Cyber-Resilience Act: rischio o opportunità per l’open source? Ce ne parla Dynatrace

L’Unione Europea ha votato a luglio un progetto di legge denominato Cyber-Resilience Act (CRA), che ha come scopo di difendere i cittadini europei da violazioni dei dati e attacchi informatici ai loro dispositivi. Il CRA si propone di farlo stabilendo le migliori pratiche di sicurezza per l’industria tecnologica europea. 

In particolare, il CRA definirà requisiti minimi di sicurezza per i prodotti tecnologici che vengono venduti ai consumatori nell‘UE. Questi includono i dispositivi IoT, i computer desktop e ovviamente gli smartphone. Per essere efficace, il CRA dovrà applicare questi requisiti anche al software e all’hardware che fanno parte della catena di fornitura dei prodotti per i consumatori. 

Tuttavia, il CRA non distingue tra soluzioni commerciali e progetti open source (quindi non commerciali) nella supply chain del software. Questo potrebbe mettere a rischio decine di migliaia di volontari di possibili azioni legali e danneggiare gravemente il settore tecnologico europeo. 

Alois Reitbauer, Chief Technology Strategist di Dynatrace, è partito proprio da questo punto per spiegarci come il Cyber-Resilience Act può diventare un rischio per l’open source.

Il Cyber-Resilience Act crea problemi all’open source?

Il CRA vuole imporre alle organizzazioni responsabilità legali per assicurare che i prodotti e i servizi che offrono al pubblico siano adeguatamente sicuri. Questo implica che le organizzazioni debbano assicurarsi che i loro prodotti rispettino standard predefiniti riguardo alla reportistica, la documentazione, le valutazioni dei rischi e le patch di sicurezza e il monitoraggio dopo la distribuzione. Le organizzazioni che non adempiono a questi standard potrebbero essere ritenute responsabili di incidenti di sicurezza. Per tanto potrebbero subire multe per la non conformità.

Per funzionare nella realtà, il CRA deve estendere questo regime anche alla catena di fornitura del softwarei. Tutto il software che viene distribuito nell’UE deve essere autocertificato dagli sviluppatori come sicuro secondo gli standard del CRA. È qui che nasce il problema principale, perché gran parte della catena di fornitura del software è composta da software open source (OSS).Si stima infatti che fino al 97% di tutte le applicazioni contenga codice OSS.

Norton: maggiore sicurezza per i dispositivi e VPN per la privacy online

Nella versione attuale del CRA, le comunità che gestiscono progetti OSS devono applicare al loro lavoro gli stessi standard di sicurezza delle aziende che vendono soluzioni commerciali. E, cosa preoccupante, potrebbero essere legalmente responsabili per qualsiasi incidente di sicurezza a valle che si verifichi a causa di problemi con il loro codice.

Le comunità Open Source non sono commerciali e si basano su contributi volontari. Questo significa che poche di queste realtà hanno le risorse per assicurare che il loro codice sia idoneo secondo i criteri del CRA. Ciò comporta il rischio che i contributori e le comunità OSS europee smettano di operare (o siano soggetti ad azioni legali che non hanno le risorse finanziarie per affrontare). Poiché il software OSS è il motore dell’industria tecnologica in generale, grazie al suo uso onnipresente, questo potrebbe infliggere un duro colpo all’intero ecosistema tecnologico europeo.

Come rendere il CRA compatibile con l’Open Source

L’obiettivo del CRA è lodevole: garantire la sicurezza di base del software e dei dispositivi con cui interagiamo quotidianamente. Ma è possibile raggiungere questo obiettivo garantendo al contempo che i progetti e le comunità OSS possano continuare a innovare.La fonte del problema è che, nella sua attuale bozza, il CRA tratta l’OSS come se fosse equivalente alle alternative commerciali. Questo non riflette la realtà sul campo: l’OSS, libero di essere utilizzato, è raramente offerto come una soluzione completa. È semplicemente un elemento o un componente di un’offerta più ampia.

Il CRA dovrebbe quindi trattare il codice OSS come un bene pubblico, come l’aria pulita o le bande radio.

