Düzinelerce siber güvenlik uzmanı, Avrupa Birliği’ni (AB), önerilen Siber Dayanıklılık Yasası’ndaki (CRA) “amaca zarar veren” güvenlik açığı açıklama gerekliliklerini yeniden gözden geçirmeye çağırıyor; bunun hem tehdit aktörleri hem de istihbarat teşkilatları tarafından kötüye kullanılmasına kapı açtığını söylüyorlar.
Avrupa Komisyonu (AK) tarafından Eylül 2022’de tanıtılan yasa, AB’nin siber güvenlik Stratejisi ve Güvenlik Birliği Stratejisi üzerine inşa ediliyor ve tüm bağlı dijital cihazların ve bloktaki tüketiciler için çalıştırdıkları yazılımların güvenliğini iyileştirmeyi amaçlıyor.
Üreticilere sürekli güvenlik desteği ve yazılım yamaları sağlama ve tüketicilere ürünlerinin güvenliği konusunda yeterli bilgi sağlama zorunluluğu getirerek zorunlu siber güvenlik gereklilikleri ve yükümlülükleri getirmektedir.
Özellikle güvenlik açığı açıklamaları konusunda, CRA’nın 11. Maddesi, yazılım üreticilerinin, herhangi bir güvenlik açığını, bunların kullanılmasından sonraki 24 saat içinde Avrupa Birliği Siber Güvenlik Ajansı’na (ENISA) bildirmesi gerektiğini belirtir.
Avrupa Parlamentosu’ndaki CRA raportörü Nicola Danti de dahil olmak üzere çeşitli AB yetkililerine açık bir mektupta; Avrupa Komisyonu’nun iç pazardan sorumlu komisyon üyesi Thierry Breton; ve İspanya’nın dijitalleşme ve yapay zekadan sorumlu devlet bakanı Carme Artigas Burga – çeşitli kamu ve özel sektör kuruluşlarından düzinelerce siber güvenlik çalışması, CRA’nın ifşa hükümlerinin dijital ürünlerin ve bunları kullanan bireylerin güvenliğini zayıflatan yeni tehditler yaratacağını söyledi .
“[Article 11] Bu, düzinelerce devlet kurumunun, çevrimiçi ortamı korumak ve aynı zamanda kötü niyetli aktörler için cazip bir hedef oluşturmak için bunları kullanma yeteneği olmadan, hafifletilmemiş güvenlik açıklarına sahip gerçek zamanlı bir yazılım veri tabanına erişebileceği anlamına geliyor” diye yazdılar ve birkaç tane daha olduğunu eklediler: Açıklama sürecinin aceleye getirilmesi ve hafifletilemeyen güvenlik açıklarına ilişkin bilgilerin geniş çapta yayılmasıyla ilişkili riskler.
Buna Avrupa hükümetleri tarafından kötüye kullanım potansiyeli, güvenlik açıklarının kötü niyetli tehdit aktörlerine ifşa edilmesi riskinin artması ve bunun iyi niyetli güvenlik araştırmaları üzerindeki potansiyel caydırıcı etkisi de dahildir.
“Devletin çok çeşitli hafifletilmemiş yazılım güvenlik açıklarına erişimi, istihbarat veya gözetleme amaçlarıyla kötüye kullanılabilir. CRA aracılığıyla açıklanan güvenlik açıklarının saldırgan kullanımlarına yönelik kısıtlamaların bulunmaması ve neredeyse tüm AB üye ülkelerinde şeffaf gözetim mekanizmasının bulunmaması, potansiyel suistimallere kapı açıyor” diye yazdılar.
“İhlaller ve devletin elindeki güvenlik açıklarının kötüye kullanılması teorik bir tehdit değil, ancak dünyadaki en iyi korunan kuruluşların bazılarında meydana geldi. CRA, tam bir teknik değerlendirmenin açıklanmasını gerektirmese de, bir güvenlik açığının varlığının bilinmesi bile yetenekli bir kişinin onu yeniden yapılandırması için yeterlidir.”
Siber güvenlik uzmanları, güvenlik araştırmalarını nasıl etkilediği konusunda, ifşa önlemlerinin, güvenlik açıklarını kamuya duyurmadan önce doğrulamak, test etmek ve yamalamak için zamana ihtiyacı olan yazılım yayıncıları ve güvenlik araştırmacıları arasındaki işbirliğini engelleyebileceğini ekledi.
