Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon La comunidad open source no tiene la culpa de los problemas de ciberseguridad


La futura Ley de Ciberresiliencia ('Cyber Resilience Act') quiere atajar el problema de la ciberseguridad obligando a que los productos de software y hardware estén bien actualizados, pero la última propuesta legal tiene un problema de fondo que ha generado muchas críticas.




La propuesta de Ley de Ciberresiliencia de la UE preocupa por el código abierto y la ciberseguridad

Alarma entre los desarrolladores open source.  En una carta abierta a la Comisión Europea, una docena de desarrolladores de la comunidad open source han expresado que la ley de ciberseguridad, tal y como está escrita ahora mismo, puede tener un "efecto devastador" en su trabajo.

Entre los firmantes se encuentran organizaciones de renombre como la Linux Foundation Europe, Eclipse Foundation o la Open Source Initiative. Un grupo que argumento que el open source representa el 70% de los desarrollos de software en Europa, pero que no goza de la protección que creen merecen.

No tienen los recursos necesarios. El último borrador exigirá que dispositivos como electrodomésticos inteligentes estén actualizados y se mantengan al día de los parches de seguridad. De lo contrario podrían enfrentarse a multas de hasta 15 millones de euros.


Así, se establecen una serie de buenas prácticas para los "productos con elementos digitales" en el mercado común europeo:

  • Asegurar el producto durante toda su vida
  • Apegarse a un marco coherente de ciberseguridad.
  • Mostrar transparencia de ciberseguridad
  • Garantizar que los usuarios usen los productos de forma segura.

El objetivo es que el software entre dentro de las exigencias de certificación, independientemente de si los desarrolladores han publicado ese código como open source o de forma privativa. Unos requisitos que no todos los desarrolladores podrían estar preparados para afrontar.

¿Avisar antes de parchear? El Reglamento además solicitará que los desarrolladores avisen de vulnerabilidades no parcheadas, lo que podría derivar en que precisamente estos fallos lleguen a un mayor público, avisan desde la Electronic Frontier Foundation.

Piden una excepción. "El software libre y de código abierto desarrollado o suministrado fuera del curso de una actividad comercial no debe estar cubierto por el presente Reglamento", solicitan en la carta abierta.

El argumento es que estos desarrolladores de código abierto suelen ofrecer su trabajo como acto de buena voluntad, pero si se les exigen responsabilidades añadidas podrían abandonar el código y el proyecto ante el temor de ser multados por el posible uso que haga cualquier otra organización, que muchas veces utilizan software libre sin avisar al propio creador del código.

Establecer el baremo por debajo es el problema de siempre.  La problemática con la ciberseguridad es la misma que con la regulación de la IA. Los reguladores de la Unión Europea quieren establecer normas para asegurarse que todo se hace correctamente, pero no todos los implicados tienen los recursos necesarios para adaptarse. Puede estar bien que grandes empresas sigan este camino, pero al exigir a pequeñas empresas o desarrolladores open source se tiene el riesgo de pasarse de frenada. Y establecer el límite no es sencillo.

Organizaciones como Digital Europe han propuesto que se defina mejor qué significa actividad comercial para el software, con tal de establecer bien cuándo un software basado en open source debería cumplir los requisitos y cuándo no. Además explican que la necesidad de avisar de vulnerabilidades todavía no parcheadas en un producto que se pone a la venta es contraproducente.

Corregir estos problemas antes del texto final. Estos meses son de negociaciones. Para el 6 de julio se espera una reunión técnica final, mientras que el texto debería estar listo para el 19 de julio. Después del verano el Parlamento Europeo debería votar sobre esa propuesta. El objetivo de las organizaciones open source es que los responsables políticos sean conscientes de los riesgos de adoptar la ley de ciberseguridad tal y como está ahora planeada.

Y, como recuerda la mismísima Fundación Python, las empresas que usan su código lo obtienen de repositorios públicos, por lo que no notifica a los miles de programadores que contribuyeron al mismo del uso que le dan. Imputar responsabilidades a los programadores en ese contexto parece una locura.

Fuentes:
https://www.xataka.com/legislacion-y-derechos/ue-quiere-mejorar-ciberseguridad-a-base-exigir-a-quien-culpa-tiene-comunidad-open-source

https://www.genbeta.com/actualidad/union-europea-no-comprende-software-libre-dos-futuras-leyes-comunitarias-que-amenazan-proyectos-open


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.