Представители Electronic Frontier Foundation уже высказались с критикой предстоящих изменений.
Европейский союз уже больше полугода разрабатывает закон о киберустойчивости (Cyber Resilience Act, CRA), который должен защитить Европу от кибератак и повысить безопасность продуктов, включая устройства интернета вещей (IoT), компьютеры и смартфоны. Однако этот закон также может нанести ущерб разработчикам открытого программного обеспечения и увеличить риск раскрытия уязвимостей.
Многие организации и частные лица уже высказывали свою обеспокоенность касательно CRA. На этот раз конструктивная критика отдельных пунктов законопроекта пришла со стороны некоммерческой правозащитной организации EFF.
Разрабатываемый закон предусматривает ответственность за коммерческую деятельность, которая выводит на рынок уязвимые продукты. Открытое ПО является основой современного интернета и финансируется благодаря пожертвованиям, грантам и спонсорствам. Но закон определяет коммерческую деятельность слишком широко и не освобождает от ответственности разработчиков открытого ПО, которые не получают прямого финансирования, работая скорее на чистом энтузиазме. Такие «нестыковки» могут привести к юридическому преследованию разработчиков и отказу от проектов в общественных интересах.
Свои опасения представители отрасли уже высказывали в блоге OpenSource. EFF здесь полностью солидарна с разработчиками и призывает ЕС освобождать лиц, предоставляющих открытое ПО, от ответственности, в том числе когда они иногда финансово вознаграждаются за свою работу.
Новый закон также требует от разработчиков программного обеспечения раскрывать активно эксплуатируемые уязвимости Европейскому агентству по кибербезопасности (ENISA) в течение 24 часов. Затем ENISA должно передавать эти сведения национальным органам безопасности. Это требование должно стимулировать компании быстрее выявлять и устранять уязвимости, но также создает риски для тех, кто действительно заботится о безопасности своих продуктов.
Если разглашать данные об уязвимостях в столь короткий срок, это может лишь спровоцировать их большую эксплуатацию злоумышленниками. Ведь на глубокую проработку большинства проблем нужно гораздо больше времени, чем сутки, а просто рапортовать об уязвимости, не имея на руках фикса — довольно рискованно. Хоть закон и не требует публичного разглашения данных, но утечки часто происходят даже в государственных ведомствах. Поэтому такое требование может привести к тому, что исправления станут быстрыми, но довольно небрежными и поверхностными, чему хакеры только обрадуются.
EFF призывает ЕС воздержаться от жёстких сроков для решения проблем безопасности и сообщать даже об активно эксплуатируемых уязвимостях только после их исправления. И сообщать о них публично, а не только в специальные ведомства.
Закон о киберустойчивости должен усилить кибербезопасность для всех европейцев, но в текущем виде он может иметь обратный эффект. EFF призывает Европейскую комиссию внимательно рассмотреть предложенные изменения и не внедрять закон, пока все вышеозвученные риски не будут устранены.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках