La EFF (Electronic Frontier Foundation) e numerose aziende che operano nel settore della sicurezza informatica hanno inviato una lettera ai legislatori europei per esprimere le loro preoccupazioni sul Cyber Resilience Act (CRA), la proposta di legge attualmente in discussione al Parlamento e al Consiglio. I firmatari evidenziano soprattutto le conseguenze dell’articolo 11 sulle vulnerabilità.
No alla divulgazione delle vulnerabilità
Il Cyber Resilience Act è stato proposto dalla Commissione europea il 15 settembre 2022. Lo scorso 19 luglio 2023, il Coreper del Consiglio e la Commissione Industria, Ricerca ed Energia del Parlamento hanno approvato la bozza della legge (con alcune modifiche) e il mandato negoziale.
I 56 firmatari della lettera, tra cui i dirigenti di Google e diverse software house, hanno chiesto ai legislatori di eliminare o profondamente modificare l’articolo 11, in quanto l’obbligo di segnalare le vulnerabilità presenti nei prodotti potrebbe causare un aumento degli attacchi informatici.
In base al suddetto articolo, il produttore deve comunicare alle agenzie governative preposte che una vulnerabilità è attivamente sfruttata entro 24 ore dalla scoperta dell’exploit. Ciò significa che le agenzie avranno accesso ad un database di vulnerabilità, per le quale non è stata ancora rilasciata una patch.
La EFF e le aziende evidenziano almeno tre rischi associati a questo obbligo. Il primo riguarda il possibile sfruttamento delle vulnerabilità per scopi di sorveglianza da parte di alcuni paesi. Le agenzie potrebbero inoltre essere colpite da cybercriminali con l’obiettivo di accedere al database delle vulnerabilità (data breach).
Infine, la divulgazione delle vulnerabilità potrebbe ostacolare la collaborazione tra software house e ricercatori di sicurezza. Questi ultimi verrebbero anche danneggiati economicamente, in quanto non riceverebbero più i compensi per la segnalazione delle vulnerabilità.
I firmatari della lettera chiedono quindi di eliminare il primo paragrafo dell’articolo 11 o di modificarlo per specificare che le agenzie governative non possono sfruttare le vulnerabilità per scopi di sorveglianza. La segnalazione alle agenzie dovrebbe inoltre avvenire entro 72 ore dopo il rilascio della patch. Infine non dovrebbero essere notificate le vulnerabilità per le quali esiste già un exploit.