Ystävä vai vihollinen? Joka tapauksessa Cyber ​​Resilience Act on tulossa

Euroopan komissiolla on teknologiamyyjiä ja -myyjiä näköpiirissä. Kuluttajat ja yritykset ovat vaivanneet huonosti suunniteltujen, suunniteltujen ja huollettujen ohjelmistojen ja laitteistojen vuoksi liian pitkään. Se väittää, että tietoverkkorikollisuuden talous on ensisijainen hyötyjä näistä puutteista, joiden arvo komission mukaan vuonna 5.5 oli 4.7 biljoonaa euroa (2021 triljoonaa puntaa). Haasteen laajuus on valtava. Uusien ohjelmistohaavoittuvuuksien määrä Yhdysvaltain hallitus raportoi Vuonna 2022 se kasvoi neljänneksellä vuodessa 25,096 XNUMX:een – jälleen ennätyskorkeaksi.

EU:n vastaus on Cyber ​​Resilience Act (CRA). Vaikka se on vielä viimeistelyssä, jotkut ovat väittäneet, että sen määräykset uhkaavat avoimen lähdekoodin yhteisöä ja voivat jopa tehdä digitaalisesta maailmasta vähemmän turvallista.

Mitä CRA:ssa on?

Luottoluokituslaitos pyrkii suojelemaan kuluttajia ja yrityksiä, jotka ostavat "digitaalisella komponentilla" varustettuja tuotteita. Se pyrkii käsittelemään kaksi keskeistä haastetta:

• Moniin tuotteisiin, mukaan lukien ohjelmistoihin ja liitettyihin laitteisiin, kuten älykkäisiin itkuhälyttimiin, sisäänrakennetut huonot kyberturvallisuustoimenpiteet ja/tai riittämättömät päivitykset ohjelmistoihin ja laitteisiin
• Alan laajuisen leijamerkin puuttuminen, joka voisi auttaa teknologian ostajia ymmärtämään paremmin, mitkä tuotteet ovat turvallisia ja kuinka ne voidaan asentaa turvallisesti

Tätä silmällä pitäen CRA:n tavoitteet että:

• Harmonisoi digitaalisia tuotteita kehittävien/myyvien valmistajien ja jälleenmyyjien säännöt koko blokissa
• Luettele tiukat kyberturvallisuusvaatimukset, jotka "sääntelevät näiden tuotteiden suunnittelua, suunnittelua, kehitystä ja ylläpitoa"
• Velvollinen asiaankuuluvia valmistajia/jälleenmyyjiä huolehtimaan digitaalisten tuotteiden koko elinkaaren ajan
• Otetaan käyttöön uusi CE-merkki, joka osoittaa, että tuotteet ovat CRA-yhteensopivia, mikä kannustaa valmistajia ja jälleenmyyjiä priorisoimaan tietoturvaa ja antaa IT-ostajien mahdollisuuden tehdä tietoisempia päätöksiä

Mitä kattaa ja mitä vaaditaan?

Kun se seisoo, lainsäädännön mukaisesti "koskee kaikkia tuotteita, jotka on kytketty suoraan tai epäsuorasti toiseen laitteeseen tai verkkoon, lukuun ottamatta tiettyjä poikkeuksia, kuten avoimen lähdekoodin ohjelmistoja tai palveluita, jotka jo kuuluvat nykyisten sääntöjen piiriin, mikä koskee lääkinnällisiä laitteita, lentoliikennettä ja autoja."

Nämä tuotteet on jaettu kolmeen luokkaan:

Oletus: Matalariskiset tuotteet, kuten älylelut ja jääkaapit, videopelit ja muut yleisesti käytetyt ohjelmistot ja laitteet, jotka komission mukaan kattavat 90 % markkinoista. Yritysten on suoritettava itsearviointi varmistaakseen, että tuote täyttää asiaankuuluvat turvallisuusstandardit.

Luokka I: Korkean riskin tuotteet, mukaan lukien identiteetin ja pääsyn hallinta ohjelmisto; selaimet; salasanojen hallintalaitteet; haittaohjelmien tunnistustyökalut; VPN:iä käyttävät tuotteet; verkonhallinnan konfigurointi-, seuranta- ja resurssienhallintatyökalut; tietoturvatieto- ja tapahtumahallintajärjestelmät (SIEM); korjaustiedoston hallintatyökalut; mobiililaitteiden ja sovellusten hallintaohjelmistot; etäkäyttöohjelmistot; mikro-ohjaimet; käyttöjärjestelmät; palomuurit; reitittimet ja modeemit; teollisuuden valvontalaitteet; ja mikä tahansa teollinen IoT, joka ei kuulu luokkaan II.

