يحث خبراء الإنترنت الاتحاد الأوروبي على إعادة التفكير في خطط الكشف عن نقاط الضعف

يحث العشرات من خبراء الأمن السيبراني الاتحاد الأوروبي (EU) على إعادة النظر في متطلبات الكشف عن الثغرات الأمنية “التي تؤدي إلى نتائج عكسية” في قانون المرونة السيبرانية (CRA) المقترح، والذي يقولون إنه يفتح الباب أمام سوء الاستخدام من قبل كل من الجهات التهديدية ووكالات الاستخبارات.

تم تقديمه في سبتمبر 2022 من قبل المفوضية الأوروبية (المفوضية الأوروبية)، يعتمد القانون على قانون الاتحاد الأوروبي استراتيجية الأمن السيبراني واستراتيجية الاتحاد الأمنيويهدف إلى تحسين أمان جميع الأجهزة الرقمية المتصلة والبرامج التي تقوم بتشغيلها للمستهلكين في جميع أنحاء الكتلة.

وهو يفرض متطلبات والتزامات إلزامية للأمن السيبراني على الشركات المصنعة من خلال إلزامها بتوفير دعم أمني مستمر وتصحيحات برمجية، وتوفير معلومات كافية للمستهلكين حول أمان منتجاتهم.

فيما يتعلق بالإفصاح عن نقاط الضعف على وجه التحديد، المادة 11 من قانون تنظيم الاتصالات تنص على أنه يجب على مصنعي البرامج إخطار وكالة الاتحاد الأوروبي للأمن السيبراني (ENISA) بأي ثغرات أمنية خلال 24 ساعة من استغلالها.

في رسالة مفتوحة وإلى مختلف المسؤولين في الاتحاد الأوروبي – بما في ذلك نيكولا دانتي، مقرر CRA في البرلمان الأوروبي؛ تييري بريتون، مفوض السوق الداخلية في المفوضية الأوروبية؛ وكارمي أرتيغاس بورغا، وزير الدولة الإسباني للرقمنة والذكاء الاصطناعي – قالت العشرات من مسؤولي الأمن السيبراني من مجموعة من مؤسسات القطاعين العام والخاص إن أحكام الكشف الخاصة بهيئة تنظيم الاتصالات ستخلق تهديدات جديدة تقوض أمن المنتجات الرقمية والأفراد الذين يستخدمونها .

“[Article 11] “يعني أن العشرات من الوكالات الحكومية سيكون لديها إمكانية الوصول إلى قاعدة بيانات في الوقت الفعلي للبرامج التي تحتوي على نقاط ضعف تامة، دون القدرة على الاستفادة منها لحماية البيئة عبر الإنترنت وفي نفس الوقت إنشاء هدف مغرٍ للجهات الفاعلة الخبيثة”، مضيفين أن هناك العديد من التهديدات المخاطر المرتبطة بتسريع عملية الكشف ونشر المعلومات على نطاق واسع حول نقاط الضعف الكاملة.

يتضمن ذلك احتمالية سوء الاستخدام من قبل الحكومات الأوروبية، وزيادة خطر الكشف عن نقاط الضعف للجهات الفاعلة الخبيثة، وتأثيرها المخيف المحتمل على الأبحاث الأمنية حسنة النية.

“إن وصول الحكومة إلى مجموعة واسعة من نقاط الضعف البرمجية الواضحة يمكن أن يساء استخدامه لأغراض الاستخبارات أو المراقبة. وكتبوا أن غياب القيود على الاستخدامات الهجومية لنقاط الضعف التي تم الكشف عنها من خلال قانون تنظيم الاتصالات وغياب آلية الرقابة الشفافة في جميع الدول الأعضاء في الاتحاد الأوروبي تقريبًا يفتح الأبواب أمام سوء الاستخدام المحتمل.

“إن الانتهاكات وما تلاها من سوء استخدام لنقاط الضعف المملوكة للحكومة لا تشكل تهديدًا نظريًا، ولكنها حدثت في بعض أفضل الكيانات المحمية في العالم. في حين أن هيئة تنظيم الاتصالات لا تتطلب الكشف عن تقييم فني كامل، فحتى المعرفة بوجود الثغرة تكفي لشخص ماهر لإعادة بنائها.

وحول كيفية تأثيرها على الأبحاث الأمنية، أضاف خبراء الأمن السيبراني أن إجراءات الكشف قد تتعارض مع التعاون بين ناشري البرامج والباحثين الأمنيين، الذين يحتاجون إلى وقت للتحقق من نقاط الضعف واختبارها وتصحيحها قبل نشرها للعامة.

