Cyber Resilience Act: EFF e molte aziende sono contrarie
Topic
Approfondimenti
Trending
tutti

Cyber Resilience Act: EFF e molte aziende sono contrarie

La EFF e molte software house hanno chiesto di eliminare o modificare l'articolo del Cyber Resilience Act relativo alla notifica delle vulnerabilità.
Cyber Resilience Act: EFF e molte aziende sono contrarie
Sicurezza Antivirus Antivirus
La EFF e molte software house hanno chiesto di eliminare o modificare l'articolo del Cyber Resilience Act relativo alla notifica delle vulnerabilità.
EFF

La EFF (Electronic Frontier Foundation) e numerose aziende che operano nel settore della sicurezza informatica hanno inviato una lettera ai legislatori europei per esprimere le loro preoccupazioni sul Cyber Resilience Act (CRA), la proposta di legge attualmente in discussione al Parlamento e al Consiglio. I firmatari evidenziano soprattutto le conseguenze dell’articolo 11 sulle vulnerabilità.

No alla divulgazione delle vulnerabilità

Il Cyber Resilience Act è stato proposto dalla Commissione europea il 22 settembre 2022. Lo scorso 19 luglio 2023, il Coreper del Consiglio e la Commissione Industria, Ricerca ed Energia del Parlamento hanno approvato la bozza della legge (con alcune modifiche) e il mandato negoziale.

I 56 firmatari della lettera, tra cui i dirigenti di Google e diverse software house, hanno chiesto ai legislatori di eliminare o profondamente modificare l’articolo 11, in quanto l’obbligo di segnalare le vulnerabilità presenti nei prodotti potrebbe causare un aumento degli attacchi informatici.

In base al suddetto articolo, il produttore deve comunicare alle agenzie governative preposte che una vulnerabilità è attivamente sfruttata entro 24 ore dalla scoperta dell’exploit. Ciò significa che le agenzie avranno accesso ad un database di vulnerabilità, per le quale non è stata ancora rilasciata una patch.

La EFF e le aziende evidenziano almeno tre rischi associati a questo obbligo. Il primo riguarda il possibile sfruttamento delle vulnerabilità per scopi di sorveglianza da parte di alcuni paesi. Le agenzie potrebbero inoltre essere colpite da cybercriminali con l’obiettivo di accedere al database delle vulnerabilità (data breach).

Infine, la divulgazione delle vulnerabilità potrebbe ostacolare la collaborazione tra software house e ricercatori di sicurezza. Questi ultimi verrebbero anche danneggiati economicamente, in quanto non riceverebbero più i compensi per la segnalazione delle vulnerabilità.

I firmatari della lettera chiedono quindi di eliminare il primo paragrafo dell’articolo 11 o di modificarlo per specificare che le agenzie governative non possono sfruttare le vulnerabilità per scopi di sorveglianza. La segnalazione alle agenzie dovrebbe inoltre avvenire entro 72 ore dopo il rilascio della patch. Infine non dovrebbero essere notificate le vulnerabilità per le quali esiste già un exploit.

Fonte: EFF

Pubblicato il 6 ott 2023

Link copiato negli appunti

Ti potrebbe interessare

Nuove norme UE per la sicurezza dei prodotti

Nuove norme UE per la sicurezza dei prodotti
Synlab Italia: tutti i dati rubati sono online

Synlab Italia: tutti i dati rubati sono online
Surfshark: sicurezza all-in-one per tutti i tuoi dispositivi

Surfshark: sicurezza all-in-one per tutti i tuoi dispositivi
Telegram contro Signal con l'appoggio di Elon Musk

Telegram contro Signal con l'appoggio di Elon Musk
Nuove norme UE per la sicurezza dei prodotti

Nuove norme UE per la sicurezza dei prodotti
Synlab Italia: tutti i dati rubati sono online

Synlab Italia: tutti i dati rubati sono online
Surfshark: sicurezza all-in-one per tutti i tuoi dispositivi

Surfshark: sicurezza all-in-one per tutti i tuoi dispositivi
Telegram contro Signal con l'appoggio di Elon Musk

Telegram contro Signal con l'appoggio di Elon Musk
Luca Colantuoni
Pubblicato il
6 ott 2023
Link copiato negli appunti