Tab Magazine

Tecnologie per assicurazioni e banche

Reitbauer (Dynatrace): “rivedere urgentemente il Cyber Resilience Act”

27 Ottobre 2023

Secondo il manager, l’attuale formulazione della misura mette a rischio l’open source, “motore dell’industria tecnologica”. Le proposte per correggere i punti deboli del testo

Alois Reitbauer
Alois Reitbauer

 

Rivedere urgentemente il Cyber Resilience Act, progetto di legge europeo approvato dal parlamento Ue lo scorso luglio per ridurre i rischi di violazioni dei dati e attacchi ai dispositivi. Lo afferma Alois Reitbauer, chief technology strategist di Dynatrace. In particolare, secondo il manager, il punto critico riguarda il modo in cui la misura considera l’open source.
“Il Cyber Resilience Act“, il cui obiettivo è “ammirevole”, punta a imporre alle aziende “obblighi legali per garantire che i prodotti e i servizi che vendono al pubblico siano sufficientemente sicuri”, dice Reitbauer. Per questo, le organizzazioni devono garantire che gli stessi prodotti soddisfino standard prestabiliti per quanto riguarda la reportistica, la documentazione, le valutazioni dei rischi e le patch di sicurezza e il monitoraggio successivi al rilascio. Chi non li rispetta rischia di essere responsabile di incidenti di sicurezza e di incorrere in sanzioni pecuniarie per la mancata conformità. Per funzionare nella pratica”, aggiunge Reitbauer, “il Cra deve estendere questo regime anche alla catena di fornitura”.

 

Punto debole

“Tutto il software che viene distribuito nell’Ue”, sottolinea Reitbauer, “deve essere autocertificato dagli sviluppatori come sicuro secondo gli standard del Cra. Ed è qui che sorge il problema principale, poiché gran parte della catena di fornitura è costituita da software open source. Si ritiene infatti che fino al 97% di tutte le applicazioni includa codice Oss. Allo stato attuale del Cyber Resilience Act, le comunità che gestiscono progetti Oss devono applicare al loro lavoro gli stessi standard di sicurezza delle aziende che vendono soluzioni commerciali. E, cosa preoccupante, potrebbero essere legalmente responsabili per qualsiasi incidente di sicurezza a valle che si verifichi a causa di problemi con il loro codice”.
Le comunità open source, prosegue Reitbauer, “non sono commerciali e nascono da contributi volontari. Per questo motivo, poche hanno le risorse per garantire che il loro codice sia idoneo a essere autocertificato secondo il Cra. Ciò comporta il rischio che i contributori e le comunità Oss europee cessino di operare o siano soggetti ad azioni legali che non hanno le risorse finanziarie per affrontare. Poiché il software open source è il motore dell’industria tecnologica in generale, questo potrebbe infliggere un duro colpo all’intero ecosistema tecnologico europeo”.

 

Le soluzioni possibili

Una soluzione a questo problema potrebbe partire dal riconoscimento della specificità dell’open source. “La fonte del problema”, spiega Reitbauer, “è che, nella sua attuale bozza il Cra tratta l’Oss come se fosse intercambiabile con le alternative commerciali. Questo non riflette la realtà sul campo: l’open source, libero di essere utilizzato, è raramente offerto come una soluzione completa. E’ semplicemente un elemento o un componente di un’offerta più ampia. Il Cra dovrebbe quindi trattare il codice Oss come un bene pubblico, come l’aria pulita o le bande radio. Invece di controllare i progetti e le comunità open source, il Cyber Resilience Act dovrebbe attribuire la responsabilità della sicurezza ai soggetti commerciali che utilizzano questo codice nei prodotti e nei servizi che forniscono ai loro clienti. In questo modo”, afferma il chief technology strategist di Dynatrace, “le entità commerciali hanno la responsabilità di garantire la comprensione dei rischi. E di rafforzare la sicurezza dei prodotti che rilasciano”.
A questo fine, prosegue il manager, “le organizzazioni devono dimostrare di avere tre capacità fondamentali per mantenere sicuri i propri componenti Oss”.

 

Tre capacità

La prima è l’analisi delle fragilità a runtime: “monitoraggio continuo per rilevare eventuali vulnerabilità in un prodotto e nei suoi componenti non appena vengono introdotte, sia nel codice personalizzato, sia in quello open source. I team di sicurezza e di sviluppo”, dice Reitbauer, “devono essere in grado di comprendere immediatamente l’impatto potenziale di qualsiasi vulnerabilità rilevata e di avere la visione necessaria per risolverla rapidamente, prima che l’integrità delle applicazioni e dei dati sia compromessa”.
Seconda operazione, l’hardening delle applicazioni. Vale a dire la “verifica dei prodotti per l’esposizione alle principali minacce alla sicurezza che mirano alle vulnerabilità critiche, come le command e Sql injection, utilizzando elenchi di minacce di riferimento nel settore, come l’Open Worldwide Application Security Project. Le organizzazioni devono inoltre essere in grado di rilevare l’esecuzione di questi attacchi e bloccarli prima che possano causare danni”.
Infine, l’automazione della sicurezza. E cioè, dice il chief technology strategist di Dynatrace, “stabilire flussi di lavoro automatizzati per rilevare, rimediare e risolvere incidenti o vulnerabilità, nei componenti open source e non solo. Questo”, precisa Reitbauer” contribuisce ad accelerare i tempi di risoluzione. E a ridurre l’esposizione di prodotti e servizi a vulnerabilità critiche”.

 

Da ostacolo a motore di crescita

“Se questi standard venissero inclusi nel Cyber Resilience Act”, rilancia Reitbauer, la misura potrebbe trasformarsi in “vantaggio significativo per lo sviluppo dell’open source. Anziché scoraggiarne la partecipazione all’Oss”, spiega infatti il manager di Dynatrace, “l’applicazione del Cra all’uso responsabile dell’open source può spingere le organizzazioni a investire nella mappatura, nel riconoscimento e nella protezione dei componenti Oss che utilizzano nei loro prodotti. Questo aumento degli investimenti commerciali”, conclude Reitbauer, “si ripercuoterebbe inevitabilmente sul più ampio ecosistema Oss e, in ultima analisi, significherebbe maggiori risorse complessive dedicate alla manutenzione e all’aggiornamento dei progetti. I benefici di questa situazione potrebbero essere enormi, aumentando drasticamente il ritmo dell’innovazione del software in tutta l’Ue. Soprattutto, questi requisiti garantirebbero un ecosistema open source più sicuro in Europa e non solo. Ciò significa una migliore realizzazione dell’obiettivo primario del Cyber Resilience Act: prodotti e servizi tecnologici più sicuri per i cittadini europei”.

Show Buttons
Hide Buttons