EU Cyber Resilience Act: Aneb evropská iniciativa pro kybernetickou bezpečnost uživatelů
V září minulého roku byl evropskou komisí publikován takzvaný Cyber Resilience Act (CRA). Jedná se o návrh regulace, která by se měla zabývat požadavky na digitální produkty, s nimiž přichází uživatelé v evropských zemích do kontaktu. Návrh by měl zajistit to, že veškeré digitální produkty budou během celého svého životního cyklu adekvátně kyberneticky zabezpečeny, a to v souladu s veškerými předpisy. Velká část programů, jež se stává častým terčem kybernetických útoků, totiž není adekvátně zabezpečena a často pro ně neexistuje ani jakákoliv adekvátní legislativa. Návrh je tak prvním krokem k popsání tohoto problému a nastínění jeho potenciálního řešení.
Hlavním cílem je dostát takového stavu, aby produkty dostupné na trhu podporovaly adekvátní úroveň kybernetické ochrany během jejich životního cyklu a aby pokud možno byly na trh umisťovány produkty již se sníženým prahem náchylnosti ke kybernetickým hrozbám. Jak bylo řečeno, do této skupiny spadají veškeré produkty, které mají jakoukoliv softwarovou stopu, tudíž sem spadají například routery, modemy, mikroprocesory a další. Samotná regulace se však zaměřuje také na samostatné softwarové produkty, což je poměrně čerstvou novinkou a v zásadě to znamená regulaci tvorby samotného kódu daného softwaru. Zároveň byly specifikovány konkrétní produkty, kterým bude věnována větší pozornost. Do této skupiny spadá přibližně 10% veškerých produktů rozřazených do dvou kritických tříd a spadají sem například prohlížeče, operační systémy, procesory, firewally a podobně.
Veškerá stanovená pravidla ponechávají poměrně velký prostor pro vlastní interpretaci, podobně jak tomu bývá vydávaných směrnic Evropské unie. S tím však jde ruku v ruce několik možných problémů. Poměrně nejasný je například osud open-source softwarů. Často nelze říct kdo je za ně ve finále zodpovědný. Podobným nedostatkem je také například záležitost definování toho, kdy a za jakých okolností je software součást komerční aktivity. V případě absence jasnější definice, totiž kombinace těchto dvou problémů, může vést k potlačení rozvoje open-source programů v Evropě ze strachu z potenciální zodpovědnosti za uložené pokuty. Ty se totiž mohou vyšplhat až do výše 15 milionů eur, což už by pro značné množství vývojářů open-source programů mohl být ze své podstaty problém. Jednoduše řečeno velké množství vývojářů si rozmyslí, zda jim tato hra s ohněm vůbec stojí za to.
Obecně vzato směřování návrhu je logické a jeho cíle jsou ze své podstaty více než žádané. V celém návrhu se nicméně objevuje řada nedostatků. Například v podobě nepřesně definovaných pravidel a standardů. Aplikace aktu v současné podobě by mohla mít některé nezamýšlené negativní důsledky a především by mohla tvořit mnoho zmatku. V současnosti akt například udává, že by měly být dodávány pouze produkty bez známých a zneužitelných slabin. Chyby se nicméně stávají a vyvěrá pak logicky například otázka, jak nakládat s produkty, které již byly umístěny na trh, ale v době jejich umístění ona zneužitelná slabina známá jednoduše nebyla.
Celý akt v zásadě pokrývá komplexně veškeré možné nedostatky pro plně, nebo částečně softwarové produkty. Mimo již zmíněné akt definuje produkty vyhovující pro vpuštění do oběhu jako produkty:
- S konfigurací, jež je v základu bezpečnou.
- S ochranou proti neautorizovanému přístupu za užití adekvátních kontrolních mechanismů.
- Schopné chránit uložená, přenášená, nebo jinak zpracovávaná data a osobní údaje.
- Schopné chránit integritu uložených, přenášených, nebo jinak zpracovávaných dat, osobních údajů, příkazů, konfigurací programů a dalších proti manipulaci uživatelem neautorizovaných aktérů.
- Schopností minimalizovat množství zpracovaných dat a osobních údajů, nutných vzhledem k zamýšlenému účelu.
- Schopné chránit dostupnost základních funkcí a zmírňovat dopady útoků, a to i v případě DoS útoků (Denial-of-service-attack).
- Minimalizující negativní dopady na dostupnost služeb poskytovaných jinými produkty, nebo sítěmi.
- S designem, který bude omezovat množství potenciálních možností útoků, a to včetně externího designu produktu.
- S designem vyvinutým tak, aby redukoval dopady incidentů zneužití pomocí vhodných technik a mechanismů.
- Poskytující informace týkající se bezpečnosti a to prostřednictvím zaznamenávání a monitorování relevantních interní aktivity a to včetně možnosti přístupu k datům a modifikaci dat, služeb a funkcí.
- Schopné zajistit potenciálně zranitelné prvky prostřednictvím bezpečnostních aktualizací, včetně automatických aktualizací, o nichž bude uživatel informován.
Je velice pravděpodobné, že někteří z řady vás, čtenářů, se pozastavili nad značně širokou interpretací některých bodů, případně nad některými potenciálně nebezpečnými, nebo dokonce nereálnými požadavky. Už z toho důvodu je předmětná diskuse o obsahu celého návrhu a to dříve, než se dostane do fáze aplikace. Aplikace v nynější podobě by totiž způsobila jednoznačně více zmatku než užitku, a to i přes již zmíněný dobrý a pochopitelný úmysl.
Mimo požadavky na samotné produkty je součástí aktu také pojednání o samotném nakládání s produktem při jeho vývoji a vypořádávání se s jednotlivými problémy. A to od otázky identifikace a dokumentace zranitelností, přes otázku pravidelnosti testování, transparentnosti informací týkající se bezpečnostních aktualizací, až po otázky způsobů a podmínek šíření těchto aktualizací.
Jak si tedy poradit s nejednoznačností některých obsahových náležitostí návrhu? V současnosti je nejlepší radou vyčkávat a sledovat vývoj této regulace. Evropská komise v blízké době ustanoví prozatím nespecifikovaný standardizační orgán, který by měl veškeré nejasnosti učinit jasnějšími a pochopitelnějšími. Otázkou je, kdo ve finále bude za standardizaci zodpovědný a jak si poradí s natolik abstraktní pojmy, které se v návrhu objevují. Sporných míst je v dokumentu totiž poměrně hojně.
Obavy může vzbuzovat také možnost potenciálního vysokého zastoupení komerčních subjektů s vlastními obchodními motivy do rozhodovacího procesu. Pokud by tyto subjekty byly ve větší míře zahrnuty do standardizačního procesu, nelze zaručit že nedojde například k narušení spravedlivé soutěž, díky čemuž hrozí, že ze závěrečné regulace nebude benefitovat ani tak uživatel, jako spíš technologická firma sledující vlastní obchodní zájmy.
Právě to, kdo bude tvořit a jaká bude finální interpretace aktu rozhodne o tom, zda celé snažení přinese kýžené výsledky, a nebo zda bude byrokratickým chumlem s nikterak pozitivním efektem. Nesprávné zavedení regulace může mít totiž vliv nejen na výslednou bezpečnost jako takovou, ale celkový efekt může narušit také obtížně budované obchodní prostředí pro technologické firmy, načež hrozí i případný pokles přílivu a vzniku inovací v Evropě. Regulace tohoto typu je jednoznačně potřebná, neměla by však zhotovena za každou cenu a co nejdříve, bez reflexe potřeb uživatelů a tvůrců samotných produktů, jichž se akt bude dotýkat nejvíce.