Vriend of vyand? Hoe dit ook al sy, die Wet op Kuberveerkragtigheid kom

Die Europese Kommissie het tegnologieverkopers en -verkopers in sy visier. Verbruikers en besighede word te lank geteister deur swak ontwerpte, ontwerp en onderhoude sagteware en hardeware. Dit beweer die kubermisdaadekonomie is die primêre begunstigde van hierdie mislukkings, wat volgens die kommissie €5.5 triljoen (£4.7tr) werd was in 2021. Die omvang van die uitdaging is groot. Die aantal nuwe sagteware-kwesbaarhede deur die Amerikaanse regering gerapporteer in 2022 het jaarliks ​​met 'n kwart toegeneem tot 25,096 XNUMX – nog 'n rekordhoogtepunt.

Die EU se reaksie is die Cyber ​​Resilience Act (CRA). Alhoewel dit nog gefinaliseer word, het sommige aangevoer dat die bepalings daarvan die oopbrongemeenskap bedreig en selfs die digitale wêreld minder veilig kan maak.

Wat is in die CRA?

Die CRA het ten doel om verbruikers en besighede wat produkte koop met 'n "digitale komponent" te beskerm. Dit poog om aan te spreek twee sleutel uitdagings:

• Die swak kuberveiligheidsmaatreëls wat in baie produkte ingebou is, insluitend sagteware en gekoppelde toestelle soos slim babamonitors, en/of onvoldoende opdaterings van sagteware en toestelle
• Die gebrek aan 'n industriewye "vlieërmerk" wat tegnologiekopers kan help om beter te verstaan ​​watter produkte veilig is en hoe om dit veilig op te stel

Met dit in gedagte, die CRA mik aan:

• Harmoniseer reëls regoor die blok vir vervaardigers en kleinhandelaars wat digitale produkte ontwikkel/verkoop
• Lys 'n streng stel kuberveiligheidsvereistes "wat die beplanning, ontwerp, ontwikkeling en instandhouding van hierdie produkte beheer"
• Verplig relevante vervaardigers/herverkopers om 'n plig van sorg vir die hele lewensiklus van digitale produkte te verskaf
• Ontplooi 'n nuwe CE-merk wat aandui dat produkte aan CRA voldoen, wat vervaardigers en kleinhandelaars dus aanspoor om sekuriteit te prioritiseer en IT-kopers te bemagtig om beter ingeligte besluite te neem

Wat is gedek en wat word vereis?

Soos dit nou is, die wetgewing sal "van toepassing wees op alle produkte wat direk of indirek aan 'n ander toestel of netwerk gekoppel is, behalwe vir gespesifiseerde uitsluitings soos oopbronsagteware of dienste wat reeds deur bestaande reëls gedek word, wat die geval is vir mediese toestelle, lugvaart en motors."

Hierdie produkte word in drie kategorieë verdeel:

standaard: Laerisikoprodukte soos slim speelgoed en yskaste, videospeletjies en ander algemeen gebruikte sagteware en toestelle, wat volgens die kommissie 90% van die mark dek. Daar sal van maatskappye verwag word om 'n self-evaluering te doen om te verseker dat 'n produk aan die relevante sekuriteitstandaarde voldoen.

Klas I: Hoërisiko produkte, insluitend identiteit en toegangsbestuur sagteware; blaaiers; wagwoordbestuurders; nutsmiddels vir opsporing van kwaadwillige sagteware; produkte wat VPN's gebruik; netwerkbestuurkonfigurasie, monitering en hulpbronbestuurhulpmiddels; sekuriteitsinligting- en gebeurtenisbestuurstelsels (SIEM); pleisterbestuurnutsmiddels; sagteware vir die bestuur van mobiele toestelle en toepassings; afstandtoegangsagteware; mikrobeheerders; bedryfstelsels; brandmure; routers en modems; industriële beheertoerusting; en enige industriële IoT wat nie in Klas II gedek word nie.

Klas II: Selfs hoër risiko produkte as Klas I. Sluit sommige bedryfstelsels in; brandmure; mikrobeheerders; industriële routers en modems; skakelaars; slimkaarte en lesers; veilige elemente; hardeware sekuriteit modules; slim meters; indringing opsporing; robotwaarneming en aktuatorkomponente; en IIoT-toestelle wat gebruik word deur entiteite wat in NIS 2 beskryf word.

Waar dieselfde produktipes in Klas I en II gelys word, sal die korrekte vlak bepaal word volgens risikofaktore soos of 'n produk in sensitiewe NIS 2-omgewings loop, met bevoorregte toegang werk, gebruik word om persoonlike inligting te verwerk, 'n kwesbaarheid bevat wat 'n "meervoud" van mense kan raak; of dit reeds nadelige gevolge veroorsaak het.

Bylae I beskryf die sekuriteitsvereistes vir vervaardigers van digitale produkte. Hulle moet:

• Word ontwerp, ontwikkel en vervaardig om 'n "toepaslike" vlak van sekuriteit te verseker
• Word vry van bekende uitbuitbare kwesbaarhede afgelewer
• Word afgelewer met veilige-by-verstek-konfigurasie
• Verseker beskerming teen ongemagtigde toegang
• Beskerm die vertroulikheid en integriteit van persoonlike en ander data
• Verwerk slegs die minimum hoeveelheid data wat nodig is
• Beskerm die beskikbaarheid van noodsaaklike funksies, soos teen DDoS-aanval
• Word ontwerp, ontwikkel en vervaardig om aanvalsoppervlaktes te beperk en die impak van voorvalle te verminder
• Monitor interne aktiwiteit om relevante sekuriteitsverwante inligting te verskaf

Bylae I verskaf ook 'n lang lys vereistes vir kwesbaarheidshantering, insluitend dat vervaardigers kwesbaarhede sonder versuim dokumenteer en aanspreek en herstel, produksekuriteit gereeld toets en inligting openbaar maak oor enige foute wat hulle regstel. Die CRA eis ook dat ontwikkelaars beleide vir die openbaarmaking van kwesbaarheid afdwing, inligting oor foute deel, 'n manier verskaf om sekuriteitsopdaterings te versprei, en dit sonder versuim en gratis doen.