Luokka II: Jopa korkeamman riskin tuotteet kuin luokka I. Sisältää joitain käyttöjärjestelmiä; palomuurit; mikro-ohjaimet; teolliset reitittimet ja modeemit; kytkimet; älykortit ja lukijat; turvalliset elementit; laitteiston suojausmoduulit; älykkäät mittarit; tunkeutumisen havaitseminen; robotin tunnistus- ja toimilaitteiden komponentit; ja IIoT-laitteet, joita NIS 2:ssa kuvatut entiteetit käyttävät.

Jos samat tuotetyypit on lueteltu luokissa I ja II, oikea taso määräytyy riskitekijöiden mukaan, kuten toimiiko tuote herkissä NIS 2 -ympäristöissä, toimiiko se etuoikeutetulla käyttöoikeudella, käytetäänkö sitä henkilötietojen käsittelyyn, sisältääkö tuote haavoittuvuuden. jotka voivat vaikuttaa "moniin" ihmisiin; tai onko se jo aiheuttanut haittavaikutuksia.

Liitteessä I kuvataan digitaalisten tuotteiden valmistajien turvallisuusvaatimukset. Niiden pitäisi:

• Suunniteltu, kehitetty ja valmistettu varmistamaan "asianmukainen" turvallisuustaso
• Toimitetaan ilman tunnettuja hyödynnettävissä olevia haavoittuvuuksia
• Toimitetaan oletussuojattuina
• Varmista suojaus luvattomalta käytöltä
• Suojaa henkilötietojen ja muiden tietojen luottamuksellisuus ja koskemattomuus
• Käsittele vain vähimmäismäärä tarvittavaa dataa
• Suojaa olennaisten toimintojen saatavuus, kuten DDoS-hyökkäyksiltä
• Suunniteltu, kehitetty ja valmistettu rajoittamaan hyökkäyspintoja ja vähentämään vaaratilanteiden vaikutuksia
• Seuraa sisäistä toimintaa tarjotaksesi asiaankuuluvia turvallisuuteen liittyviä tietoja

Liite I sisältää myös pitkän luettelon haavoittuvuuksien käsittelyn vaatimuksista, mukaan lukien se, että valmistajat dokumentoivat ja korjaavat haavoittuvuudet viipymättä, testaavat säännöllisesti tuotteen turvallisuutta ja julkistavat tiedot korjaamistaan ​​virheistä. CRA vaatii myös kehittäjiä panemaan täytäntöön haavoittuvuuksien paljastamiskäytännöt, jakamaan tietoja virheistä, tarjoamaan tavan jakaa tietoturvapäivityksiä ja tekemään sen viipymättä ja maksutta.

Raportointi- ja vaatimustenmukaisuusvaatimukset

Vaikka oletusluokan valmistajat voivat tehokkaasti itse arvioida, onko tuote valmis markkinoille, luokkaan I kuuluvien valmistajien on suoritettava kolmannen osapuolen vaatimustenmukaisuusarviointi tai sovellettava yhdenmukaistettuja standardeja. Vaihtoehtoisesti he voisivat soveltaa tuotteisiinsa eurooppalaisia ​​kyberturvallisuussertifiointijärjestelmiä. Luokkaan II kuuluvien on läpäistävä kolmannen osapuolen vaatimustenmukaisuusarviointi.

CRA vaatii myös valmistajia ilmoittamaan turvallisuusvirastolle ENISAlle 24 tunnin kuluessa siitä, kun he ovat saaneet tietoonsa aktiivisesti hyödynnetystä haavoittuvuudesta tai tietoturvahäiriöstä. Maahantuojien ja jakelijoiden on samoin viipymättä ilmoitettava valmistajille kaikista uusista virheistä ja mahdollisesti kansallisille markkinavalvontaviranomaisille vakavista riskeistä.

Voisiko ISMS auttaa valmistajia?

Kun noudattamatta jättämisestä määrätään seuraamuksia 15 miljoonaksi euroksi tai 2.5 prosenttiin vuotuisesta liikevaihdosta, kaikkien soveltamisalaan kuuluvien organisaatioiden on harkittava, kuinka ne sopeutuvat uuteen järjestelmään. Hunton Andrews Kurthin kumppani David Dumont kertoo ISMS.online että joidenkin alojen organisaatiot, kuten IoT-lääketieteellisten laitteiden valmistajat, voivat jo saada etumatkaa olemassa olevien sääntelyvaatimusten vuoksi. Hänen kumppaninsa asianajotoimistossa Sarah Pearce lisää, että organisaatiot noudattavat täysin GDPR, joka edellyttää "vankkaa turvavalvontaa ja niihin liittyviä käytäntöjä ja menettelyjä", CRA:n noudattamisen pitäisi olla "saavutettavissa rajoitetulla säädöllä".

