EFF (Electronic Frontier Foundation) dhe kompani të shumta që operojnë në sektorin e sigurisë kibernetike u kanë dërguar një letër ligjvënësve evropianë për të shprehur shqetësimet e tyre në lidhje me Aktin e Rezistencës Kibernetike (CRA), ligji i propozuar aktualisht në diskutim në Parlament dhe Këshill. Nënshkruesit theksojnë mbi të gjitha pasojat e nenit 11 mbi dobësitë.
Jo për zbulimin e dobësive
Akti i Rezistencës Kibernetike u propozua nga Komisioni Evropian më 22 shtator 2022. Më 19 korrik 2023, Korporata e Këshillit dhe Komisioni i Industrisë, Kërkimit dhe Energjisë i Parlamentit miratuan projektligjin (me disa modifikime) dhe negocimin mandat .
56 nënshkruesit e letrës, duke përfshirë drejtuesit nga Google dhe disa shtëpi softuerësh, u kërkuan ligjvënësve të eliminonin ose modifikonin thellësisht nenin 11, pasi detyrimi për të raportuar dobësitë e pranishme në produkte mund të shkaktojë një rritje të sulmeve kibernetike.
Sipas artikullit të sipërpërmendur, prodhuesi duhet të njoftojë agjencitë përkatëse qeveritare se një cenueshmëri është shfrytëzuar në mënyrë aktive brenda 24 orëve nga zbulimi i shfrytëzimit. Kjo do të thotë që agjencitë do të kenë akses në një bazë të dhënash të dobësive, për të cilat nuk është lëshuar ende një patch.
EFF dhe kompanitë theksojnë të paktën tre rreziqe që lidhen me këtë detyrim. E para ka të bëjë me shfrytëzimin e mundshëm të dobësive për qëllime mbikëqyrjeje nga disa vende. Agjencitë mund të sulmohen gjithashtu nga kriminelët kibernetikë me qëllim të aksesit në bazën e të dhënave të cenueshmërisë (shkelja e të dhënave).
Së fundi, zbulimi i dobësive mund të pengojë bashkëpunimin midis shtëpive të softuerit dhe studiuesve të sigurisë. Këta të fundit do të dëmtoheshin edhe ekonomikisht, pasi nuk do të merrnin më dëmshpërblim për raportimin e dobësive.
Prandaj, nënshkruesit e letrës kërkojnë të fshihet paragrafi i parë i nenit 11 ose të modifikohet për të specifikuar se agjencitë qeveritare nuk mund të shfrytëzojnë dobësitë për qëllime mbikëqyrjeje. Raportimi tek agjencitë duhet gjithashtu të ndodhë brenda 72 orëve pas lëshimit të patch-it. Së fundi, dobësitë për të cilat ekziston një shfrytëzim tashmë nuk duhet të raportohen.
Discussion about this post