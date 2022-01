Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo vnitra chystají bezpečnostní doporučení k tomu, když se stát rozhodne zveřejnit vyvíjený software jako open source pro bezplatné využití ostatními zájemci.

Na GitHubu lze najít rozpracovanou verzi dokumentu. Ta je připravena k připomínkám veřejné správy, dodavatelů softwaru pro veřejnou správu a odborné veřejnosti. Návrhy na změny a doplnění lze podávat přímo na GitHubu, nejpozději do konce ledna tohoto roku. Finální verze doporučení má vyjít letos v březnu.

“Tento dokument je určen vývojářům a osobám zabývajícím se kybernetickou bezpečnostní ve veřejné správě nebo společnostem dodávajícím veřejné správně software. Všechna doporučení jsou nezávazná a je na organizaci, které z nich a v jaké míře bude u svých projektů využívat,” informuje NÚKIB. Doporučení také nenahrazuje požadavky zákona o kybernetické bezpečnosti.

Bude zajímavé sledovat, zda dokument bude stát více motivovat k vydávání jeho aplikací pod licencí open source. Prozatím to není tolik běžné. Pokusili se o to například v Nemocnici Na Bulovce. Problémy kolem toho ilustruje náš rozhovor.

Existují ale příklady, že něco takového jde. Na Lupě jsme zveřejnili právní analýzu určenou představenstvu městské pražské IT firmy Operátor ICT. Ta zároveň jako open source vydala datovou platformu Golemio. Open source také začala publikovat Praha 3. Motivace v rozhovoru popsal místostarosta této městské části Štěpán Štrébl.

NÚKIB problematiku dále komentuje takto:

Software s otevřeným kódem přináší určité bezpečností výhody. Hůře se v něm skrývají záměrné „zadní vrátka“, kód může procházet více bezpečnostních analytiků, a tak odhalit i méně zjevné zranitelnosti a taktéž obvykle tvůrci otevřeného kódu si dávají více záležet na jeho kvalitě z důvodu možného reputačního rizika.

Na druhou stranu ale je kód otevřen i případným útočníkům a to zjednodušuje jejich práci. Například u serverové aplikace si můžou ještě před zneužitím přesně ověřit, zda je zranitelnost zneužitelná a jak ji zneužít s co nejmenší pozorností monitorovacích nástrojů.

Proto, pokud se organizace rozhodne zveřejnit zdrojový kód, měla by si zvážit možné přínosy a taktéž rizika z toho plynoucí. Pro snížení možných rizik slouží taktéž toto bezpečnostní doporučení. Jeho cílem je snížit množství potenciálních zranitelností („secure by design“) a v případě, že se v kódu nějaká zranitelnost objeví, tak aby byla co nejdříve opravena.