Miten EU:n ensimmäinen kyberturvallisuussertifiointijärjestelmä vaikuttaa yritykseesi?
Sisällysluettelo:
Digitaalisessa maailmassa luottamus on vaikeasti voitettu ja helposti menetetty. Osa syynä tähän on yleisesti ymmärrettävän ja uskottavan turvallisuusleijamerkkijärjestelmän puute. Tule mukaan EU:n kyberturvallisuuden sertifiointikehykseen: vuosia kestäneeseen aloitteeseen, jonka tarkoituksena on yhdenmukaistaa luottamus IT-tuotteisiin, -palveluihin ja -prosesseihin blokissa ja sen ulkopuolella.
EU:n turvallisuusvirasto ENISA on juuri julkistanut ensimmäisen tällaisen järjestelmän: Euroopan kyberturvallisuusjärjestelmän yhteisten kriteerien osalta (EUCC). Asiantuntijoiden mukaan se täydentää ehdotettuja EU:n kyberturvallisuussääntöjä ja voi auttaa brittiläisiä yrityksiä markkinoimaan omia tuotteitaan ja parantamaan organisaationsa perusturvallisuutta.
Miksi tarvitsemme EUCC:tä?
IT-tuotteiden puutteet ovat keskeinen syy kyberriskiin. Ne voivat olla täynnä ohjelmiston haavoittuvuuksia, tai niissä voi olla epävarmoja laitteistokomponentteja, tietoliikenneprotokollia ja valmiita kokoonpanoja, joita on vaikea korjata. Joillakin valmistajilla ei ehkä ole edes erityistä haavoittuvuuden hallintaohjelmaa.
Silti tähän asti IT-ostajien on ollut haastavaa erottaa markkinoilla olevat turvalliset tuotteet isännöitsijistä ja suorastaan epävarmat tuotteet. Kaikki käytössä olevat sertifiointijärjestelmät ajettiin kansallisella pohjalla, mikä ei ole hyväksi yhä globaalistuvassa ja yhteenliitetymmässä maailmassa.
Mikä on EUCC?
Tässä EUCC tulee mukaan. EU:n vuoden 2019 kyberturvallisuuslain (CSA) mukaan sen tarkoituksena on ottaa käyttöön "kattava joukko sääntöjä, teknisiä standardeja koskevia vaatimuksia, standardeja ja menettelyjä, joita sovelletaan kaikkialla unionissa". ENISA.
Se jatkuu:
”Vapaaehtoinen, uusi EUCC-järjestelmä antaa tieto- ja viestintätekniikan toimittajille, jotka haluavat osoittaa varmuutta, käydä läpi EU:ssa yleisesti ymmärrettävän arviointiprosessin ICT-tuotteiden, kuten teknisten komponenttien (sirut, älykortit), laitteistot ja ohjelmistot, sertifioimiseksi. Suunnitelma perustuu aika todistettuun SOG-IS yhteiset kriteerit arviointikehys, jota käytetään jo 17 EU:n jäsenvaltiossa. Siinä ehdotetaan kahta varmuustasoa, jotka perustuvat tuotteen, palvelun tai prosessin käyttötarkoitukseen liittyvään riskitasoon onnettomuuden todennäköisyyden ja vaikutuksen kannalta.
CyberSmartin kyberturvallisuuskonsultin Adam Piltonin mukaan turvatakuutasoja on kaksi: "Substantial" ja "High".
"Merkittävä taso varmistaa, että ICT-tuotteet, -palvelut ja -prosessit täyttävät määrätyt toiminnallisuudet ja ovat tasolla, joka on tarkoitettu minimoimaan tunnetut kyberturvallisuusriskit, joita aiheuttavat rajalliset taidot ja resurssit", hän kertoo ISMS.onlinelle.
"Korkea varmuus varmistaa, että ICT-tuotteet, -palvelut ja -prosessit täyttävät määrätyt toiminnallisuudet ja ovat tasolla, joka on tarkoitettu minimoimaan merkittäviä taitoja ja resursseja omaavien toimijoiden tekemät huippuluokan kyberhyökkäykset."
Sertifiointi voi kestää jopa viisi vuotta tai pidempään joissakin tapauksissa. Mutta jos jokin kyseisen omaisuuden osa muuttuu sertifioinnin aikana, varmuustasojen päivittäminen edellyttää toimia. Jos sitä ei täytetä tyydyttävästi, se voi johtaa sertifioinnin keskeyttämiseen tai peruuttamiseen, Pilton selittää.
