Hoe sal die EU se eerste kuberveiligheid-sertifiseringskema u besigheid beïnvloed?
INHOUDSOPGAWE:
In die digitale wêreld word vertroue moeilik gewen en maklik verlore. Deel van die rede hiervoor is die gebrek aan 'n universeel verstaanbare en geloofwaardige sekuriteitsvlieërmerkskema. Betree die EU se kuberveiligheidssertifiseringsraamwerk: 'n jare lange inisiatief wat ontwerp is om vertroue in IT-produkte, -dienste en -prosesse binne die blok en verder te harmoniseer.
EU-veiligheidsagentskap ENISA het pas die eerste so 'n skema aangekondig: Die Europese kuberveiligheidskema oor gemeenskaplike kriteria (EUCC). Volgens kenners sal dit voorgestelde EU-kuberveiligheidsreëls aanvul en kan Britse ondernemings help om hul eie produkte te bemark en die basislynsekuriteit in hul organisasie te verbeter.
Hoekom het ons die EUCC nodig?
Tekortkominge in IT-produkte is 'n sleuteloorsaak van kuberrisiko. Hulle kan deurspek wees met sagteware-kwesbaarhede, of bevat onveilige hardeware-komponente, kommunikasieprotokolle en out-of-the-box-konfigurasies wat moeilik is om reg te stel. Sommige vervaardigers het dalk nie eens 'n toegewyde kwesbaarheidbestuursprogram nie.
Tog was dit tot nou toe uitdagend vir IT-kopers om die veilige produkte op die mark te onderskei van die ook-ransies, en die ronduit onveilige kit. Enige sertifiseringskemas wat in werking was, is op 'n nasionale basis bedryf, wat niks baat in 'n toenemend globale en onderling gekoppelde wêreld nie.
Wat is die EUCC?
Dit is waar die EUCC inkom. Voorsiening deur die EU se 2019 Cybersecurity Act (CSA), is dit ontwerp om 'n "omvattende stel reëls, van tegniese standaarde vereistes, standaarde en prosedures wat regoor die unie toegepas moet word" in te stel, volgens ENISA.
Dit gaan voort:
“Die nuwe EUCC-skema, wat op vrywillige basis gebaseer is, laat IKT-verskaffers wat bewys van versekering wil toon, deur 'n EU-wat algemeen verstaan word assesseringsproses gaan om IKT-produkte soos tegnologiese komponente (skyfies, slimkaarte), hardeware en sagteware te sertifiseer. Die skema is gebaseer op die tyd-bewese SOG-IS Algemene Kriteria evalueringsraamwerk wat reeds in 17 EU-lidlande gebruik is. Dit stel twee vlakke van versekering voor gebaseer op die vlak van risiko verbonde aan die beoogde gebruik van die produk, diens of proses, in terme van waarskynlikheid en impak van ’n ongeluk.”
Volgens CyberSmart kubersekuriteitskonsultant, Adam Pilton, is daar twee sekuriteitsversekeringsvlakke: “Aansienlik” en “Hoog”.
"Die aansienlike vlak verseker dat die IKT-produkte, -dienste en -prosesse aan die gestipuleerde funksionaliteite voldoen en op 'n vlak is wat bedoel is om bekende kuberveiligheidsrisiko's wat deur akteurs met beperkte vaardighede en hulpbronne uitgevoer word, te minimaliseer," sê hy aan ISMS.online.
“Die hoë versekering verseker dat IKT-produkte, -dienste en -prosesse aan die gestipuleerde funksionaliteite voldoen en op 'n vlak is wat bedoel is om die nuutste kuberaanvalle wat uitgevoer word deur akteurs met aansienlike vaardighede en hulpbronne te minimaliseer.
Sertifisering kan in sommige gevalle tot vyf jaar of langer duur. Maar as enige element van die betrokke bate gedurende die leeftyd van 'n sertifisering verander, sal optrede nodig wees om versekeringsvlakke op te dateer. Indien dit nie bevredigend afgehandel word nie, kan dit lei tot opskorting of terugtrekking van die sertifisering, verduidelik Pilton.
