L'evoluzione tecnologica ha reso la sicurezza informatica una priorità assoluta, specialmente considerando l'incremento delle minacce informatiche. In questo contesto, il Cyber Resiliency Act è stato presentato come un tentativo di rafforzare la sicurezza cibernetica. Tuttavia, c'è un dibattito in corso sull'impatto potenzialmente negativo che questa legislazione potrebbe avere sull'open source, un pilastro chiave dell'innovazione tecnologica. In questo articolo, esploreremo le preoccupazioni riguardo al Cyber Resiliency Act e come potrebbe influire sull'open source.
Cosa prevede il Cyber Resiliency Act?
Il Cyber Resiliency Act è una proposta di regolamento europeo che mira a migliorare la resilienza cibernetica delle infrastrutture critiche attraverso una maggiore cooperazione tra il settore pubblico e privato. Introduce l'idea di un consiglio consultivo composto da esperti per sviluppare raccomandazioni sulla sicurezza cibernetica e promuovere l'adozione di tecnologie avanzate. E cosa c'è di male? Nulla negli obiettivi fissati, molto disallineamento tra intenti e dinamiche reali nelle modalità di attuazione.
I due punti cruciali attorno ai quali si sviluppa la discussione:
- il CRA non distingue tra sviluppo di tecnologie tecnologie a monte in modo collaborativo e la loro introduzione sul mercato
- il CRA non limita l'uso prevedibile del prodotto all'ambito previsto dal produttore rendendo le comunità open source a monte responsabili delle vulnerabilità anche nei casi d'uso più inaspettati
In sostanza, il rischio è che la responsabilità relativa alla sicurezza del codice ricada sui contributori a monte che però non hanno visibilità del contesto software e hardware in cui il loro codice verrà poi inserito.
L'esempio che propone Mirko Boehm della LFE nel suo articolo è esplicativo: è come se un contributor open source potesse diventare improvvisamente responsabile delle vulnerabilità del software scritto in un ambito decontestualizzato se venisse poi utilizzato a valle per controllare una centrale nucleare.
LEGGI ANCHE: Il Cyber Resiliency Act, la competitività Europea e la sovranità digitale dell’UE
Preoccupazioni per l’Open Source
Anche se molti tra chi sta leggendo sono ben consapevoli di cosa sia, lo ribadiamo anche per chi dovesse incrociare questo articolo e non essere un esperto. L'open source è un modello di sviluppo in cui il codice sorgente è disponibile pubblicamente, fondato sulla collaborazione e la condivisione. Per quanto il Cyber Resiliency Act sia stato accolto molto positivamente per il suo obiettivo di rendere sicura l’intera filiera software / hardware, sta però suscitando preoccupazioni tra la comunità dell'open source, principalmente per i seguenti motivi (li semplifichiamo, altri articoli offriranno approfondimenti diversi):
Vincoli e Regolamentazioni Eccessive
Il Cyber Resiliency Act potrebbe introdurre regolamentazioni e vincoli eccessivi sull'open source. Poiché il codice sorgente è accessibile pubblicamente, potrebbero essere imposte restrizioni più severe sulle modifiche o sulle operazioni per garantire la conformità alle norme di sicurezza. Questo potrebbe limitare l'agilità e la natura aperta dell'open source.
Oneri Finanziari Aggiuntivi
L'implementazione delle misure di sicurezza richieste dal Cyber Resiliency Act potrebbe generare oneri finanziari significativi per i progetti open source. Gli sviluppatori potrebbero essere costretti a investire risorse aggiuntive per garantirne la conformità, mettendo a rischio la sostenibilità economica dei progetti open source.
Compromissione della Condivisione e della Trasparenza
L'open source si basa sulla condivisione e la trasparenza. L'eventuale richiesta di restrizioni o limitazioni nella divulgazione delle informazioni potrebbe compromettere l'essenza stessa dell'open source. La paura di violare regolamenti potrebbe scoraggiare gli sviluppatori dall'aprire il proprio codice e condividerlo con la comunità.
