Η εφαρμογή του Κανονισμού της Ευρωπαϊκής Ένωσης για την Κυβερνοανθεκτικότητα (Cyber Resilience Act – CRA) βρίσκεται ήδη σε εξέλιξη, ωστόσο εξακολουθούν να υπάρχουν σημαντικά ανοιχτά ερωτήματα, ιδιαίτερα σε ό,τι αφορά τις επιπτώσεις του στο οικοσύστημα του Ελεύθερου Λογισμικού. Οι ρόλοι των έργων Ελεύθερου Λογισμικού, των πιθανών «διαχειριστών» (stewards) και των κατασκευαστών δεν έχουν ακόμη αποσαφηνιστεί πλήρως, γεγονός που δημιουργεί αβεβαιότητα και καθιστά αναγκαία την παροχή επίσημων κατευθυντήριων γραμμών από την Ευρωπαϊκή Επιτροπή.
Τι προβλέπει ο Cyber Resilience Act
Ο CRA καθορίζει απαιτήσεις για την ανάπτυξη ασφαλών προϊόντων με ψηφιακά στοιχεία, είτε πρόκειται για υλικό (hardware) είτε για λογισμικό. Στόχος του είναι να διασφαλίσει ότι τα προϊόντα που διατίθενται στην ευρωπαϊκή αγορά συνοδεύονται από εγγύηση αντιμετώπισης ευπαθειών ασφαλείας και ελαχιστοποίησης των κινδύνων καθ’ όλη τη διάρκεια του κύκλου ζωής τους.
Οι κατασκευαστές καλούνται να ενσωματώνουν την κυβερνοασφάλεια σε όλα τα στάδια ανάπτυξης και συντήρησης των προϊόντων. Παράλληλα, οι χρήστες θα μπορούν να λαμβάνουν πιο ενημερωμένες αποφάσεις, καθώς τα προϊόντα θα φέρουν σήμανση CE, ενώ οι αρμόδιες αρχές εποπτείας της αγοράς θα ελέγχουν τη συμμόρφωση με τον κανονισμό. Με αυτόν τον τρόπο, ο CRA στοχεύει στην ενίσχυση της ανθεκτικότητας κρίσιμων πληροφοριακών συστημάτων και δικτύων στην ΕΕ.
Προβληματισμοί και αβεβαιότητες για το Ελεύθερο Λογισμικό
Η εφαρμογή του κανονισμού έχει προκαλέσει έντονες συζητήσεις μεταξύ των εμπλεκόμενων φορέων. Στο πλαίσιο του έργου «Dialogue for Cybersecurity» του Γερμανικού Ομοσπονδιακού Γραφείου για την Ασφάλεια Πληροφοριών (BSI), το Free Software Foundation Europe (FSFE) ανέλυσε τον CRA και τις επιπτώσεις του στο Ελεύθερο Λογισμικό, δίνοντας ιδιαίτερη έμφαση στις ασάφειες γύρω από τους ρόλους και τις ευθύνες των εμπλεκομένων.
Κεντρικό στοιχείο αυτής της προσπάθειας ήταν η διεξαγωγή έρευνας με ερωτηματολόγια, χωρισμένα σε τρεις ομάδες: πιθανούς διαχειριστές έργων Ελεύθερου Λογισμικού, ίδιες τις κοινότητες και τα έργα Ελεύθερου Λογισμικού, καθώς και κατασκευαστές προϊόντων.
Τα αποτελέσματα της έρευνας
Η έρευνα διήρκεσε δύο μήνες και συγκέντρωσε 345 απαντήσεις, εκ των οποίων 83 ολοκληρωμένες. Η έμφαση δόθηκε στην ποιότητα και στη γνώση του κανονισμού, όχι στον μεγάλο αριθμό συμμετεχόντων. Τα αποτελέσματα ανέδειξαν ότι πολλοί εμπλεκόμενοι δεν γνωρίζουν ακόμη ποιος θα είναι ο ρόλος τους στο πλαίσιο του CRA. Ιδιαίτερα ασαφής παραμένει ο ρόλος του «steward», για τον οποίο αναμένεται περαιτέρω διευκρίνιση από την Ευρωπαϊκή Επιτροπή.
Παράλληλα, τονίστηκε η ανάγκη να μη φορτωθούν οι προγραμματιστές Ελεύθερου Λογισμικού με υπερβολικές ρυθμιστικές υποχρεώσεις, ώστε να μπορούν να συνεχίσουν απρόσκοπτα το βασικό τους έργο: την ανάπτυξη λογισμικού. Την ίδια στιγμή, οι κατασκευαστές χρειάζονται νομική σαφήνεια όταν ενσωματώνουν στοιχεία Ελεύθερου Λογισμικού στα προϊόντα τους.
Ανάγκη για εργαλεία, χρηματοδότηση και τυποποίηση
Για την αποτελεσματική εφαρμογή του CRA, η έρευνα ανέδειξε την ανάγκη για κατάλληλα εργαλεία (π.χ. για ελέγχους ασφαλείας, αναφορά ευπαθειών και διαχείριση αποδεικτικών στοιχείων), καθώς και για οικονομική στήριξη των πιθανών διαχειριστών έργων. Η απλοποίηση των διαδικασιών είναι κρίσιμη ώστε να επιτευχθεί υψηλότερο επίπεδο κυβερνοασφάλειας χωρίς να θιγεί η ποιότητα της ανάπτυξης.
Επιπλέον, πολλοί συμμετέχοντες ζήτησαν μεγαλύτερη τυποποίηση των απαιτήσεων από τις ρυθμιστικές αρχές, καθώς και σαφείς απαντήσεις σχετικά με το κόστος συμμόρφωσης, τη διαχείριση ευπαθειών (CVE) στον χρόνο, αλλά και την αντιμετώπιση έργων που δεν συντηρούνται πλέον ενεργά.
Ανοιχτά ζητήματα και επόμενα βήματα
Ένα ακόμη κρίσιμο θέμα αφορά το Άρθρο 25 του CRA και την πιστοποίηση επιμέρους στοιχείων λογισμικού. Αν και το ζήτημα αυτό καλύφθηκε περιορισμένα στην έρευνα, θεωρείται ότι θα διαδραματίσει καθοριστικό ρόλο στο άμεσο μέλλον, καθώς παραμένουν ερωτήματα για το ποιος μπορεί να διενεργεί πιστοποιήσεις, με ποιον τρόπο και με ποια χρηματοδότηση.
Τα αποτελέσματα της έρευνας και οι σχετικές συστάσεις θα διαβιβαστούν στην Ευρωπαϊκή Επιτροπή και στις αρμόδιες αρχές εποπτείας της αγοράς, με στόχο να ληφθούν υπόψη οι πραγματικές ανάγκες και οι ανησυχίες της κοινότητας του Ελεύθερου Λογισμικού κατά την τελική εφαρμογή του Κανονισμού για την Κυβερνοανθεκτικότητα.
Μπορείτε να έχετε πρόσβαση στα αποτελέσματα της έρευνας εδώ.
Μπορείτε να βρείτε την τελική έκθεση του έργου εδώ (PDF, μόνο στα γερμανικά).
Πηγή άρθρου: https://fsfe.org/