Een diverse groep van experts op het gebied van beveiliging en privacy, werkzaam bij beveiligingsbedrijven, antivirusleveranciers en burgerrechtenorganisaties, maakt zich bezorgd over de voorgestelde Europese Cyber Resilience Act (CRA). Deze wet verplicht softwareleveranciers om zerodaylekken, die binnen 24 uur na ontdekking plaatsvinden, actief te melden aan overheidsinstanties. Er bestaat bezorgdheid dat deze informatie mogelijk wordt misbruikt voor surveillancedoeleinden en inlichtingen.
Het doel van de CRA is om software en hardware veiliger te maken. Artikel 11 van dit wetsvoorstel voert een meldplicht voor zerodays in, waarbij deze lekken aan de autoriteiten moeten worden gerapporteerd. Deskundigen vrezen dat dit diverse risico’s met zich meebrengt, omdat de kwetsbaarheden op dat moment nog niet zijn verholpen. “Dit betekent dat tientallen overheidsinstanties toegang krijgen tot een database met ongepatchte softwarekwetsbaarheden,” zo stellen de experts in een open brief.
Dit brengt verschillende risico’s met zich mee, zoals het mogelijk gebruik van deze zerodaylekken door overheden voor surveillancedoeleinden en het verzamelen van inlichtingen. Bovendien kan de database een aantrekkelijk doelwit worden voor aanvallers. Daarnaast bestaat de vrees dat het vroegtijdig openbaar maken van kwetsbaarheden de samenwerking tussen beveiligingsonderzoekers en softwareleveranciers kan verstoren en zelfs kan leiden tot terughoudendheid bij onderzoekers om nog langer kwetsbaarheden te melden.
De ondertekenaars van de open brief roepen op tot de volledige verwijdering van artikel 11 of tot een aanpassing waarbij overheidsinstanties de gemelde zerodays niet mogen gebruiken voor inlichtingen, surveillance of andere offensieve doeleinden. Daarnaast pleiten ze ervoor dat de meldplicht alleen van toepassing is wanneer updates beschikbaar zijn. Ook zou de meldplicht niet moeten gelden voor beveiligingslekken die door onderzoekers in het kader van ‘good faith security research’ zijn gemeld.