Frykter nye lover om åpen kildekode: - Kommer til å bli smertefullt

- Det er tusenvis av mange små prosjekter. Hver av dem vil trenge støtte til å håndtere den nye situasjonen.

Hans-Petter Fjeld og Salve J. Nilsen er spent på nye EU-lover. 📸: Privat
Hans-Petter Fjeld og Salve J. Nilsen er spent på nye EU-lover. 📸: Privat Vis mer

Fri programvare og åpen kildekode er en grunnstein i dagens IT-økosystem. Samtidig har det blitt pekt på store sikkerhetsproblemer. Som kode24 tidlige har skrevet fant en undersøkelse sårbarheter i 84 prosent av all åpen kildekode.

Dette ønsker EU å gjøre noe med, og har en rekke lover under arbeid for å regulere økosystemet. Blant annet The Cyber Resiliency Act (CRA), the Digital Markets Act (DMA) og the NIS2 Directive.

Vil åpen kildekode overleve de nye reguleringene? Det er spørsmålet på et arrangement i Oslo på lørdag, arrangert av ISOC Norge, stiller.

kode24 har pratet med flere av paneldeltakerne. De mener at lovene i verste fall kan legge for mye ansvar på den enkelte utvikleren.

«Å håndtere disse kravene på frivillig basis kommer til å bli smertefullt.»

Vil få bukt med sikkerhetsproblemer

Ifølge Salve J. Nilsen er en av motivasjonene bak lovene å få bukt med noen av de store sikkerhetsutfordringene, slik som log4j, som har dukket opp de siste årene.

Dette ønsker EU-politikerne å gjøre ved å blant annet stille flere krav til bedrifter som benytter seg av nettbaserte komponenter eller støtteprogramvare. Ett av dem er å få full oversikt over de ulike avhengighetene og knytte dette opp mot et varslingsregime.

- Blant annet handler dette om institusjoner som leverer programvare til samfunnskritiske løsninger som plasseres ut i samfunnet. Så viser elefanten i rommet seg: Nesten uavhengig av hva som produseres, så bruker man åpen kildekode og fri programvare som en del av stacken, i rundt 90 prosent av all programvare, sier Nilsen.

Kan bli sittende med ansvaret

Nilsen sier at et stort spørsmål er til hvilken grad friprog-prosjekter skal stå til ansvar for eventuelle sikkerhetsbrudd og risikere bøter.

- Min forståelse er at EU-lovmakerne ikke er interesserte i å kvele friprog-miljøene. Men de virker å ha operert med en antakelse om at vi bare har kommersiell eller ikke-kommersiell åpen kildekode. Realiteten er at det er en mye mer flytende grense, sier han.

En konsekvens kan nemlig bli at personer bak mindre prosjekter uten særlig store ressurser kan bli sittende med et for stort ansvar, som de ikke har kapasiteten til å håndtere.

- Det er tusenvis av mange små individuelle prosjekter. Hver av dem vil trenge støtte til å håndtere den nye situasjonen.

Kommer til å bli smertefullt

Nilsen peker på at dagens IT-bransje i stor grad bygger på et gratis åpen kildekode-system i bunnen.

- De bygger på en infrastruktur som har vært fritt tilgjengelig. Men nå får dette økosystemet et nytt indirekte press på seg som en følge av at titusenvis av nye bedrifter kan komme til å få et cybersikkerhets-krav fra lovmakerne. Å håndtere disse kravene på frivillig basis kommer til å bli smertefullt, sier han.

Ifølge Nilsen er mye av frivilligheten basert på at friprog-utviklere synes det de gjør er interessant, altså en intern motivasjon.

- Men intern motivasjon viser seg å ikke nødvendigvis fungere så bra hvis det er kjedelig. Når man legger på dette med sikkerhetskrav og så videre, havner det i samme kategori som administrativt arbeid som åpen kildekode-folk vil slippe unna, sier han.

En løsning, mener Nilsen, er at bedrifter begynner å involvere seg mer aktivt i Open Source miljøene de er avhengig av, enten finansielt eller med sin kompetanse.

Ett skritt i riktig retning

Hans-Petter Fjeld, sikkerhetsanalytiker i Defendable, sier at loven overordnet er ett skritt i riktig retning.

- Sånn vi lever nå kan man trykke på en knapp: "Jeg aksepterer dårlig kvalitet", også skal det da liksom være greit. Tjenestene og leveransene er ofte nå så viktige for de fysiske og faktiske livene våre at vi må slutte med det, sier han.

Fjeld forteller at han som sikkerhetsanalytiker ofte håndterer datasikkerhetshendelser som ikke skyldes dyktige kriminelle, men heller dårlig håndverk.

- Mye av dette er ikke fagfolkene sin skyld, det er at det ikke gis prioritet.

Kan by på utfordringer

Også Hans-Petter Fjeld mener at loven gir inntrykk av at virkeligheten er enklere enn det den faktisk er.

- Det er ikke alle som lager programvare som gjør det for å selge den.

Det er heller ikke alle som lager programvare som er åpen med identiteten sin.

- Programvaren er likevel god nok kvalitet og blir stolt på og benyttet. Så plutselig stilles det krav til disse utviklerne. Det kan kraftig dempe enkeltes vilje til å publisere kode, sier han.

Potensiale for utilsiktet skade

Simon Phipps, "Standards & EU Policy Director" hos Open Source Initiative, forteller at han har snakket med forfatterne av Cyber Resilience Act.

- Hensikten er definitivt ikke å skade åpen kildekode. Det er imidlertid to problemer: For det første er lovgivernes kjennskap til de faktiske samfunnene som lager åpen kildekode-programvare i stor grad anekdotisk og filtreres ofte gjennom lobbyister for multinasjonale selskaper, sier han.

Phipps legger til at ettersom åpen kildekode-miljøet ikke ble konsultert, er både terminologien og det konseptuelle rammeverket rundt åpen kildekode feil.

- Som et resultat er det mange steder hvor det er potensiale for utilsiktet skade.

Kan virke nedkjølende

Ifølge Phipps er åpen kildekode-felleskapet selv veldig følsomt for potensielle juridiske problemer.

- Det som i stor grad fikk åpen kildekode til å lykkes var OSI-lisensgodkjenningsprosessen som ga utviklere tilstrekkelig tillit til at de ikke trengte å be om ytterligere tillatelse fra noen for å bruke kode under OSI-godkjente lisenser.

Phipps legger til at vaghet og usikkerhet om anvendeligheten av lovgivning som skaper juridisk ansvar - spesielt hvis den eneste løsningen er gjennom rettslige prosesser og profesjonell rådgivning - kan fungere nedkjølende på åpen kildekode-felleskapet.