Een groep cybersecurity-experts vraagt een aanpassing aan de Cyber Resilience Act, de nieuwe EU-regelgeving die onder andere eist dat organisaties binnen de 24 uur kwetsbaarheden aangeven. De groep heeft een open brief geschreven aan Thierry Breton en zijn collega’s bij de Europese Commissie.

De Cyber Resilience Act (CRA) moet zorgen voor extra cybersecurity binnen de EU en bevat onder meer regels rond verplichte security patches en het transparant communiceren over gevonden kwetsbaarheden.

Het is vooral dat laatste dat de security-experts zorgen baart. Zo het huidige voorstel van de CRA dat organisaties die een kwetsbaarheid in hun product of netwerk vinden, dat binnen de 24 uur melden aan Enisa, het Europees Agentschap voor Cybersecurity. Dat zou de beveiliging ondermijnen van de organisaties die hun kwetsbaarheden rapporteren, maar ook van de bedrijven die op hen rekenen, zo meldt de brief.

Patch

‘Binnen de 24 uur nadat je een kwetsbaarheid vindt, dat betekent dat er nog geen patch voor is’, zegt Jaya Baloo, CSO van Rapid7 en een van de ondertekenaars van de open brief, tijdens een keynote op de OneConference securityconferentie in Den Haag. ‘Je loopt het risico dat overheden op die manier een stapel kwetsbaarheden gaan verzamelen waar ze niets aan kunnen doen, maar die zo wel het risico lopen verder verspreid te raken. Er is een heel ecosysteem van organisaties en leveranciers en afnemers die rekenen op de mogelijkheid om te patchen voordat een kwetsbaarheid breed bekend raakt.’

Met de maatregel zouden overheden toegang kunnen krijgen tot een real-time database met ongepatchte kwetsbaarheden. Dat betekent een veel grotere hoeveelheid mensen die weet krijgen van kwetsbaarheden, maar het zou die database ook een belangrijk doelwit maken voor aanvallers op zoek naar zero-days, zo argumenteren de briefschrijvers.

De Europese Commissie startte vorig jaar het traject voor de CRA als een extra maatregel om de Europese Unie meer resistent te maken tegen cyberaanvallen. De open brief drukt erop dat de CRA op zich een stap in de goede richting is, maar dat de maatregel over het melden van kwetsbaarheden daarbij zout in het eten gooit. ‘Dit is niet de beste stap vooruit’, aldus nog Jaya Baloo. ‘Overheden zijn meestal niet degenen die het best geplaatst zijn om patches en updates uit te brengen voor kritieke software.’ In de open brief vragen de experts om de CRA aan te passen en specifiek de rapporteringsplicht te tweaken.