L’Unione Europea (UE) sta considerando una regola nell’ambito del suo Cyber Resilience Act (CRA) che obbligherebbe gli editori di software a divulgare vulnerabilità non corrette alle agenzie governative entro 24 ore dalla loro scoperta. Tuttavia, questa proposta ha sollevato preoccupazioni tra i professionisti della cybersecurity. Una lettera aperta, firmata da 50 esperti di cybersecurity di aziende come Google, Arm e Trend Micro, sostiene che la finestra delle 24 ore sia insufficiente. Credono che ciò potrebbe dare un vantaggio agli avversari esponendo le vulnerabilità prima che le organizzazioni abbiano il tempo di affrontarle.
La lettera afferma: “Sebbene apprezziamo l’obiettivo del CRA di potenziare la cybersecurity in Europa e oltre, crediamo che le attuali disposizioni sulla divulgazione delle vulnerabilità siano controproducenti”. Gopi Ramamoorthy, direttore senior della sicurezza presso Symmetry Systems, ha sottolineato l’importanza di correggere le vulnerabilità ma ha espresso preoccupazioni riguardo alla loro pubblicizzazione prima che siano disponibili gli aggiornamenti.
Callie Guenther di Critical Start suggerisce che l’intenzione dietro il CRA sia lodevole, ma che vada considerata l’ampia implicazione che i governi abbiano un accesso anticipato alle informazioni sulle vulnerabilità. Ha proposto approcci alternativi come la divulgazione stratificata in base alla gravità, notifiche preliminari con periodi di tolleranza e divulgazione coordinata delle vulnerabilità che prevede la collaborazione tra ricercatori, fornitori e governi.
John A. Smith, CEO di Conversant Group, ritiene che, mentre la divulgazione sia fondamentale, vanno attentamente considerati il momento, il metodo e il livello di dettaglio delle informazioni condivise. Suggerisce che le aziende di software dovrebbero riconoscere le vulnerabilità segnalate entro un determinato lasso di tempo e poi fornire una correzione pubblica entro 90 giorni.
Guenther ha inoltre evidenziato l’eventuale impatto globale delle decisioni dell’UE, notando che le aziende statunitensi che operano a livello internazionale potrebbero essere interessate. Ha avvertito che vulnerabilità divulgate in modo affrettato a causa delle normative dell’UE potrebbero anche mettere a rischio i sistemi statunitensi.
Source: Dark Reading
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.