Een brede coalitie van beveiligings- en privacyexperts maakt zich zorgen over de voorgestelde Europese Cyber Resilience Act (CRA). Deze wet verplicht softwareleveranciers om actief aangevallen zerodaylekken binnen 24 uur na ontdekking te melden bij overheidsinstanties.
Database met ongepatchte kwetsbaarheden
“Dit houdt in dat tientallen overheidsinstanties toegang krijgen tot een database met software die ongepatchte kwetsbaarheden bevat”, schrijven de experts in een open brief. Dit brengt volgens hen risico’s met zich mee, waaronder het gebruik van deze zerodays door overheden voor surveillance en het verkrijgen van inlichtingen. De database zal een doelwit voor aanvallers zijn. Verder zou het voortijdig openbaar maken van beveiligingslekken de samenwerking tussen beveiligingsonderzoekers en softwareleveranciers verstoren. Met als mogelijk gevolg dat onderzoekers geen kwetsbaarheden meer zullen melden.
Good faith security research
De deskundigen vragen in hun brief om artikel 11 te schrappen. In elk geval moet de voorgestelde wet dusdanig worden aangepast dat overheidsinstanties gerapporteerde zerodays niet voor inlichtingen, surveillance of andere offensieve doeleinden mogen inzetten. Tevens zouden de beveiligingslekken alleen gemeld moeten worden als er updates voor zijn uitgebracht. Kwetsbaarheiden die onderzoekers melden in het kader van ‘good faith security research’ zouden buiten de meldplicht moeten vallen, aldus de ondertekenaars van de brief.
Klik hier voor de open brief.