2023/03/05

Cyber Resilience Act da UE exige segurança digital - mas pode pôr em risco projectos open-source

A UE prepara legislação para reforçar a segurança digital, mas há muitas incógnitas que fazem temer repercussões sobre projectos open-source.

Não é segredo que a actual Internet of Things é um apocalipse à espera de acontecer, com milhões de dispositivos inseguros, repletos de vulnerabilidades e sem actualizações de segurança há anos, que se tornam em alvos fáceis para qualquer tipo de ataque. Isto para não falar em dispositivos que, mesmo sendo lançados agora, nem sequer se preocupam em seguir as regras básicas de segurança. É de facto necessário fazer algo quanto a isto, mas a solução da UE levanta outras questões que não devem ser ignoradas.

O Cyber Resilience Act (CRA) é a medida da UE que vai passar a exigir segurança tanto a nível do hardware como também do software, e que ameaça com pesadas multas - que podem ser de 15 milhões de euros ou 2.5% da facturação anual - quem não cumprir. É uma medida que define vários níveis de segurança, e que considera como sendo de importância crítica coisas como sistemas operativos, CPUs, boot managers, network interfaces (Ethernet, WiFi), software de acesso remoto, firewalls, routers, modems, browsers (Chrome, Firefox), VPNs, e outros. Tudo isto passará a ter que cumprir estas regras, e estar sujeito a auditorias por empresas externas autorizadas pela UE. Mas, como é frequentemente habitual, há muito que fica por esclarecer.
A medida abre excepção para software open-source, mas deixa à interpretação o que será uso "não comercial"; também refere coisas como estes sistemas estarem "protegidos contra ataques DoS", sem esclarecer o que querem dizer com isso; e também fica por elaborar o que é que poderá ser considerado hardware / software que fique enquadrado na secção de "baixo risco" com requisitos menos apertados.

O grande receio é que, até que todos os pontos estejam devidamente esclarecidos, teremos muitos projectos e dispositivos que ficarão em pausa por não quererem arriscar-se a enfrentar uma multa de milhões de euros.

Sem comentários:

Enviar um comentário (problemas a comentar?)