte lax pentru felul în care autoritățile au acces la incidentele de securitate raportate. 

Deși încă nu am văzut semne clare că aceste lucruri se întâmplă și la noi (dar suspiciuni rezonabile există), liniștea totală a autorităților ne îngrijorează. Nici chiar atunci când societatea civilă a cerut o interzicere totală a folosirii spyware în Uniunea Europeană, europarlamentarii români nu au avut o poziție publică pe acest subiect.