Cyber Resilience Act to nowy pomysł Unii Europejskiej na podniesienie bezpieczeństwa programów. Jednocześnie - Unia pokazała, że nie rozumie, czym jest wolne oprogramowanie.
Jeżeli będzie wprowadzony źle, nowy pomysł UE może wywrócić do góry nogami wolne oprogramowanie
Unia Europejska w ostatnim czasie wzięła się wyraźnie za cyberbezpieczeństwo. Z ostatnich inicjatyw dotyczących tego tematu wyróżnić można chociażby dyrektywę RODO czy niedawny pomysł mówiący o kwestiach aktualizacji oprogramowania w produkowanych urządzeniach. Jeżeli popatrzymy na te zmiany, możemy zauważyć bardzo istotny element wspólny dla tych przepisów. W każdym z nich to podmiot/instytucja mają być odpowiedzialne za zarządzanie wskazanymi elementami w swoim własnym zakresie. Każda firma ma mieć własnego administratora danych, czy też ma być odpowiedzialna za aktualizacje.
Jednak ostatni pomysł UE, choć przyświecają mu szczytne cele, może bardzo zaszkodzić rozwojowi olbrzymiej gałęzi przemysłu, jaką jest segment wolnego, otwartego oprogramowania.
Mowa oczywiście o Cyber Resilience Act - czym on w ogóle jest?
Ze względu na to, że CRA jest póki co propozycją ze strony Unii Europejskiej i jest na etapie konsultacji, nie mamy na obecnym etapie jasno brzmiących interpretacji przepisów. Jednak propozycja dokumentu jest już dostępna na stronie Komisji Europejskiej i w obecnym kształcie, wyraźnie może wpłynąć na rozwój wolnego oprogramowania na terenie UE. Wszystko dlatego, że CRE ma zamiar między innymi wprowadzić ideę "samocertyfikacji". Oznacza to, że to twórca oprogramowania będzie odpowiedzialny prawnie i finansowo za bezpieczeństwo swojego kodu.
Celem przepisów jest zmniejszenie liczby kluczowych podatności w programach i zapewnienie tym samym większego bezpieczeństwa użytkowników przez bezpośrednie pociąganie do odpowiedzialności podmiotów tworzących dziurawy kod. CRA ma wprowadzić szereg wyznaczników/reguł z którymi kod tworzony przez każdy podmiot. Jeżeli w kodzie zostanie odkryta luka, dany podmiot będzie miał na głowie (tak jak w przypadku RODO) także Unię Europejską.
W przypadku dużych firm o jasnej strukturze własności oprogramowania nie ma absolutnie żadnego problemu i jest to rozwiązanie jak najbardziej dobre dla użytkowników takich produktów, ponieważ skłania firmy do przemyślenia procesu developerskiego aby zaadaptować do niego reguły CRA i uniknąć potencjalnych kar. Wszystkie firmy zaadaptowały RODO, więc podejrzewam, że i tutaj nie będzie inaczej. Problem jest natomiast, jeżeli chodzi o inny aspekt - wolne oprogramowanie.
Jak Cyber Resilience Act może zaszkodzić open source?
Przede wszystkim trzeba zaznaczyć, że Unia nie ma intencji w niszczeniu segmentu wolnego oprogramowania, a także - zdaje się być świadoma tego, że ich nowy przepis może zagrozić open source w poważny sposób. Niestety na obecnym etapie propozycja UE nie pokrywa się z tym, jak działa sektor wolnego oprogramowania. Unia starała się wykluczyć wolne oprogramowanie ze swoich przepisów, ale to, jak ujęte jest to obecnie, absolutnie nie rozwiązuje tego problemu.