Kaikki ei kuitenkaan välttämättä ole pelkkää purjehdusta.

"Digitaalisten tuotteiden käyttöönoton ja EU:n markkinoilla pitämisen tiukkojen ehtojen noudattaminen voi aiheuttaa lisäkustannuksia", Dumont varoittaa. "Kaikki tällaiset lisäkustannukset voivat vaikeuttaa pienten ja keskisuurten yritysten kilpailua digitaalisilla markkinoilla ja haitata teknologista kehitystä."

Tässä on Tietoturvan hallintajärjestelmä (ISMS) voisi auttaa tukemalla ISO 27001 -standardin noudattamista ja Pearcen mainitsemia vankkoja GDPR-valtuutettuja valvontatoimia, käytäntöjä ja menettelyjä.

"Nykyisten eurooppalaisten ja kansainvälisten kyberturvallisuusstandardien, kuten ISO 27001, ja joidenkin luottoluokituslaitoksen keskeisten kyberturvallisuusvaatimusten välillä on päällekkäisyyttä", Dumont selittää. "Yritykset, jotka noudattavat tällaisia ​​olemassa olevia standardeja, voivat hyödyntää tätä käsitellessään luottoluokituslaitosten noudattamista."

Mitkä ovat mahdolliset ongelmat?

Jotkut ovat suhtautuneet myönteisesti komission pyrkimykseen parantaa perusturvallisuutta ja avoimuutta teknisten tuotteiden välillä. Veracode EMEA:n teknologiajohtaja John Smith kuvailee sitä "maamerkkisäädökseksi".

"Se ei ainoastaan ​​tuo lisää läpinäkyvyyttä alueelle, joka on usein läpinäkymätön, vaan myös rohkaisee ohjelmistotoimittajia, valmistajia ja jälleenmyyjiä lisäämään myymiensä tuotteiden kyberturvallisuutta sekä auttaa ostajia valitsemaan helposti kestäviä tuotteita", hän lisää. "Toivottavasti tämä kannustaa organisaatioita ylittämään pakolliset vaatimukset ja nostamaan turvallisuuden korkeammalle asialistalle."

Toisilla on kuitenkin vakavia huolia. Voittoa tavoittelematon oikeusryhmä Electronic Frontier Foundation korostaa kahta mahdollisesti vakavaa seurausta, jos luottoluokituslaitos hyväksytään nykyisessä muodossaan:

Avoin lähdekoodi: Jokainen avoimen lähdekoodin kehittäjä, joka pyytää lahjoituksia tai veloittaa ohjelmistonsa tukipalveluista, on vastuussa vahingoista, jos heidän "tuotteensa" sisältää virheen, joka pääsee muihin tuotteisiin. Ottaen huomioon avoimen lähdekoodin monimutkainen, toisiinsa yhdistetty luonne ohjelmistojen toimitusketju, tällä voi olla jäähdyttävä vaikutus alaan ja se voi pakottaa kehittäjät jättämään alueen kokonaan.

Haavoittuvuuden paljastaminen: Ensinnäkin erittäin lyhyt (24 tunnin) aikakehys uusien haavoittuvuuksien ilmoittamiselle ENISAlle voisi kannustaa tekemään nopeita mutta "matalia" korjauksia, jotka eivät ratkaise ongelmien perimmäistä syytä. Toiseksi ENISA raportoi myöhemmin jäsenvaltioiden Computer Security Incident Response Teamille (CSIRT) ja markkinavalvontaviranomaisille. EFF on huolissaan siitä, että hallituksen hakkerit voisivat hyödyntää näitä haavoittuvuustietoja ja/tai vuotaa tietoverkkorikollisyhteisölle.

Valitettavasti näyttää siltä, ​​että lainsäätäjät eivät ottaisi huomioon näitä huolenaiheita.

"Kyberhyökkäykset ovat kiistatta lisääntyneet viime vuosina, ja niillä on valtavia taloudellisia ja yhteiskunnallisia vaikutuksia, joten hallituksen väliintulon tarve on selvä ja ylittää todennäköisesti tällaiset huolet", Pearce päättää.