Komisja Europejska otwarcie zaczęła przyznawać, iż Europa pozostaje w znacznym stopniu zależna od komponentów lub całego oprogramowania, które są rozwijane i utrzymywane poza jej jurysdykcją (patrz głównie USA). Z perspektywy cyberbezpieczeństwa oznacza to ograniczoną możliwość weryfikacji czegokolwiek, czyli brak realnego wpływu na tzw. cykl życia produktu oraz jednocześnie podwyższone ryzyko wynikające z podatności w bibliotekach i narzędziach, które stanowią fundamenty nowoczesnych systemów IT. Poza tym wydawać się może, iż open source zaczyna być traktowany nie jako alternatywa systemu własnościowego, ale jako potencjalny mechanizm odzyskania kontroli nad krytycznymi elementami infrastruktury cyfrowej.
Wcześniejsze działania UE opisywane na naszym blogu, czyli budowa katalogów OSS, programy audytów i inwestycje w infrastrukturę IT, stworzyły podstawy, które teraz doprowadziły do oficjalnej konsultacji strategicznej Komisji Europejskiej. Konsultacja stanowi kontynuację i usystematyzowanie dotychczasowych działań, ale w znacznie szerszym i bardziej politycznym wymiarze.
Publikacja wezwania Komisji Europejskiej do zgłaszania opinii w sprawie przyszłej strategii otwartego ekosystemu cyfrowego stanowi istotny sygnał zmiany podejścia Unii do systemu open source. Dokument ten nie dotyczy wyłącznie innowacyjności czy konkurencyjności rynku IT, ale odnosi się do bezpieczeństwa cyfrowego oraz w głównej mierze – do odporności łańcucha dostaw oprogramowania, które w ostatnich latach stały się jednym z kluczowych wektorów ryzyka systemowego.
Szczególne znaczenie ma wspominana kwestia łańcucha dostaw oprogramowania, która w ostatnich latach stała się jedną z głównych celów zaawansowanych kampanii ataków (ataki nie omijają także producentów rozwiązań cyberbezpieczeństwa). Incydenty takie jak kompromitacja repozytoriów, przejęcia kont deweloperów kodu, wstrzykiwanie złośliwego kodu do popularnych bibliotek czy ataki na procesy CI/CD pokazały, iż choćby powszechnie wykorzystywane komponenty open source mogą stać się skutecznym wektorem masowych infekcji. Dodatkowo transparentność kodu źródłowego, często wskazywana jako główna zaleta open source, nie eliminuje automatycznie zagrożeń, jeżeli nie towarzyszą temu procesy ciągłego audytu, kontroli integralności i aktywnego utrzymania projektów, o czym wspominałem w kontekście publikacji kodu źródłowego mObywatela.
Wezwanie Komisji identyfikuje lukę – bezpieczeństwo open source wymaga systemowego podejścia. W praktyce oznacza to konieczność odejścia od założenia, iż społeczność sama zapewni odpowiedni poziom ochrony swojego kodu.
Wiele kluczowych komponentów, wykorzystywanych masowo w administracji publicznej i sektorze prywatnym, utrzymywanych jest przez niewielkie zespoły lub pojedynczych deweloperów, często bez dostępu do profesjonalnych narzędzi bezpieczeństwa, infrastruktury testowej czy zasobów umożliwiających szybką reakcję na incydenty.
Z punktu widzenia cyberbezpieczeństwa oznacza to realne ryzyko. Brak regularnych przeglądów kodu, testów bezpieczeństwa, analizy zależności oraz mechanizmów weryfikacji integralności pakietów prowadzi do sytuacji, w której podatności odkrywane są dopiero po ich aktywnym wykorzystaniu. W ekosystemach opartych na złożonych zależnościach jedna luka w pozornie marginalnej bibliotece może mieć wpływ na tysiące systemów produkcyjnych.
Nie chodzi wyłącznie o rozwój nowych projektów open source, ale przede wszystkim o zapewnienie stabilności i bezpieczeństwa już istniejących komponentów, które pełnią rolę infrastruktury krytycznej. Z perspektywy bezpieczeństwa oznacza to konieczność finansowania długoterminowego utrzymania, audytów kodu, programów bug bounty, infrastruktury odpornej na manipulacje itd.
Istotnym wątkiem jest również relacja open source z regulacjami dotyczącymi cyberbezpieczeństwa i certyfikacji. Coraz częściej pojawia się pytanie, w jaki sposób projekty open source mają spełniać wymagania wynikające z aktów takich jak NIS2 lub przyszłe schematy certyfikacji cyberbezpieczeństwa? Bez odpowiedniego wsparcia instytucjonalnego i finansowego istnieje ryzyko, iż regulacje te nieumyślnie wykluczą część projektów open source z zastosowań w sektorach regulowanych, pogłębiając zależność od dużych, komercyjnych dostawców.
Z perspektywy branżowej warto zauważyć, iż podejście Komisji EU jest zbieżne z obserwacjami w analizach publikowanych przez nas na AVLab.pl, gdzie wielokrotnie podkreślamy, iż bezpieczeństwo systemu nie może być oceniane wyłącznie na podstawie modelu licencyjnego. najważniejsze znaczenie ma sposób utrzymania projektu, transparentność procesu rozwoju, szybkość reakcji na podatności oraz jakość zarządzania zależnościami.
Konsultacje należy więc postrzegać jako próbę wypracowania nowego modelu odpowiedzialności za bezpieczeństwo open source na poziomie europejskim. Modelu, który nie przerzuca całego ciężaru na społeczność deweloperską, ale uznaje, iż skoro otwarte komponenty są fundamentem gospodarki cyfrowej, to ich utrzymanie i zabezpieczenie staje się interesem publicznym. W przeciwnym razie Europa pozostanie w sytuacji, w której korzysta z otwartego systemu na masową skalę, nie inwestując proporcjonalnie w jego odporność i bezpieczeństwo.
Dla organizacji odpowiedzialnych za bezpieczeństwo IT, administracji publicznej oraz dostawców usług cyfrowych jest to moment, w którym warto aktywnie uczestniczyć w konsultacjach. To właśnie teraz kształtowane są ramy, które mogą zadecydować o tym, czy open source stanie się w Europie realnym filarem bezpiecznej infrastruktury cyfrowej, czy też pozostanie słabym ogniwem w coraz bardziej skomplikowanym łańcuchu dostaw oprogramowania.
Poniżej pokazujemy wybrane cytaty z trwającej konsultacji przetłumaczone na język polski:
Z zadowoleniem przyjmuję inicjatywę dotyczącą Europejskich Otwartych Ekosystemów Cyfrowych. Oprogramowanie open source jest dziś realną i dojrzałą opcją, a nie eksperymentem czy rozwiązaniem niszowym.
W innej wypowiedzi zwrócono uwagę na gotowość technologiczną istniejącej infrastruktury open source do szerszego wykorzystania w Europie, w tym w sektorze publicznym:
„Obecna infrastruktura open source znajduje się na etapie, który pozwala na rozpoczęcie szerokiego przechodzenia europejskich systemów cyfrowych na rozwiązania otwarte, bez utraty stabilności czy bezpieczeństwa.”
„Jako jeden z liderów dużego i dojrzałego projektu open source chciałbym podzielić się doświadczeniem, które pokazuje, iż największym wyzwaniem nie jest rozwój nowych funkcji, ale długoterminowe utrzymanie jakości, bezpieczeństwa i infrastruktury projektu.”
„Jeżeli Unia Europejska chce realnie wzmocnić bezpieczeństwo cyfrowe, musi traktować open source jako element łańcucha dostaw oprogramowania, który wymaga aktywnego wsparcia, audytów i długofalowego finansowania.”
Z dziesiątek głosów wynika, iż uczestnicy konsultacji w dużej mierze nie domagają się tworzenia nowych projektów, ale oczekują wsparcia dla już istniejących komponentów open source, które są masowo wykorzystywane w administracji, przemyśle i usługach cyfrowych.