وكتبوا: “ونتيجة لذلك، قد تقلل هيئة تنظيم الاتصالات من تقبل الشركات المصنعة للكشف عن الثغرات الأمنية من الباحثين الأمنيين، وقد تثني الباحثين عن الإبلاغ عن نقاط الضعف، إذا أدى كل كشف إلى موجة من الإخطارات الحكومية”.

“على الرغم من أن الهدف من الكشف عن الثغرات الأمنية على الفور قد يكون هو تسهيل عملية التخفيف، إلا أن هيئة تنظيم الاتصالات تطلب بالفعل من ناشري البرامج التخفيف من الثغرات الأمنية دون تأخير في بند منفصل. نحن ندعم هذا الالتزام، ولكننا ندعو أيضًا إلى عملية إفصاح مسؤولة ومنسقة توازن بين الحاجة إلى الشفافية والحاجة إلى الأمن.

وكبديل، يوصي الخبراء باعتماد “نهج قائم على المخاطر” يأخذ في الاعتبار مدى خطورة الثغرة الأمنية، وتوافر وسائل التخفيف، والتأثير المحتمل على المستخدمين النهائيين، واحتمال استغلالها على نطاق أوسع.

وعلى هذا النحو، أوصوا أيضًا إما بإزالة أحكام المادة 11 تمامًا، أو على الأقل مراجعتها للحماية من التهديدات التي حددتها.

تتضمن المراجعات الإضافية المقترحة حظرًا صريحًا على الوكالات الحكومية من استخدام أو مشاركة نقاط الضعف المكشوف عنها لأغراض الاستخبارات أو المراقبة؛ تغيير متطلبات إعداد التقارير لتشمل فقط الثغرات الأمنية القابلة للتخفيف خلال 72 ساعة من التصحيح؛ والاستبعاد التام للإبلاغ عن الثغرات الأمنية التي تم تحديدها من خلال الأبحاث الأمنية بحسن نية.

وكتبوا: “على النقيض من الاستغلال الضار للثغرة الأمنية، فإن الأبحاث الأمنية بحسن نية لا تشكل تهديدًا أمنيًا”، مضيفين أن معيار ISO/IEC 29147 يجب أن يكون مرجعًا في CRA ويستخدم كخط أساس لجميع تقارير الثغرات الأمنية في الاتحاد الأوروبي.

وأضاف أليكس رايس، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في HackerOne، أنه على الرغم من أن نوايا التشريع جيدة، إلا أن متطلبات الكشف المقترحة تتعارض بشكل مباشر مع أفضل الممارسات المعمول بها في هذا المجال.

“إن الإبلاغ عن بيانات حساسة للغاية إلى عدد قليل فقط من الوكالات الحكومية في الاتحاد الأوروبي يخلق حافزًا قويًا للجهات الفاعلة السيئة لاختراق تلك المراكز والحصول على نقاط الضعف لمهاجمة المنظمات المعرضة للخطر – من بين مجموعة كاملة من المخاطر الأخرى. إن زيادة خطر الاختراق بالنسبة للمؤسسات سيؤدي أيضًا إلى تعقيد إدارة التقارير من مجتمع الباحثين الأمنيين بشكل كبير، مما يجعل المؤسسات أقل تقبلاً للأبحاث الأمنية بحسن نية.

“يعاني الجميع عندما يتم الإبلاغ عن نقاط الضعف هذه قبل الأوان. يجب على البرلمان مراجعة قانون CRA فقط بحيث يطلب الكشف بمجرد تصحيح نقاط الضعف.

في يونيو 2023، كتبت المجموعة الأوروبية للحقوق الرقمية (EDRI) و10 مجموعات أخرى من المجتمع المدني رسالة مماثلة رسالة مفتوحة مما يثير المخاوف بشأن الكشف عن نقاط الضعف غير المخففة.

وكتبوا في ذلك الوقت: “من غير المرجح أن يتم التخفيف من مثل هذه الثغرات الأمنية التي تم استغلالها مؤخرًا في مثل هذا الوقت القصير، مما يؤدي إلى وجود قواعد بيانات في الوقت الفعلي للبرامج التي تحتوي على نقاط ضعف كاملة في حوزة عشرات الوكالات الحكومية المحتملة”.

“كلما زاد انتشار هذا النوع من المعلومات، زاد احتمال إساءة استخدامه لأغراض استخباراتية للدولة أو لأغراض هجومية، أو تعرضه عن غير قصد للخصوم قبل تطبيق التخفيف. بالإضافة إلى ذلك، فإن القوانين التي تتطلب الكشف عن نقاط الضعف الكاملة للوكالات الحكومية تخلق سابقة دولية قد تنعكس في بلدان أخرى.