Kuinka EUCC voisi hyötyä Yhdistyneen kuningaskunnan yrityksille
EUCC:llä on kaksi tärkeintä etua. Se toivottavasti:
Kannustaa ICT-toimittajia/valmistajia parantamaan tuotteidensa, palveluidensa ja prosessiensa turvallisuutta rohkaisemalla heitä noudattamaan EUCC:n vaatimuksia
Tarjoa IT-tuotteita ja -palveluita ostaville organisaatioille hyödyllisen tavan varmistaa, että heidän ostonsa vastaavat heidän riskinottohaluaan
GlobalPlatformin teknisten standardien organisaation teknologiajohtaja Gil Bernabeu mukaan sertifiointijärjestelmä on välttämätön "suojattujen laitteiden ja palveluiden kehittämiseksi, käynnistämiseksi ja tehokkaaksi hallimiseksi".
”SOG-IS on mahdollistanut tämän Euroopassa viimeisen vuosikymmenen ajan. Ja EUCC rakentaa tälle lähestymistavalle laajentamalla kattavuutta ja tunnettuutta kaikkialla 27 jäsenvaltiossa, jotta myyjät voivat sertifioida ja myydä tuotteita kaikkialla Euroopassa EU:n CSA:n mukaisesti", hän kertoo ISMS.online-sivustolle.
"Avain sen menestykseen on varmistaa, että turvallisuustasot ovat yhdenmukaiset kaikilla alueilla ja kaikilla markkinoilla tavalla, joka on läpinäkyvä, linjassa toimialan kanssa ja loppukäyttäjien saatavilla. Ajan, rahan ja vaivan säästäminen ja kyberturvallisuuden parantaminen Euroopassa voi olla vain hyvä asia."
Vaikka järjestelmä on EU-pohjainen, kaikki yritykset voivat saada sertifioinnin. Tämä tarkoittaa, että Yhdistyneen kuningaskunnan IT-toimittajat voivat käyttää sertifiointia parantaakseen ratkaisujensa markkinoitavuutta EU:n asiakaskunnan keskuudessa. Siitä hyötyvät myös IT-ostajat Yhdistyneessä kuningaskunnassa, kun he yrittävät erottaa toimittajat ryhmittymän sisällä.
Järjestelmän vaikutus saattaa ulottua ajassa vielä pidemmälle, Piltonin mukaan.
"Maat ympäri maailmaa olivat mukana tämän järjestelmän kuulemisessa, mukaan lukien Iso-Britannia, Yhdysvallat, Australia ja Kiina. Ja 82 % kuulemiseen osallistuneista ilmoitti aikovansa käyttää EUCC-järjestelmää”, hän sanoo.
”EU:n laajuinen sertifiointi luo luotetumman ja turvallisemman Euroopan. Ja kun muut maat ilmoittavat aikovansa ottaa tämän järjestelmän käyttöön, tällä on epäilemättä maailmanlaajuinen vaikutus sen varmistamiseen, että meillä on pääsy luotettaviin tuotteisiin, prosesseihin ja palveluihin."
Vain Aloitus
Vaikka järjestelmä on vapaaehtoinen, sillä voi olla merkittävä vaikutus, kuten Yhdistyneessä kuningaskunnassa Cyber Essentials, Pilton sanoo.
”EUCC on järjestelmä, joka voi yhdistää maanosan, myös maailmanlaajuisesti vaikutusvaltaisen maanosan. Se tietysti parantaa suoraan osallistujien kyberturvallisuutta, mutta lisää myös tietoisuutta, edistää kyberhygieniaa ja parhaita käytäntöjä kaikille yrityksille”, hän väittää.
"Ajan mittaan tämä rakentaa luottamusta ja rohkaisee vastuullista kehitystä ja turvallisten tuotteiden käyttöönottoa. 25 prosenttia EUCC:n kuulemiseen osallistuneista ilmoitti aikovansa sertifioida tuotteensa sen mukaan.
EUCC täydentää myös muun muassa muuta EU-tasolla kehitteillä olevaa lainsäädäntöä ja direktiivejä auttaa NIS2-yhteensopivuutta organisaatioille, joiden on todistettava, että niiden toimitusketjut täyttävät määrätyt standardit, Pilton sanoo.
Tämä on myös Jesus Fernandez, joka oli EUCC:n ENISA-työryhmän jäsen.
”Vapaaehtoinen järjestelmä täydentää Cyber Resilience Act joka ottaa käyttöön sitovat kyberturvallisuusvaatimukset kaikille laitteisto- ja ohjelmistotuotteille EU:ssa. EUCC-järjestelmä tehostaa myös NIS2-direktiivin täytäntöönpanoa. hän väittää.
"Joten tässä vaiheessa on järkevää odottaa tulevia vertikaalisia/alakohtaisia säännöksiä, jotka voivat edellyttää pakollisia EUCC-sertifiointeja tietyntyyppisille IT-tuotteille, kun niitä käytetään tietyillä aloilla."
On myös syytä muistaa, että EUCC on ensimmäinen kolmesta kyberturvallisuuden sertifiointijärjestelmästä, ja kaksi muuta kattavat pilvipalvelut ja 5G-verkot ovat vielä viimeistelemässä. Yhdessä ne voisivat tehdä paljon parantaakseen perusturvallisuutta alueella ja sen ulkopuolella.