Riduzione dell'Innovazione Collaborativa
Le restrizioni potrebbero scoraggiare la partecipazione attiva degli sviluppatori nell'open source. Se le leggi risultano troppo stringenti, gli sviluppatori potrebbero optare per progetti più flessibili o evitare di contribuire del tutto. Ciò potrebbe portare a una diminuzione dell'innovazione collaborativa che è alla base del successo dell'open source.
Conclusioni
Mentre il Cyber Resiliency Act mira a rafforzare virtuosamente la sicurezza cibernetica, è fondamentale bilanciare gli sforzi di sicurezza con la natura aperta e collaborativa dell'open source. Affrontare le minacce cibernetiche è cruciale, ma è altrettanto importante garantire che le misure di sicurezza non soffochino l'innovazione e la condivisione che caratterizzano l'open source.
Un dialogo aperto e continuo tra le parti interessate è essenziale per sviluppare politiche efficaci che tengano conto di entrambi gli obiettivi Sperando che l’iter legislativo permetta i tempi necessari e interpelli gli esperti più adatti a questo tipo di coinvolgimento.
#FixTheCRA: come si sta muovendo la Linux Foundation Europe
In questo scenario la Linux Foundation Europe è in prima linea con l’iniziativa #FixTheCRA che SparkFabrik supporta pienamente.
Come si è detto, il Cyber Resilience Act (CRA) dell'Unione Europea sta percorrendo il suo iter legislativo ed è attualmente in discussione al Parlamento europeo (relatore Nicola Danti) e al Consiglio europeo. Presto entrerà nella fase di trilogo dell'UE, sostanzialmentel'ultimo passo prima che il Parlamento europeo voti il CRA in plenaria.
Gli obiettivi politici del CRA (ridurre le vulnerabilità dei prodotti digitali, garantire la sicurezza informatica durante l'intero ciclo di vita di un prodotto e consentire agli utenti di prendere decisioni informate al momento della scelta e dell'utilizzo) sono ampiamente sostenuti dalla comunità open source, nonché formalmente da LF Europe. Ma permangono forti preoccupazioni sul modo in cui il CRA intende raggiungere questi obiettivi, soprattutto nel contesto dell'ecosistema open source.
Sebbene la Linux Foundation condivida con convinzione l'obiettivo di rafforzare la sicurezza della catena di fornitura del software, la Open Source Security Foundation (OpenSSF) ne è l'esempio più concreto, continua a esserci un ampio consenso sul fatto che il modo in cui la legge è attualmente redatta rischia inavvertitamente di imporre un grosso onere ai collaboratori dell'open source e alle fondazioni no-profit.
Per questo si è attivata su più fronti in modo tale da scongiurare il rischio che il CRA soffochi l'innovazione open source, un pilastro che la stessa UE ha identificato come fondamentale per raggiungere i suoi obiettivi tecnologici e sociali incentrati sull'uomo (ricordiamo qui anche l’impegno per aderire ai 17 Sustainable Development Goals definiti dall’ONU e ai quali LFE insieme alla più grande Linux Foundation ha aderito).
La sua risposta si articola in 5 ambiti:
- LFE sta lavorando a fianco di altre organizzazioni open source sotto l'egida dell'Open Forum Europe (OFE) per sostenere proposte di emendamento concrete e di buon senso impegnandosi con i responsabili politici per offrire indicazioni e consulenza sul funzionamento dell'ecosistema open source
- Sta divulgando tenacemente a tutti i partecipanti alla Linux Foundation Europe le potenziali criticità della proposta legislativa e promuovere l'azione.
- Ha inviato una lettera aperta, firmata da un'ampia coalizione di fondazioni open source, che ha chiesto all'UE una più stretta collaborazione e consultazione con le comunità open source sul CRA e sulla legislazione futura.
- Organizza tavole rotonde e sessioni Birds of a Feather per discutere la questione con la Comunità Europea, come accaduto in un panel alla Kubecon Europe o all'Open Source Summit Europe appena concluso (settembre 2023).
- Sta lavorando attivamente per creare sedi di collaborazione tra fondazioni, con l'obiettivo di fornire un'ampia rappresentanza della comunità open source e un interlocutore per il dialogo continuo con i responsabili politici.
Scritto daSparkFabrik Team