“Sonuç olarak, CRA, üreticilerin güvenlik araştırmacılarından gelen güvenlik açığı açıklamalarına karşı duyarlılığını azaltabilir ve eğer her açıklama bir hükümet bildirim dalgasını tetikliyorsa araştırmacıları güvenlik açıklarını raporlamaktan caydırabilir” diye yazdılar.
“Güvenlik açıklarının derhal ifşa edilmesinin ardındaki amaç, hafifletmeyi kolaylaştırmak olsa da, CRA zaten yazılım yayıncılarının ayrı bir hükümle güvenlik açıklarını gecikmeden azaltmalarını şart koşuyor. Bu yükümlülüğü destekliyoruz, ancak aynı zamanda şeffaflık ihtiyacını güvenlik ihtiyacıyla dengeleyen sorumlu ve koordineli bir açıklama sürecini de savunuyoruz.”
Alternatif olarak uzmanlar, güvenlik açığının ciddiyetini, hafifletici önlemlerin kullanılabilirliğini, son kullanıcılar üzerindeki potansiyel etkisini ve daha geniş çapta istismar edilme olasılığını dikkate alan “risk temelli bir yaklaşım” benimsemeyi öneriyor.
Bu nedenle 11. madde hükümlerinin ya tamamen kaldırılmasını ya da en azından özetledikleri tehditlere karşı koruma sağlayacak şekilde revize edilmesini de önerdiler.
Önerilen ek revizyonlar arasında devlet kurumlarının açıklanan güvenlik açıklarını istihbarat veya gözetleme amacıyla kullanmasının veya paylaşmasının açıkça yasaklanması; raporlama gereksinimlerinin yalnızca yamadan sonraki 72 saat içinde azaltılabilir güvenlik açıklarını içerecek şekilde değiştirilmesi; ve iyi niyetli güvenlik araştırmaları sonucunda tespit edilen güvenlik açıklarının raporlanmasını tamamen hariç tutmak.
“Bir güvenlik açığının kötü niyetli kullanımının aksine, iyi niyetli güvenlik araştırması bir güvenlik tehdidi oluşturmaz” diye yazdılar ve ISO/IEC 29147’nin CRA’da referans olması gerektiğini ve tüm AB güvenlik açığı raporlaması için bir temel olarak kullanılması gerektiğini eklediler.
HackerOne’ın kurucu ortağı ve baş teknoloji sorumlusu Alex Rice, mevzuatın amacının iyi olmasına rağmen önerilen açıklama gerekliliklerinin bölgedeki yerleşik en iyi uygulamalarla doğrudan çeliştiğini ekledi.
“Çok hassas verilerin yalnızca bir avuç AB devlet kurumuna raporlanması, diğer birçok riskin yanı sıra, kötü aktörlerin bu merkezlere sızması ve duyarlı kuruluşlara saldırmak için güvenlik açıkları edinmesi yönünde güçlü bir teşvik yaratıyor. Kuruluşlar için artan ihlal riski aynı zamanda güvenlik araştırmacıları topluluğundan gelen raporların yönetilmesini de önemli ölçüde karmaşıklaştıracak ve kuruluşların iyi niyetli güvenlik araştırmalarına daha az açık hale gelmesine neden olacaktır” dedi.
“Bu güvenlik açıkları vaktinden önce bildirildiğinde herkes acı çekiyor. Parlamento, CRA’yı yalnızca güvenlik açıkları giderildikten sonra açıklama yapılmasını gerektirecek şekilde revize etmelidir.”
Haziran 2023’te Avrupa Dijital Haklar Grubu (EDRi) ve diğer 10 sivil toplum grubu, hafifletilmemiş güvenlik açıklarının ifşa edilmesine ilişkin endişeleri dile getiren benzer bir açık mektup yazdı.
O zamanlar şöyle yazmışlardı: “Yakın zamanda istismar edilen bu tür güvenlik açıklarının bu kadar kısa sürede hafifletilmesi pek olası değil; bu da, potansiyel olarak düzinelerce devlet kurumunun elinde, azaltılmamış güvenlik açıklarına sahip gerçek zamanlı yazılım veritabanlarının oluşmasına yol açıyor” diye yazmışlardı.
“Bu tür bilgiler ne kadar çok yayılırsa, devlet istihbaratı veya saldırı amaçları için kötüye kullanılma veya bir hafifletme önlemi uygulanmadan önce yanlışlıkla düşmanlara ifşa edilme olasılığı da o kadar artar. Ayrıca, hafifletilmemiş güvenlik açıklarının devlet kurumlarına ifşa edilmesini gerektiren yasalar, diğer ülkeler tarafından da yansıtılabilecek uluslararası bir emsal teşkil ediyor.”