يثير قانون المرونة الإلكترونية في الاتحاد الأوروبي مخاوف بشأن المصادر المفتوحة والأمن السيبراني

تقوم الاتحاد الأوروبي بمراجعة قانون مرونة الإنترنت المقترح (CRA) ، الذي يهدف إلى تعزيز دفاعات أوروبا ضد الهجمات الإلكترونية وتحسين أمن المنتج.يستهدف القانون مجموعة واسعة من المنتجات التي يتم تسويقها للمستهلكين الأوروبيين ، بما في ذلك أجهزة Internet of Things (IoT) وأجهزة الكمبيوتر المكتبية والهواتف الذكية.فهو يفرض متطلبات الكشف عن الضعف على شركات تصنيع الأجهزة والموزعين ، ويقدم أحكام المسؤولية عن حادث الأمن السيبراني الجديد.

رحبت مؤسسة الحدود الإلكترونية (EFF) ، وهي منظمة قانونية دولية رائدة غير ربحية ، بقصد التشريع ، لكنها أعربت أيضًا عن قلقها من أنها تثير مخاوف بشأن المصادر المفتوحة والأمن السيبراني: سيعاقب القانون المقترح مطوري المصدر المفتوح الذين يتلقون أي إيرادات إضافية لعملهم.كما يتطلب الأمر من الشركات المصنعة الإبلاغ عن نقاط الضعف المستغلة بشكل نشط للمنظمين.هذا المطلب لديه القدرة على فضح الظروف واستغلال نقاط الضعف هذه لجمهور أوسع ، مما يؤدي إلى تفاقم الضرر الذي تهدف إلى التخفيف من الضرر.

open source intelligence

1. تهديدات لفتح البرامج المصدر

برنامج المصدر المفتوح هو العمود الفقري للإنترنت الحديث.يتم استخدام مساهمات مطوري المشاريع مفتوحة المصدر مثل Linux و Apache ودمجها مجانًا في منتجات موزعة على مليارات الأشخاص في جميع أنحاء العالم.لا يمكن تحقيق ذلك إلا من خلال تدفقات الإيرادات التي تكافئ المطورين على عملهم ، بما في ذلك التبرعات الفردية والمنح الأساسية والرعاية.هذا التطوير والتمويل البيئي هو جزء لا يتجزأ من تشغيل وأمن العالم الذي يحركه البرمجيات اليوم.

يفرض CRA المسؤولية على الأنشطة التجارية التي تجلب المنتجات الضعيفة إلى السوق.في حين أن المادة 10 من القانون المقترح تعفي المساهمين غير الهادفين للربح المصدر من المسؤولية عن طريق إعفاء "الأنشطة التجارية" ، فإن الإعفاء يحدد الأنشطة التجارية على نطاق واسع للغاية.لا يتم إعفاء أي مطور مفتوح المصدر يطلب التبرعات لبرامجهم أو رسوم خدمات الدعم ، لذلك سيكون مسؤولاً عن الأضرار إذا كان منتجهم يحتوي على ثغرة أمنية ثم يدمجها في المنتج ، حتى لو لم يصنعوا المنتج بأنفسهم.في كثير من الأحيان ، يكتب المساهمون والمطورين المصدرون المفتوحون البرامج ويجعلونه للآخرين من النوايا الحسنة والامتنان.إذا تلقى هؤلاء المطورين حتى مكافأة لعملهم ، فسيتعرضهم ذلك للخطر.قد تخضع المؤسسات الصغيرة التي تنتج رمزًا مفتوحًا للصالح العام للعام بأكمله للتحديات القانونية لمجرد أنها تفتقر إلى الأموال اللازمة للمخاطرة.هذا من شأنه أن يجبر المطورين والمنظمات على التخلي عن هذه المشاريع تمامًا ، مما يضر بيئة المصدر المفتوح بأكمله.

استجابة لذلك ، تدعو مؤسسة Frontier Electronic CRA إلى مزيد من إعفاء الأفراد الذين يقدمون برامج مفتوحة المصدر من المسؤولية ، بما في ذلك عندما يتم دفعها مقابل عملهم.

2. متطلبات الكشف عن الضعف تشكل تهديد الأمن السيبراني

تتطلب المادة 11 من النص المقترح الشركات المصنعة للكشف طوعًا من نقاط الضعف المستغلة لوكالة الاتحاد الأوروبية للأمن السيبراني (ENISA) في غضون 24 ساعة.سيُطلب من Enisa عندها إعادة توجيه التفاصيل عن نقاط الضعف هذه إلى فرق الاستجابة لحوادث الكمبيوتر في الدول الأعضاء (CSIRTS) وهيئات المراقبة في السوق.كمقياس للمساءلة ، سيوفر هذا المطلب حافزًا لمصنعي المنتجات مع سجلات أمن المنتجات الضعيفة للبحث بنشاط وتخفيف نقاط الضعف.بغض النظر عن النية ، من المحتمل أن يكون لهذا المطلب عواقب غير مقصودة على الشركات المصنعة التي تعطي الأولوية لأمن المنتج.غالبًا ما يتم التعامل مع نقاط الضعف التي تشكل مخاطر أمنية خطيرة للمستهلكين على أنها أسرار محمية بشكل وثيق من قبل هذه الشركات حتى يتم تطبيق الإصلاح بشكل صحيح ونشرها على الجهاز النهائي.يمكن أن تستغرق نقاط الضعف هذه أسابيع أو حتى أشهر حتى يتم تطبيق الإصلاحات المناسبة.

يمكن للإطار الزمني القصير أن يمنع الشركات من تطبيق الإصلاحات "العميقة" التي تصحح السبب الجذري للضعف ، مما يختار بدلاً من ذلك الإصلاحات "الضحلة" التي تتناول فقط الأعراض.تستغرق الإصلاحات العميقة وقتًا ، وسيبدأ متطلبات 24 ساعة مؤقتًا على الاستجابة وستؤدي إلى استجابة ترقيع عشوائية.

التأثير الثاني هو أن المزيد من المنظمات والأشخاص سيدركون قريبًا نقاط الضعف ، مما سيزيد بشكل كبير من خطر تعرضهم لشخص قد يرغب في استغلالها بشكل ضار.يمكن أن تخلق المعرفة الحكومية لمجموعة من نقاط الضعف في البرامج في الشركات المصنعة أهدافًا مغرية للقرصنة والتجسس.الشركات المصنعة المعنية بالنتائج الأمنية لعملائها لديها القليل من السيطرة أو نظرة ثاقبة على الأمن التشغيلي لوكالات ENISA أو وكالات الدول الأعضاء التي تدرك هذه الثغرات الأمنية.يزيد شرط التقارير هذا من خطر إضافة نقاط الضعف إلى الترسانة الهجومية لوكالات الاستخبارات الحكومية.لا ينبغي أن يشعر المصنعون بالقلق من أن الإبلاغ عن العيوب في برامجهم سيؤدي إلى مزيد من تطوير قدرات الحرب السيبرانية على نفقتها.

مسألة أخرى هي أن متطلبات الإبلاغ لا تتضمن الكشف العام.لكي يتخذ المستهلكون قرارات مستنيرة بشأن المنتجات التي يشترونها ، يجب تقديم تحديثات أمان إلى جانب تفاصيل حول نقاط الضعف في الأمان.

بالنظر إلى المخاطر الكبيرة المرتبطة بهذا المطلب ، تدعو مؤسسة الحدود الإلكترونية المشرعين الأوروبيين إلى الامتناع عن فرض المواعيد النهائية غير المرنة لتثبيت نقاط الضعف لمعالجة المشكلات الأمنية وإصدار تقارير مفصلة عن نقاط الضعف إلى ENISA فقط بعد إصلاحها.بالإضافة إلى ذلك ، هناك حاجة إلى الكشف التفصيلي لإجراءات إصلاح الأمان.قد يتم فرض متطلبات أكثر صرامة على الشركات المتوسطة في أمن المنتج - ولكن هذا يجب أن يكون الاستثناء ، وليس القاعدة.