Reitbauer elenca tre capacità fondamentali che le organizzazioni devono dimostrare di possedere per mantenere sicuri i propri componenti OSS:

1. Analisi delle vulnerabilità a runtime – Monitoraggio continuo per rilevare eventuali vulnerabilità in un prodotto e nei suoi componenti non appena vengono introdotte, sia nel codice personalizzato che in quello open source. I team di sicurezza e di sviluppo devono essere in grado di comprendere immediatamente l’impatto potenziale di qualsiasi vulnerabilità rilevata e di avere la visione necessaria per risolverla rapidamente, prima che l’integrità delle applicazioni e dei dati sia compromessa.
2. Hardening delle applicazioni: verifica dei prodotti per l’esposizione alle principali minacce alla sicurezza che mirano alle vulnerabilità critiche, come le command e SQL injection, utilizzando elenchi di minacce di riferimento nel settore, come l’Open Worldwide Application Security Project (OWASP). Le organizzazioni devono inoltre essere in grado di rilevare l’esecuzione di questi attacchi e bloccarli prima che possano causare danni.
3. Automazione della sicurezza – Stabilire flussi di lavoro automatizzati per rilevare, rimediare e risolvere incidenti o vulnerabilità di sicurezza, nei componenti OSS e non solo. Questo contribuisce ad accelerare i tempi di risoluzione e a ridurre l’esposizione di prodotti e servizi a vulnerabilità critiche.

In questo modo il Cyber-Resilience Act potrebbe diventare un motore per l’open source

Se questi standard venissero inclusi nel CRA, il documento potrebbe addirittura diventare un vantaggio significativo per lo sviluppo dell’Open Source.

“Anziché scoraggiare la partecipazione all’OSS, l’applicazione del CRA all’uso responsabile dell’OSS potrebbe spingere le organizzazioni a investire nella mappatura, nel riconoscimento e nella protezione dei componenti OSS che utilizzano nei loro prodotti”, afferma Reitbauer

Questo aumento degli investimenti commerciali si ripercuoterebbe inevitabilmente sul più ampio ecosistema OSS e, in ultima analisi, significherebbe maggiori risorse complessive dedicate alla manutenzione e all’aggiornamento dei progetti. I benefici di questa situazione potrebbero essere enormi, aumentando drasticamente il ritmo dell’innovazione del software in tutta l’UE. Soprattutto, questi requisiti garantirebbero un ecosistema OSS più sicuro in Europa e non solo.

Ciò significa una migliore realizzazione dell’obiettivo primario del CRA: prodotti e servizi tecnologici più sicuri per i cittadini europei.

Lepro Lampada da Tavolo LED 15W, Lampada da Scrivania USB Ricaricabile, 3 Colori e 5 Livelli di Luminosità, Dimmerabile 3000K-6500K, Luce da Lettura Protezione degli Occhi per Ufficio, Camera, Nero

• 【Personalizza la tua luce】: Con 3 modalità a 5 colori, i livelli di luminosità, il timer e la funzione di memoria, la lampada da tavolo a LED può essere utilizzata per adattarsi in modo ottimale alle tue esigenze.
• 【Controllo touch semplice】: Lampada da ufficio con pratico sensore tattile. Grazie alla funzione memory, la modalità di luminosità e colore impostata viene automaticamente richiamata alla successiva accensione della lampada da tavolo.
• 【Protezione per gli occhi】: Illumina ogni angolo con una luce invitante e senza sfarfallio, ideale per leggere, lavorare o studiare. delicato sugli occhi, provoca meno segni di stanchezza.
• 【655LM ad alta efficienza energetica】: Questa lampada da comodino utilizza il 75% di energia in meno rispetto a una lampada a incandescenza convenzionale con la stessa luminosità.
• 【Sicurezza e lunga durata】: La tensione di esercizio è di 12 V, più sicurezza e calore estremamente basso stabile, questa lampada da tavolo non è né tossica né emette raggi UV. Questa lampada da tavolo dal design minimalista è ideale per adulti e bambini. È anche usato come decorazione in ufficio.

32,99 EUR

Acquista su Amazon