全球网络安全专家联名抗议欧盟“24小时”漏洞披露规定
近日,来自Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd和趋势科技等多个组织的数十位网络安全专家联名签署并发表了一封公开信,反对欧盟《网络韧性法案》中关于“漏洞利用后24小时内披露”的要求,声称该漏洞披露规定会适得其反,制造新的威胁,并损害数字产品及其用户的安全。
欧盟的《网络韧性法案》(CRA)旨在为包含数字元素的产品设定新的网络安全要求,以加强硬件和软件的网络安全规则,保护消费者和企业免受(网络)安全缺陷的影响。该法案由欧洲委员会主席乌苏拉·冯·德莱恩在2021年9月首次提出,并在2022年9月发布了初始提案。目前,该法案正在由欧盟的共同立法者制定中。
新法案要求企业在24小时内披露未修补的漏洞
CRA的第11条要求制造商和软件发布商在漏洞被利用后的24小时内向(欧盟成员国)政府机构披露未修补的漏洞。这意味着(欧盟成员国)数十个政府机构将能够访问一个实时的漏洞数据库,这个“24小时漏洞库”将包含大量未修补漏洞的信息,成为黑客垂涎欲滴的目标。
“24小时漏洞库”的风险
CRA的漏洞披露规则带来的风险包括情报和监控滥用、暴露给黑客以及对合法安全研究的负面影响等。专家们的公开信中指出:“CRA没有限制通过其披露的漏洞的攻击性用途,几乎所有欧盟成员国都没有透明的监督机制,这为潜在的滥用打开了大门。”
建议的措施
专家们在信中建议CRA采取基于风险的漏洞披露方法,考虑诸如漏洞的严重性、缓解措施的可用性、对用户的潜在影响和更广泛利用的可能性等因素。他们提出了一些修改建议,包括:
- 禁止机构使用或分享通过CRA披露的漏洞进行情报、监视或攻击性活动;
- 只有在有效的缓解措施(例如,补丁)公开可用后,才要求在72小时内报告可以缓解的漏洞;
- CRA不应要求报告通过善意安全研究利用的漏洞等。
今年7月,多个IT和科技行业团体还曾发布一份改进欧盟CRA的建议清单,敦促联合立法者不要将速度置于质量之上,以避免出现意想不到的结果,并建议“漏洞利用后24小时内汇报”仅限于已修复且被积极利用的高危漏洞,以减轻制造商的漏洞报告负担。
结论
在数字化日益普及的今天,如何平衡漏洞披露和安全防御,如何确保信息安全的同时又不妨碍安全研究和技术进步,成为亟待解决的问题。欧盟的网络韧性法案在保护消费者和企业方面迈出了一步,但在漏洞披露的具体规则和实施上,显然还需要进一步的探讨和完善。
参考链接: