2026-04-25 –, U120 Language: Slovak
O Cybersecurity Resilience Act (CRA) sa toho už napísalo a povedalo veľa, ale skúsenosti ukazujú, že stále nie dosť. CRA zásadne zmení prax v prístupe k bezpečnosti software. Z toho, čo bývalo "best practices" sa v podstate stáva zákonné minimum.
CRA je veľmi široká téma a v tejto prednáške sa budem viac venovať interakcii embedded zariadení a open-source software (OSS). OSS má v CRA špecifické postavenie. Európska Komisia pochopila, že požadovať po ľuďoch, ktorí tvoria software vo svojom voľnom čase a bez nároku na honorár pod hrozbou sankcií by znamenalo de-facto likvidáciu open-source v Európe.
To vedie k zaujímavej situácii v embedded odvetví, ktoré je do značnej miery na open-source komponentoch postavené. Zároveň embedded software dlhodobo figuruje na vysokých priečkach rebríčkov v počte a dopade bezpečnostných zraniteľností. Zastaralé procesy, komplikované aktualizácie firmware a špecifické postavenie open-source budu pre toto odvetvie výzvou.
Táto prednáška začne od základov, pretože aj dnes, menej než dva roky do nástupu účinnosti tejto normy sa nájde niekto, kto o nej ešte nepočul. Povieme si, čo CRA je a čo nie je. Čo je jej cieľom a ako sa k tomu postaviť.
Vďaka mixu komerčného a nekomerčného charakteru OSS neexistuje jedno univerzálne pravidlo podľa ktorého sa k OSS bude pristupovať. To má vplyv na to, čo možno od open-source projektov v kontexte CRA legitímne očakávať. Zároveň je ale reálne zlepšenie bezpečnosti prioritou CRA, takže používateľom open-source komponentov vznikajú povinnosti, ktoré pri komerčných projektoch neexistujú.
Upgradovať firmware nie je tak triviálne ako aktualizovať software v bežnom počítači, to však neudeľuje embedded zariadeniam v CRA výnimku. Veľa zariadení zároveň považovalo bezpečnosť za druhoradu (ak vôbec) prioritu. To sa v decembri 2027 zásadne zmení. Pozrieme sa teda aj na to, čo bude CRA znamenať pre embedded zariadenia v praktickej rovine, ako v dôsledku použitia open-source komponentov tak v rovine zmeny best practices.
V závere prednášky sa ešte dotknem možností, ktoré pre open-source vďaka CRA vzniknú. Aj keď CRA v podstate open-source "necháva na pokoji", ochota k spolupráci môže byť pre open-source projekty prospešná a môže dokonca zabezpečiť financovanie týchto projektov, čo je dlhodobý problém s ktorým OSS komunita bojuje.
Vývojar so skoro dvadsaťročnými skúsenosťami v rôznych odvetviach od hard-embedded a automotive až po desktopový a serverový vývoj.
Vždy som bol zvedavý ako fungujú jednotlivé časti, ktoré tvoria stavebné bloky technológii s ktorými som pracoval. Neskor, keď som zmenil odvetvie v ktorom som pracoval, ma tá istá zvedavosť hnala k jednoduchej otázke: Sú koncepty, ktoré poznám použiteľné aj v inom kontexte než v tom, v ktorom som ich spoznal? Vieme podobné výzvy riešiť podobným prístupom aj keď podmienky sú úplne iné?
Po životnej zmene vo forme prechodu na freelancing som spustil svoj súkromný hobby projekt real-timoveho operačného systému, ktorý robí presne to: prináša niektoré koncepty z desktopových operačných systémov až na úroveň low-power embedded vývoja. Cieľom tohto projektu je zásadne zlepšiť kybernetickú bezpečnosť embedded systémov. To ma priviedlo k Cybersecurity Resilience Act, keďže sa môjho projektu bytostne dotýka.