Tekst w polskiej wersji ustawy brzmi: Aby nie utrudniać innowacji ani prowadzenia badań, niniejsze rozporządzenie nie powinno obejmować wolnego i otwartego oprogramowania, tworzonego lub dostarczanego poza działalnością handlową. Dotyczy to w szczególności oprogramowania, w tym jego kodu źródłowego i jego zmodyfikowanych wersji, które jest bezpłatnie dostępne dla każdego, z którego można korzystać oraz które można modyfikować i rozpowszechniać. Działalność handlowa związana z oprogramowaniem może obejmować nie tylko pobieranie zapłaty za produkt, ale również pobieranie opłat za usługi wsparcia technicznego, udostępnianie platformy oprogramowania, za pośrednictwem której producent zarabia na innych usługach, lub wykorzystywanie danych osobowych z powodów innych niż tylko poprawa bezpieczeństwa, kompatybilności lub interoperacyjności oprogramowania.
Głównym problemem tutaj jest fakt, że wolne oprogramowanie w tym wypadku nie jest "dystrybuowane" tak jak zamknięte, a przepisy Unijne po podaniu powyższej formułki traktują każde oprogramowanie jak komercyjne, używając słów takich jak "producent". Tymczasem powyższe wykluczenie nie obejmuje nawet ułamka przypadków tworzenia i dystrybucji wolnego oprogramowania.
Cyber Resilience Act musi się zmienić - oto przykłady dlaczego nie będzie działać dobrze
Naturą wolnego oprogramowania jest możliwość korzystania z pracy innych i tworzenie nowego kodu przez społeczność. Świetny przykład podał tu Al Williams ze strony Hackday. Co się stanie jeżeli ktoś napisze jakąś część kodu/program/funkcjonalność i udostępni ją na Githubie? W takim wypadku nie musi ono podlegać certyfikacji. Co jednak jeżeli zostanie ono wykorzystane jako część większego projektu (np. którejś z dystrybucji Linuxa, który jest też dystrybuowany komercyjnie) i luka zostanie znaleziona po czasie np. w oprogramowaniu komercyjnym? W takim wypadku wciąż "ten ktoś" będzie uznany jako twórca kodu posiadający do niego prawa autorskie. Czy będzie miał na głowie wtedy karę nałożoną przez UE? Według tych przepisów - teoretycznie tak.
Problemem jest tu to, o czym wspomina Open Source Initiative - opisanie Open Source przez pryzmat komercyjnego wykorzystania jest zupełnie niewystarczające i jeżeli propozycja wejdzie w takim kształcie może bardzo mocno zaszkodzić tym, którzy chcą wspierać to środowisko swoją pracą. Dodatkowo organizacje wykorzystujące i pracujące na open source często nie mają środków, by prowadzić taką certyfikację. Brak rozróżnienia pomiędzy technologicznymi behemotami a pojedynczymi osobami czy projektami tworzonymi przez luźno powiązaną grupę osób czy nawet pojedynczych programistów, których praca może być wykorzystana bez ich wiedzy, a mimo tego - wciąż są oni odpowiedzialni za własny kod, jest w tym wypadku przedmiotem zaniepokojenia wielu instytucji, jak chociażby Python Software Foundation.
Python jest w ogóle bardzo ciekawym i dobrym przykładem tego, jak ten problem może wpłynąć na rozwój wolnego oprogramowania. Fundacja stoi za rozwojem tego języka programowania i dostarcza bilbioteki do jego wykorzystania, oczywiście nieodpłatnie. Jednak jednocześnie niesamowicie dużo aplikacji komercyjnych korzysta z tych narzędzi, jak chociażby YouTube czy Instagram. Błąd znaleziony wewnątrz biblioteki będzie oznaczał kolosalną karę finansową dla Fundacji (bo jest wykorzystany w aplikacji komercyjnej), pomimo, że nigdy nie zarobiła ona na swojej działalności.
To tylko wierzchołek góry lodowej. Ile programów i organizacji może zostać poszkodowanych, jeżeli wejdzie w życie w takim kształcie? Zakładam że bardzo, bardzo dużo. Jednocześnie, pozostaje mieć nadzieje, że skoro Unia nie chce celowo skrzywdzić tego sektora, to po mocnym odzewie ze strony branży, takie ujęcie tematu zostanie zmienione i wykorzystanie wolnego oprogramowania zostanie ujęte w taki sposób, że proces certyfikacji będzie wymagany od odpowiednich podmiotów i w ramach odpowiedniego wykorzystania kodu.
Źródło grafik: Depositphotos
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu