Z vse večjo netransparentnostjo procesov in algoritmov, ki malodane narekujejo naš vsakdan, odgovornost ponudnikov spletnih storitev do uporabnikov slabi. Pomanjkanje odgovornosti vodi v porast kibernetske kriminalitete, katere letni stroški naj bi po oceni Evropske komisije znašali kar 5,5 bilijona evrov.2
Med novo predlaganimi akti EU, ki vzpostavljajo večjo odgovornost ponudnikov digitalnih produktov in storitev do uporabnikov, je tudi septembra 2022 objavljeni Predlog uredbe o zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi,3 znan kot Akt o kibernetski odpornosti (Cyber Resilience Act, v nadaljevanju Akt), ki določa poostrene pogoje za varnost strojne in programske opreme, ki je dostopna na trgu EU, z namenom vzpostavitve večje varnosti spletnega prometa za uporabnike. Vendar pa predlog Akta prinaša tudi (najverjetneje nenamerne) negativne posledice za prosto in odprtokodno programsko opremo.
Kljub pospešeni regulaciji na področjih kibernetske varnosti in varstva potrošnikov na spletu trenutno veljavna zakonodaja EU specifično ni urejala kibernetske varnosti strojne in programske opreme. Z Aktom o kibernetski odpornosti naj bi se ustvarili pogoji za razvoj varnih proizvodov z digitalnimi elementi in skladen zakonodajni okvir za kibernetsko varnost, da bi proizvajalci izboljšali varnost izdelkov z digitalnimi elementi v celotnem življenjskem ciklu te opreme in uporabnikom omogočijo varno uporabo njihovih proizvodov.4 Predlagani Akt v bistvenem ustanavlja obveznost proizvajalcev, uvoznikov in distributerjev izdelkov z digitalnimi elementi, da je vsa programska in strojna oprema (t. i. izdelki z digitalnimi elementi), ki se povezuje na internet in se ponuja na trgu EU, zasnovana, razvita in proizvedena v skladu z zahtevami, ki jih za kibernetsko varnost posameznih kategorij izdelkov določa Priloga I k Aktu (člen 10(1)).
Akt v grobem razlikuje med dvema kategorijama izdelkov z digitalnimi elementi - kritičnimi izdelki in vsemi drugimi izdelki (za namen tega prispevka jih poimenujmo običajni izdelki). Med običajne izdelke, ki naj bi predstavljali kar 90 % vseh izdelkov na tržišču, sodijo vse vrste programov in naprav, namenjenih uporabi končnih uporabnikov v gospodarstvu in širši javnosti (npr. računalniške igre, mobilne aplikacije, pametni televizorji, programi za grafično, video in glasbeno produkcijo).5 Med kritične izdelke pa sodijo tisti, ki naj bi predstavljali povečano tveganje za kibernetsko varnost in jih Akt nadalje deli v dve kategoriji, razreda I in II, pri čemer je tveganje večje pri izdelkih v razredu II. Mednje sodijo zlasti brskalniki, upravitelji gesel, VPN-ji, omrežni vmesniki, požarni zidovi, varnostni sistemi, operacijski sistemi za računalnike, digitalni certifikati itd. Bistvena razlika, ki jo med običajnimi in kritičnimi izdelki ustvarja Akt, je zlasti v tem, da so za kritične izdelke predvideni strožji postopki ugotavljanja skladnosti z zahtevami iz Akta: za običajne izdelke bi zadostovala ocena skladnosti in certifikacija, ki jo izvede proizvajalec sam, kritične izdelke pa naj bi certificiral pooblaščeni zunanji ocenjevalec.
Ob zagotavljanju primerne ravni kibernetske varnosti izdelkov ter zaščite pred nepooblaščenim dostopom Akt proizvajalcem in distributerjem nalaga tudi obsežne dolžnosti v zvezi z informiranjem uporabnikov, zagotavljanjem podpore in posodobitev, ukrepanja zoper ranljivosti in poročanja nadzornim organom.
Sodobni internet temelji primarno na odprtokodni infrastrukturi - programska knjižnica OpenSSL je ključno orodje za šifriranje, Linux je razširjen operacijski sistem, na katerem je zasnovan tudi Android, Firefox je uveljavljen brskalnik.6 Odprtokodni programi so uporabnikom na voljo zastonj za kakršenkoli namen, vključno z modificiranjem, vendar pa proizvajalci zanje ne jamčijo in ne dajejo garancij. Določbe Akta ustvarjajo nove obveznosti zlasti glede odgovornosti proizvajalcev za varnost izdelkov, kar temeljito pretrese dosedanjo prakso odprtih programskih licenc, še posebej pa razvijalcem nalaga finančno in administrativno breme certifikacije, uporabniške podpore, odkrivanja ranljivosti in poročanja.
Akt v Recitalu 10 določa pomembno izjemo, ki prosto in odprtokodno programsko opremo izvzema iz dometa Akta. Izjema pride v poštev le tedaj, ko se izdelki ne razvijajo ali dobavljajo v okviru gospodarske dejavnosti. Kakor je običajno za zakonodajo EU, Akt ne določa izrecno, kaj zaobjema pojem "gospodarske dejavnosti". Recital 10 vsebuje zgolj pojasnilo, da lahko za gospodarsko dejavnost poleg zaračunavanja cene za izdelek šteje tudi zaračunavanje cene za storitve tehnične podpore, zagotavljanje platforme programske opreme, prek katere proizvajalec monetizira druge storitve, ali uporaba osebnih podatkov za nepovezane namene.
Da se lahko tudi brezplačno dajanje izdelka na voljo šteje za gospodarsko dejavnost, izhaja posredno tudi iz definicije "omogočanja dostopnosti na trgu" (člen 3(23)), ki pomeni vsako dobavo izdelka v okviru gospodarske dejavnosti, bodisi za plačilo bodisi brezplačno. Da bi razumeli negotovost, ki jo za razvijalce in proizvajalce odprtokodne programske opreme prinaša Akt, je potreben podrobnejši vpogled v sodobne načine financiranja odprtokodne programske opreme. Večji del odprtokodne internetne infrastrukture je uporabnikom na voljo zastonj. Vendar pa postajata razvoj in vzdrževanje te infrastrukture vse bolj kompleksen posel, ki ga že zdavnaj več ne opravljajo zgolj izjemno predani hobi programerji, temveč združenja visoko specializiranih IT-strokovnjakov. Ker donacije in prostovoljni prispevki običajno niso dovolj stabilen vir financiranja, se mnogi posamezniki in organizacije, ki ponujajo odprtokodno programsko opremo, financirajo zlasti s ponujanjem plačljivih storitev vzdrževanja in podpore, strokovnim svetovanjem in ponujanjem plačljivih nadgradenj za produkt, ki je v osnovni verziji brezplačen.7 Razvijalci odprtokodne programske opreme so pogosto zaposleni v podjetjih, ki razvijajo tudi lastniško (plačljivo) programsko opremo, odprtokodna programska oprema pa se daje na voljo na distribucijskih platformah, kot sta GitLab in GitHub. Vse navedene okoliščine lahko kaj hitro pripeljejo v situacijo, kjer večina za delovanje interneta bistvene proste in odprtokodne programske opreme izpade iz dometa izjeme iz Recitala 10. To pomeni, da je podvržena vsem obveznostim glede kibernetske varnosti, kot jih vzpostavlja Akt.8...
Nadaljevanje članka za naročnike >> Saša Krajnc, Akt o kibernetski odpornosti je slaba novica za odprtokodni ekosistem
>> ali na portalu Pravna praksa, št. 9, 2023
>> Še niste naročnik? Preverite uporabniške pakete!
----------------------------------------------------------
Opombe:
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.