EU Thúc đẩy An ninh Mạng mã nguồn mở

Các nhà hoạch định chính sách của Liên minh châu Âu (EU) đang tiến triển trong cách tiếp cận phần mềm mã nguồn mở và giai đoạn hỗ trợ của nó trong Đạo luật Khả năng Phục hồi Kyber sắp tới. Đạo luật này giới thiệu các yêu cầu bảo mật cho các thiết bị kết nối và đang tiến tới giai đoạn cuối của quá trình lập pháp. Các cuộc thảo luận chính xoay quanh việc điều tiết phần mềm mã nguồn mở, điều này rất quan trọng cho đổi mới số hóa. EU đang xem xét một cách tiếp cận theo nhiều cấp độ với các nghĩa vụ biến đổi dựa trên cách phần mềm được phát triển và thương mại hóa.

Đối với các thực thể thương mại chỉ phát triển và kiểm soát phần mềm mã nguồn mở được tích hợp vào sản phẩm của họ, họ phải tuân thủ tất cả các nghĩa vụ của Đạo luật Khả năng Phục hồi Kyber. Điều này bao gồm các yêu cầu thiết yếu, tài liệu kỹ thuật, đánh dấu tuân thủ và giám sát thị trường. Trái ngược với điều này, phần mềm được phát triển hợp tác dưới sự tổ chức như các quỹ phần mềm mã nguồn mở sẽ có một bộ nghĩa vụ nhẹ hơn. Những thực thể này sẽ chịu trách nhiệm quản lý các lỗ hổng, triển khai các bản vá bảo mật một cách nhanh chóng, và báo cáo về các lỗ hổng đang bị khai thác. Tuy nhiên, họ sẽ không phải đối mặt với các khoản phạt và không cần phải hiển thị dấu CE để tuân thủ quy tắc của EU.

Phần mềm được phát triển hợp tác mà không có một thực thể kiểm soát duy nhất và được cung cấp bên ngoài hoạt động thương mại sẽ bị loại trừ khỏi phạm vi quy định. Đạo luật cũng làm rõ rằng các đóng góp cá nhân cho các dự án mã nguồn mở không được xem là ‘hoạt động sản xuất’. Ủy ban châu Âu được trao quyền giới thiệu luật phụ để chương trình chứng nhận bảo mật, hỗ trợ các nhà phát triển và người dùng phần mềm mã nguồn mở trong việc đánh giá sự tuân thủ với luật EU.

Về giai đoạn hỗ trợ, các nhà sản xuất có nghĩa vụ quản lý các lỗ hổng, đặc biệt là triển khai các bản vá bảo mật một cách nhanh chóng. Ban đầu, giai đoạn hỗ trợ được đặt ở tuổi thọ dự kiến của sản phẩm hoặc năm năm, tùy thuộc vào điều gì ngắn hơn. Tuy nhiên, các thỏa thuận gần đây đề xuất một giai đoạn hỗ trợ tối thiểu năm năm trừ khi việc sử dụng dự kiến của sản phẩm ngắn hơn. Giai đoạn này được xác định bởi các yếu tố khác nhau, bao gồm kỳ vọng của người dùng và so sánh thị trường. Các bản cập nhật bảo mật nên có sẵn ít nhất mười năm, và tài liệu kỹ thuật nên được truy cập trong mười năm hoặc giai đoạn hỗ trợ sản phẩm, tùy thuộc vào điều gì dài hơn.

Source: EURACTIV

Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.