Verslagdoenings- en ooreenstemmingsvereistes

Terwyl verstekklasvervaardigers effektief self kan evalueer of 'n produk markgereed is, moet diegene in Klas I derdeparty-konformiteitsbeoordeling ondergaan of geharmoniseerde standaarde toepas. Alternatiewelik kan hulle Europese kubersekuriteitsertifiseringskemas op hul produkte toepas. Diegene in Klas II moet deur 'n derdeparty-konformiteitsbeoordeling gaan.

Die CRA vereis ook dat vervaardigers die sekuriteitsagentskap ENISA in kennis stel binne 24 uur nadat hulle bewus geword het van 'n aktief uitgebuitte kwesbaarheid of sekuriteitsvoorval. Invoerders en verspreiders moet insgelyks vervaardigers van enige nuwe foute sonder versuim en potensieel nasionale marktoesigowerhede inlig in die geval van ernstige risiko's.

Kan 'n ISMS vervaardigers help?

Met nie-nakomingsboetes wat op €15 miljoen of 2.5% van die jaarlikse omset vasgestel is, moet alle organisasies wat binne-omvang is, oorweeg hoe hulle by die nuwe regime aanpas. Hunton Andrews Kurth-vennoot, David Dumont, vertel ISMS.aanlyn dat organisasies in sommige sektore, soos IoT-vervaardigers van mediese toestelle, dalk reeds 'n voorsprong het weens bestaande regulatoriese eise. Sy mede-vennoot by die regsfirma, Sarah Pearce, voeg by dat organisasies ten volle voldoen aan BBP, wat "robuuste sekuriteitskontroles en verwante beleide en prosedures" vereis, moet voldoening aan die CRA "haalbaar met beperkte aanpassing" vind.

Dit is egter dalk nie alles pleinweg nie.

"Nakoming van streng voorwaardes vir die bekendstelling en hou van digitale produkte op die EU-mark kan bykomende koste tot gevolg hê," waarsku Dumont. “Enige sulke bykomende nakomingskoste kan dit vir klein en mediumgrootte maatskappye moeiliker maak om op die digitale mark mee te ding en kan tegnologiese vooruitgang belemmer.”

Dit is hier waar 'n Bestuurstelsel vir inligtingsekuriteit (ISMS) kan help deur ISO 27001-nakoming te ondersteun en daardie robuuste GDPR-gemandateerde kontroles, beleide en prosedures wat deur Pearce aangehaal word.

"Daar is 'n oorvleueling tussen bestaande Europese en internasionale kuberveiligheidstandaarde soos ISO 27001 en sommige van die belangrikste kuberveiligheidsvereistes in die CRA," verduidelik Dumont. "Maatskappye wat aan sulke bestaande standaarde voldoen, sal dit kan benut wanneer hulle CRA-nakoming aanpak."

Wat is die potensiële kwessies?

Sommige het die kommissie se poging om basislynsekuriteit en deursigtigheid onder tegnologiese produkte te verbeter, verwelkom. John Smith, uitvoerende hoof van Veracode EMEA, beskryf dit as 'n "landmerk-stuk wetgewing."

"Dit bring nie net meer deursigtigheid na 'n gebied wat dikwels ondeursigtig is nie, maar moedig ook sagtewareverkopers, vervaardigers en kleinhandelaars aan om kuberveiligheid te verhoog vir die produkte wat hulle verkoop, asook om kopers te help om produkte maklik te kies wat robuust is," voeg hy by. “Hopelik sal dit organisasies aanspoor om bo en behalwe die verpligte vereistes te gaan en sekuriteit hoër op die agenda te plaas.”

Ander het egter ernstige kommer. Nie-winsgewende regte groep die Electronic Frontier Foundation beklemtoon twee potensieel ernstige implikasies as die CRA in sy huidige vorm geslaag word:

Oop bron: Enige oopbron-ontwikkelaar wat skenkings aanvra of vra vir ondersteuningsdienste vir hul sagteware, is aanspreeklik vir skadevergoeding as hul "produk" 'n fout bevat wat na ander produkte deurdring. Gegewe die komplekse, onderling gekoppelde aard van die oopbron sagteware voorsieningsketting, kan dit 'n verkoelende uitwerking op die bedryf hê en kan ontwikkelaars dwing om die streek heeltemal te verlaat.

Kwesbaarheid openbaarmaking: Eerstens, die baie kort (24-uur) tydraamwerk vir die rapportering van nuwe kwesbaarhede aan ENISA kan vinnige maar “vlak” oplossings aanmoedig wat nie die hoofoorsaak van probleme aanspreek nie. Tweedens rapporteer ENISA daarna aan lidlande se Rekenaarsekuriteitsvoorvalreaksiespanne (CSIRTs) en marktoesigowerhede. Die EFF is bekommerd dat regeringkrakers hierdie kwesbaarheidsinligting kan uitbuit en/of na die kubermisdaadgemeenskap kan uitlek.

Ongelukkig blyk dit nie dat wetgewers op hierdie bekommernisse sal ag slaan nie.

"Met kuberaanvalle wat onmiskenbaar die afgelope paar jaar aan die toeneem is, tot groot ekonomiese en maatskaplike impak, is die behoefte aan 'n mate van regeringsingryping duidelik en weeg dit waarskynlik swaarder as sulke bekommernisse," sluit Pearce af.