- 13,850
- 20
- 8 Ноя 2022
Представители Electronic Frontier Foundation уже высказались с критикой предстоящих изменений.
Европейский союз уже больше полугода разрабатывает Для просмотра ссылки Войдиили Зарегистрируйся (Cyber Resilience Act, CRA), который должен защитить Европу от кибератак и повысить безопасность продуктов, включая устройства интернета вещей (IoT), компьютеры и смартфоны. Однако этот закон также может нанести ущерб разработчикам открытого программного обеспечения и увеличить риск раскрытия уязвимостей.
Многие организации и частные лица уже высказывали свою обеспокоенность касательно CRA. На этот раз конструктивная критика отдельных пунктов законопроекта Для просмотра ссылки Войдиили Зарегистрируйся со стороны некоммерческой правозащитной организации EFF .
<h3>Программное обеспечение с открытым исходным кодом
</h3> Разрабатываемый закон предусматривает ответственность за коммерческую деятельность, которая выводит на рынок уязвимые продукты. Открытое ПО является основой современного интернета и финансируется благодаря пожертвованиям, грантам и спонсорствам. Но закон определяет коммерческую деятельность слишком широко и не освобождает от ответственности разработчиков открытого ПО, которые не получают прямого финансирования, работая скорее на чистом энтузиазме. Такие «нестыковки» могут привести к юридическому преследованию разработчиков и отказу от проектов в общественных интересах.
Свои опасения представители отрасли Для просмотра ссылки Войдиили Зарегистрируйся в блоге OpenSource. EFF здесь полностью солидарна с разработчиками и призывает ЕС освобождать лиц, предоставляющих открытое ПО, от ответственности, в том числе когда они иногда финансово вознаграждаются за свою работу.
<h3>Требования к оперативному раскрытию уязвимостей</h3> Новый закон также требует от разработчиков программного обеспечения раскрывать активно эксплуатируемые уязвимости Европейскому агентству по кибербезопасности (ENISA) в течение 24 часов. Затем ENISA должно передавать эти сведения национальным органам безопасности. Это требование должно стимулировать компании быстрее выявлять и устранять уязвимости, но также создает риски для тех, кто действительно заботится о безопасности своих продуктов.
Если разглашать данные об уязвимостях в столь короткий срок, это может лишь спровоцировать их большую эксплуатацию злоумышленниками. Ведь на глубокую проработку большинства проблем нужно гораздо больше времени, чем сутки, а просто рапортовать об уязвимости, не имея на руках фикса — довольно рискованно. Хоть закон и не требует публичного разглашения данных, но утечки часто происходят даже в государственных ведомствах. Поэтому такое требование может привести к тому, что исправления станут быстрыми, но довольно небрежными и поверхностными, чему хакеры только обрадуются.
EFF призывает ЕС воздержаться от жёстких сроков для решения проблем безопасности и сообщать даже об активно эксплуатируемых уязвимостях только после их исправления. И сообщать о них публично, а не только в специальные ведомства.
<h3>Что в итоге?</h3>
Закон о киберустойчивости должен усилить кибербезопасность для всех европейцев, но в текущем виде он может иметь обратный эффект. EFF призывает Европейскую комиссию внимательно рассмотреть предложенные изменения и не внедрять закон, пока все вышеозвученные риски не будут устранены.
Европейский союз уже больше полугода разрабатывает Для просмотра ссылки Войди
Многие организации и частные лица уже высказывали свою обеспокоенность касательно CRA. На этот раз конструктивная критика отдельных пунктов законопроекта Для просмотра ссылки Войди
<h3>Программное обеспечение с открытым исходным кодом
</h3> Разрабатываемый закон предусматривает ответственность за коммерческую деятельность, которая выводит на рынок уязвимые продукты. Открытое ПО является основой современного интернета и финансируется благодаря пожертвованиям, грантам и спонсорствам. Но закон определяет коммерческую деятельность слишком широко и не освобождает от ответственности разработчиков открытого ПО, которые не получают прямого финансирования, работая скорее на чистом энтузиазме. Такие «нестыковки» могут привести к юридическому преследованию разработчиков и отказу от проектов в общественных интересах.
Свои опасения представители отрасли Для просмотра ссылки Войди
<h3>Требования к оперативному раскрытию уязвимостей</h3> Новый закон также требует от разработчиков программного обеспечения раскрывать активно эксплуатируемые уязвимости Европейскому агентству по кибербезопасности (ENISA) в течение 24 часов. Затем ENISA должно передавать эти сведения национальным органам безопасности. Это требование должно стимулировать компании быстрее выявлять и устранять уязвимости, но также создает риски для тех, кто действительно заботится о безопасности своих продуктов.
Если разглашать данные об уязвимостях в столь короткий срок, это может лишь спровоцировать их большую эксплуатацию злоумышленниками. Ведь на глубокую проработку большинства проблем нужно гораздо больше времени, чем сутки, а просто рапортовать об уязвимости, не имея на руках фикса — довольно рискованно. Хоть закон и не требует публичного разглашения данных, но утечки часто происходят даже в государственных ведомствах. Поэтому такое требование может привести к тому, что исправления станут быстрыми, но довольно небрежными и поверхностными, чему хакеры только обрадуются.
EFF призывает ЕС воздержаться от жёстких сроков для решения проблем безопасности и сообщать даже об активно эксплуатируемых уязвимостях только после их исправления. И сообщать о них публично, а не только в специальные ведомства.
<h3>Что в итоге?</h3>
Закон о киберустойчивости должен усилить кибербезопасность для всех европейцев, но в текущем виде он может иметь обратный эффект. EFF призывает Европейскую комиссию внимательно рассмотреть предложенные изменения и не внедрять закон, пока все вышеозвученные риски не будут устранены.
- Источник новости
- www.securitylab.ru