Hoe die EUCC Britse firmas kan bevoordeel
Daar is twee hoofvoordele vir die EUCC. Dit sal hopelik:
Moedig IKT-verskaffers/-vervaardigers aan om die sekuriteit van hul produkte, dienste en prosesse te verbeter deur hulle aan te moedig om aan die EUCC-vereistes te voldoen
Verskaf 'n nuttige manier vir organisasies wat IT-produkte en -dienste koop om te verseker dat hul aankope in lyn is met hul risiko-aptyt
’n Sertifiseringskema is noodsaaklik “om veilige toestelle en dienste te ontwikkel, bekend te stel en effektief te bestuur”, volgens Gil Bernabeu, CTO van die tegniese standaarde-organisasie, GlobalPlatform.
“SOG-IS het dit die afgelope dekade in Europa moontlik gemaak. En EUCC bou voort op daardie benadering en brei die reikwydte en erkenning uit oor die 27 lidlande om verskaffers in staat te stel om produkte regoor Europa onder die EU CSA te sertifiseer en te verkoop,” sê hy aan ISMS.online.
"Die sleutel tot die sukses daarvan sal wees om te verseker dat sekuriteitsvlakke konsekwent is oor alle streke en markte op 'n manier wat deursigtig is, in lyn met die industrie en toeganklik is vir die eindgebruiker. Om tyd, geld en moeite te bespaar terwyl kuberveiligheid in Europa verbeter word, kan net ’n goeie ding wees.”
Alhoewel die skema EU-gebaseer is, kan enige besigheid sertifisering verkry. Dit beteken Britse IT-verskaffers kan sertifisering gebruik om die bemarkbaarheid van hul oplossings onder 'n EU-kliëntebasis te verbeter. Dit sal ook IT-kopers in die VK bevoordeel, aangesien hulle tussen verskaffers binne die blok probeer onderskei.
Die skema se invloed kan volgens Pilton mettertyd nog verder uitstrek.
“Lande regoor die wêreld was betrokke by die konsultasie van hierdie skema, insluitend die VK, VSA, Australië en China. En 82% van die deelnemers wat by die konsultasie betrokke was, het aangedui hul voorneme om die EUCC-skema te gebruik,” sê hy.
"Om 'n EU-wye sertifisering te hê, sal 'n meer betroubare en veilige Europa skep. En met ander lande wat hul voorneme aandui om hierdie skema aan te neem, sal dit ongetwyfeld 'n globale impak hê om te verseker dat ons toegang tot betroubare produkte, prosesse en dienste het.”
Net die Begin
Alhoewel dit vrywillig is, kan die skema 'n beduidende impak hê, net soos die VK s'n Cyber Essentials, sê Pilton.
“Die EUCC is 'n skema wat 'n kontinent kan verenig, ook 'n wêreldwye invloedryke kontinent. Dit sal natuurlik die kuberveiligheid van diegene wat deelneem direk verbeter, maar sal ook bewustheid verhoog, kuberhigiëne en beste praktyke aan alle besighede bevorder,” beweer hy.
“Dit sal mettertyd vertroue bou, verantwoordelike ontwikkeling en ontplooiing van veilige produkte aanmoedig. Vyf-en-twintig persent van diegene wat die EUCC-konsultasie bygewoon het, het gesê dat hulle van plan was om hul produkte daarteen te laat sertifiseer.”
Die EUCC sal byvoorbeeld ook ander wetgewing en voorskrifte in ontwikkeling op EU-vlak aanvul help om NIS2 te voldoen vir organisasies wat moet bewys dat entiteite in hul voorsieningskettings aan voorgeskrewe standaarde voldoen, sê Pilton.
Dit is ook die mening van Jesus Fernandez, wat 'n lid was van die ENISA-werkgroep oor EUCC.
“Die vrywillige skema sal die Wet op kuberveerkragtigheid wat bindende kuberveiligheidsvereistes vir alle hardeware- en sagtewareprodukte in die EU instel. Die EUCC-skema sal ook die implementering van die NIS2-richtlijn ’n hupstoot gee,” redeneer hy.
"Dus, op hierdie stadium is dit verstandig om toekomstige vertikale/sektorale regulasies te verwag wat verpligte EUCC-sertifisering kan oplê wat spesifiek is vir spesifieke tipes IT-produkte wanneer dit in spesifieke sektore gebruik word."
Dit is ook die moeite werd om te onthou dat die EUCC die eerste van drie kubersekuriteitsertifiseringskemas is, met twee ander wat wolkdienste en 5G-netwerke dek wat nog gefinaliseer word. Saam kan hulle baie doen om basislynsekuriteit regoor die streek en verder te verbeter.
