ЕС готовит закон о киберустойчивости. Что это значит для открытого ПО и безопасности?

Европейский союз уже больше полугода разрабатывает закон о киберустойчивости (Cyber Resilience Act, CRA), который должен защитить Европу от кибератак и повысить безопасность продуктов, включая устройства интернета вещей (IoT), компьютеры и смартфоны. Однако этот закон также может нанести ущерб разработчикам открытого программного обеспечения и увеличить риск раскрытия уязвимостей.

Многие организации и частные лица уже высказывали свою обеспокоенность касательно CRA. На этот раз конструктивная критика отдельных пунктов законопроекта пришла со стороны некоммерческой правозащитной организации EFF.

Программное обеспечение с открытым исходным кодом

Разрабатываемый закон предусматривает ответственность за коммерческую деятельность, которая выводит на рынок уязвимые продукты. Открытое ПО является основой современного интернета и финансируется благодаря пожертвованиям, грантам и спонсорствам. Но закон определяет коммерческую деятельность слишком широко и не освобождает от ответственности разработчиков открытого ПО, которые не получают прямого финансирования, работая скорее на чистом энтузиазме. Такие «нестыковки» могут привести к юридическому преследованию разработчиков и отказу от проектов в общественных интересах.

Свои опасения представители отрасли уже высказывали в блоге OpenSource. EFF здесь полностью солидарна с разработчиками и призывает ЕС освобождать лиц, предоставляющих открытое ПО, от ответственности, в том числе когда они иногда финансово вознаграждаются за свою работу.

Требования к оперативному раскрытию уязвимостей

Новый закон также требует от разработчиков программного обеспечения раскрывать активно эксплуатируемые уязвимости Европейскому агентству по кибербезопасности (ENISA) в течение 24 часов. Затем ENISA должно передавать эти сведения национальным органам безопасности. Это требование должно стимулировать компании быстрее выявлять и устранять уязвимости, но также создает риски для тех, кто действительно заботится о безопасности своих продуктов.

Если разглашать данные об уязвимостях в столь короткий срок, это может лишь спровоцировать их большую эксплуатацию злоумышленниками. Ведь на глубокую проработку большинства проблем нужно гораздо больше времени, чем сутки, а просто рапортовать об уязвимости, не имея на руках фикса — довольно рискованно. Хоть закон и не требует публичного разглашения данных, но утечки часто происходят даже в государственных ведомствах. Поэтому такое требование может привести к тому, что исправления станут быстрыми, но довольно небрежными и поверхностными, чему хакеры только обрадуются.

EFF призывает ЕС воздержаться от жёстких сроков для решения проблем безопасности и сообщать даже об активно эксплуатируемых уязвимостях только после их исправления. И сообщать о них публично, а не только в специальные ведомства.

Что в итоге?

Закон о киберустойчивости должен усилить кибербезопасность для всех европейцев, но в текущем виде он может иметь обратный эффект. EFF призывает Европейскую комиссию внимательно рассмотреть предложенные изменения и не внедрять закон, пока все вышеозвученные риски не будут устранены.