این قانون از نظر حقوقی نرمافزار منبعباز را بازتعریف کرده است.
به گزارش گرداب، مسأله زنجیره تأمین نرمافزاری یکی از چالشهای کلیدی در حوزه امنیت سایبری به شمار میرود. نرمافزارها از اجزای بسیاری شکل میگیرند که بسیاری از آنها نه توسط طراحان نهایی نرمافزارها بلکه توسط هزاران توسعهدهنده و برنامهنویس مختلف در نقاط مختلف جهان پیادهسازی شده است.
در حقیقت هر نرمافزار از چندین و چند جزءِ از پیش آماده بهره میبرد که بخش بزرگی از آنها کدهای منبعباز هستند که از سوی برنامهنویسان به صورت رایگان برای استفاده عمومی منتشر میشوند. از همین رو برنامهها و کتابخانههای منبعباز از مهمترین اجزای زنجیره تأمین نرمافزار به شمار میروند و در حفظ و ارتقای ایمنی سایبری حائز اهمیت هستند.
قانون تابآوری سایبری اتحادیه اروپا (CRA) یکی از آخرین تلاشهای بینالمللی برای ارتقای امنیت سایبری به شمار میرود. این قانون که بر حفظ و ارتقای ایمنی تجهیزات شبکهمحور و ابزارهای متصل به اینترنت نظیر اینترنت اشیا متمرکز است به عنوان یکی از تلاشهای پیشرو در زمینه قانونگذاری توجهات بسیاری از کارشناسان را به خود جلب کرده است. این قانون که هماکنون در شرف نهایی شدن قرار دارد در خود مسئولیتهای جدیدی را متوجه توسعهدهندگان نرمافزارهای منبعباز میکند.
پایگاه Security Intelligence در مقالهای به بررسی تأثیرات قانون تابآوری سایبری بر توسعه کدهای منبعباز میپردازد.
«پایگاه رسانهای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزههای مختلف فناوری اقدام میکند. انتشار مطالب به معنای تایید محتوای آن نیست».
با پیچیدهتر شدن چشمانداز تهدیدات، ما خود را در تقاطعی مییابیم که قانون، فناوری و جامعه با هم همگرا میشوند. در چنین شرایطی تابآوری سایبری بسیار مهمتر از همیشه است. تابآوری سایبری اساساً به معنای حفظ یک وضعیت امنیتی قوی علیرغم رویدادهای نامطلوب سایبری و توانایی پیشبینی، مقاومت، بازیابی و سازگاری با چنین حوادثی است.
قوانین جدید حفظ حریم خصوصی و حفاظت از دادهها مانند مقررات حفاظت از دادهها در اروپا (GDPR)، قانون HIPAA در آمریکا و قانون حریم خصوصی مصرفکنندگان در کالیفرنیا (CCPA) بیش از پیش ارائه میشوند. بااینحال آیا میدانستید که قوانین جدیدی وجود دارد که به طور خاص به تابآوری سایبری میپردازد؟
اصلاحیه اخیر اتحادیه اروپا برای قانون تابآوری سایبری (Cyber Resilience Act) موجهایی را در دنیای فناوری ایجاد کرده است. این قانون در سپتامبر ۲۰۲۲ پیشنهاد شد و با یک اصلاحیه بحثبرانگیز در دسامبر ۲۰۲۳ به توافق سیاسی دست یافت. هدف این قانون تقویت امنیت سایبری در سراسر اتحادیه اروپا است، اما با تعریف مجدد ماهیت نرمافزار منبعباز (Open-source) تغییر مسیر غیرمنتظرهای را به وجود آورده است.
این اصلاحیه نرمافزار منبعباز را دوباره تعریف میکند که میتواند نشانگر یک تغییر پارادایمی بالقوه در نحوه توسعه، اشتراکگذاری و درک نرمافزار منبعباز در حوزه دیجیتال اروپا باشد.
واکنشهای صنعت فناوری به این مسأله یک ترکیب ناخوشایند از خوشبینی محتاطانه و بوده بررسیهای دقیق است. این نوع واکنش منعکس کننده پیامدهای متنوع برای توسعهدهندگان منبعباز و اکوسیستم جامع نرمافزاری است.
با کاوش در لایههای آخرین اصلاحیه قانون تابآوری سایبری میتوانیم بر تأثیر آن بر جامعه منبعباز، بررسی واکنش صنعت و مسیر پیشِ روی نرمافزار منبعباز در هزارتوی این قانون تمرکز کنیم.
اصلاحیه و پیامدهای آن
قانون تابآوری سایبری اخیراً دستخوش اصلاحات قابل توجهی شده است، به ویژه در مورد تعریف و مدیریت نرمافزارهای منبعباز. در این اصلاحیه آمده است: «نرمافزار رایگان و منبعباز به نرمافزاری اطلاق میشود که کد منبع آن بهطور آشکار به اشتراک گذاشته میشود و مجوز آن همه حقوق را برای دسترسی آزادانه، قابل استفاده، قابل تغییر و توزیع مجدد آن فراهم میکند.»
این تعریف مجدد بحثی را در جامعه فناوری به راه انداخته است و سؤالاتی را در مورد همسویی آن با درک سنتی منبعباز ایجاد کرده است.
مجموعه واکنشهای متضاد صنعت
واکنشهای صنعت فناوری به این اصلاحیه متفاوت بوده است. از یک سو سازمانهایی مانند بنیاد نرمافزار پایتون ابراز همدلی کردهاند. متن نهایی قانون تابآوری سایبری مفهوم همیار منبعباز (Open-source Steward) را معرفی میکند که به نظر میرسد ماهیت منحصر به فرد توسعه نرمافزارهای منبعباز را تصدیق میکند. از سوی دیگر، هنوز نگرانی قابل توجهی در مورد پیامدهای گسترده این تعریف مجدد و نحوه همسویی آن با واقعیتهای توسعه منبعباز وجود دارد.
تأثیر بر توسعهدهندگان منبعباز
برای توسعهدهندگان منبعباز اصلاحات قانون تابآوری سایبری میتواند به معنای حرکت در چشمانداز جدیدی از مسئولیتها و تعاریف قانونی باشد. این عمل بخش قابل توجهی از مسئولیتهای امنیتی را به دوش توسعهدهندگان نرمافزار منتقل میکند که میتواند برای اعضای جامعه منبعباز چالشبرانگیز باشد. مفهوم «همیار منبعباز» در قوانین اروپا جدید بوده و پیامدهای عملی آن هنوز در هالهای از ابهام است.
سیر تغییرات مربوط به منبعباز در قانون تابآوری سایبری
مسأله نرمافزارهای منبعباز در نسخههای مختلف قانون تابآوری سایبری مسیر نسبتاً پیچیدهای را گذرانده است. در ابتدا نگرانی در مورد مسئولیتهای قانونی بالقوهای وجود داشت که میتوانست بر توسعهدهندگان منبعباز تحمیل شود، به ویژه از نظر مسائل امنیتی در محصولاتی که با استفاده از اجزای منبعباز ساخته شدهاند.
به نظر میرسد متن نهایی قانون تابآوری سایبری برخی از این نگرانیها را با معافیت مشارکت کنندگان غیرانتفاعی منبعباز از برخی تعهدات مشروط بر اینکه در «فعالیت تجاری» شرکت نکنند برطرف کرده است، اما این معافیت به خصوص در مورد تعریف فعالیت تجاری ابهامات خاص خود را دارد.
گامهای رو به جلو
آخرین اصلاحیه قانون تابآوری سایبری نشان دهنده گام مهمی در شناخت ماهیت منحصر به فرد نرمافزار منبعباز در قوانین اروپا است. بااینحال جامعه منبعباز محتاط است. بازتعریف نرمافزار منبعباز در قانون تابآوری سایبری و معرفی مفهوم «همیار منبعباز» نیاز به بررسی دقیق دارد تا اطمینان حاصل شود که آنها با اهداف و کاربردهای توسعه منبعباز مطابقت دارند. همزمان با روند نهایی شدن این قانون، نظرات جامعه منبعباز در شکل دادن به آن بسیار مهم خواهد بود.