Bir kuruluş bir yazılım güvenlik açığı keşfettiğinde veya bu güvenlik açığı hakkında bilgilendirildiğinde uygulanacak standart bir başucu kitabı ve en iyi uygulama vardır: Kuruluş, sorunu hızla gidermek için çalışır ve bir düzeltme bulunduğunda, bu güvenlik açığını topluluğun yararına açıklar. Bu başucu kitabı her zaman mükemmel değildir, ancak bir güvenlik açığını gidermek için zaman sağlamakla gelecekte benzer güvenlik açıklarını önlemeye yardımcı olmak için bu bilgiyi yaymak arasında makul bir uzlaşma sağlar.
Siber Direnç Yasası (CRA) adlı yeni önerilen AB mevzuatı, şirketlerin güvenlik açıklarını yeterince yamalamadan önce bildirmelerini zorunlu kılarak bu uygulamayı alt üst etme tehdidinde bulunuyor. Bu yasa şu anda önerilen biçimde geçirilirse, sonuç felaket olabilir.
Asıl sorun: Bilginin kötüye kullanılması
Genel olarak Siber Dayanıklılık Yasası’nın hedeflerini destekliyoruz. Şu anda yazıldığı gibi, mevzuatın çoğu AB’nin siber güvenliğini daha iyi hale getirecektir. Ancak şirketlerin yama yapılmamış güvenlik açıklarını bildirmesini zorunlu kılmak, muhtemelen tam tersi bir etkiye sahip olacak ve kuruluşları ve AB vatandaşlarını daha az güvenli hale getirecektir.
CRA kapsamında (mevcut haliyle), raporlama gereksinimi şu şekilde işleyecektir: Bir üretici, aktif olarak yararlanılan bir güvenlik açığı tespit ettiğinde, üreticinin bunu Avrupa Birliği Siber Güvenlik Ajansı’na (ENISA) bildirmek için 24 saati vardır. Güvenlik açığıyla ilgili bilgiler ve ayrıntılar daha sonra Üye Devletlerin Bilgisayar Güvenliği Olaylarına Müdahale Ekiplerine (CSIRT’ler) ve ayrıca Üye Devletlerin piyasa gözetimi yetkililerine iletilecektir.
Buradaki birincil sorun, bu bilgilerin kötüye kullanılabilmesidir.
Tarihsel olarak, tanımlanmış ancak yama uygulanmamış güvenlik açıkları bir nedenden dolayı açıklanmadı: Kötü aktörler sorunun farkına vardıkları anda, istismar etmek için yarışacaklar. CRA, şirketlerden istismar edilen bir güvenlik açığının tüm teknik özelliklerini ENISA’ya iletmelerini talep etmese de, şirketlerin bir güvenlik açığı hakkında “ayrıntılı” rapor vermelerini talep eder ve bu ayrıntılar, bilgili bir saldırganın dikkatini çekmek için fazlasıyla yeterli olabilir. CERT Guide to Coordinated Vulnerability Disclosure’un belirttiği gibi: “Bazı ürünlerin bir özelliğinde yalnızca bir güvenlik açığının varlığı bilgisi, yetenekli bir kişinin bunu kendi başına keşfetmesi için yeterlidir.”
Ayrıca, yama uygulanmamış tüm güvenlik açığı raporları önce aynı yerde toplanır ve ardından AB genelinde 27 farklı hükümete dağıtılırsa, ortaya çıkan stoklar saldırganlar için karşı konulamaz hedefler haline gelecektir. CRA (şu anda yazıldığı şekliyle), devlet kurumlarının bu bilgileri ele geçirmesine (ve potansiyel olarak kötüye kullanmasına) karşı da yeterince koruma sağlamamaktadır.
CRA ayrıca, özellikle Çin’in Ağ Ürün Güvenlik Açıklarının (RMSV) Yönetimine İlişkin Yönetmelikleri olmak üzere, diğer sorunlu güvenlik açığı ifşa yasasına koruma sağlama riski taşır. Bu 2021 yasası, Çin’in ağ ürünü sağlayıcılarının ağ ürünlerinde tespit edilen tüm güvenlik açıklarını Çin hükümetine derhal bildirmesini gerektiriyor. Araştırma çalışmaları, bu güvenlik açığı açıklamalarının artık istihbarat amacıyla kullanıldığını ve düzenlemenin, etik korsanları ilk etapta güvenlik açıklarını aramaktan caydırarak yazılım sağlayıcılarının güvenlik açığı bilgilerine erişimine zarar vermiş olabileceğini öne sürüyor.
Şirketler, etik korsanları olası güvenlik açıklarını aramaya ve bildirmeye teşvik ederek hem kendi işlerini hem de müşterilerinin verilerini korudu. Ancak CRA’nın bu tür iyi niyetli güvenlik araştırmaları üzerinde caydırıcı bir etkisi olabilir ve işletmeler cehalet mutluluktur yaklaşımı benimsemeye karar verebilir; ilgili tüm potansiyel risklerle ENISA’ya. Birçok işletme için buna değmeyebilir.
AB’deki düzenleyiciler güvenliğimizi nasıl daha etkin bir şekilde koruyabilir?
Birkaç önerim var:
1. Önemli bir güvenlik olayı olmadığında, yasalar, kuruluşlara keşfedilen bir güvenlik açığını ifşa etmeye zorlanmadan önce hafifletmek için yeterli süre sağlamalıdır.
2. Yetkililer, bu şekilde ifşa edilen güvenlik açığı bilgilerinin düzgün bir şekilde korunduğundan ve yalnızca bilinmesi gerekenler temelinde paylaşıldığından emin olmalıdır.
3. Devlet kurumlarının bu bilgileri başka amaçlarla (örn. gözetleme) kullanması yasaklanmalıdır.
4. Kanun, iyi niyetli araştırmalar sırasında keşfedilen güvenlik açıkları ile kötü niyetli aktörler tarafından istismar edilen güvenlik açıkları arasında ayrım yaparak güvenlik araştırmacılarını korumak için daha fazla çaba göstermelidir.
Kötü niyetli aktörlerin bu mevcut siber güvenlik ortamında zaten birçok avantajı var – onlara bir tane daha vermemeliyiz. Düzeltme eki uygulanmayan güvenlik açıklarının anında rapor edilmemesi gerektiğini düşünen tek kişi biz değiliz: DigitalEurope’tan bu görüşü ifade eden bir açıklama, HackerOne’ın kurucu ortağı olduğu Hacking Policy Council de dahil olmak üzere hem kamu hem de özel sayısız önemli paydaş tarafından imzalandı. Tüketiciyi koruma grupları, CRA’nın güvenlik açığı ifşa gereklilikleri konusunda da endişelerini dile getirdiler ve AB politika yapıcılarını kötüye kullanıma karşı önlemler almaya çağırdılar.
Kamu ve özel sektör birlikte çalışarak, işletmeleri ve tüketicileri gereksiz yere riske atmadan güvenlik açığı keşfine ve ifşasına olanak tanıyan politika sonuçlarına yönelik çaba göstermelidir. Bu amaçla HackerOne, Hacking Policy Council ve imzacı arkadaşlarımızla ortaklaşa Avrupa Parlamentosu, Komisyonu ve Konseyi ile işbirliği yapmaya ve herkesi maksimum düzeyde güvende tutan güvenlik açığı raporlaması türünü savunmaya devam edecektir.