ЕС атакува още една сива зона в технологиите

Европейският съюз взема на мушка „китайските“ (не по произход, а по-качество, доколкото „китайски“ се превърна в синоним на ниско такова) технологии в опит да осветли още една сива зона в сферата на информационната сигурност. Зона, донесла до този момент щети за 5.5 трлн. евро. Поредният акт на регулаторите на Стария континент ще тласне нагоре разходите на производителите на софтуер и хардуер, но и ще стимулира развитието на други ниши.

Това стана ясно по време на панела „Public and private investments in cyber resilience“, част от програмата на AI N’ CYBER 2022, организирана от Economic.bg и Дигитална национална коалиция, в партньорство с НАТО, Европейската инвестиционна банка и Фондация „Конрад Аденауер“.

След няколко други регулации в областта на информационната сигурност, като GDPR, Акта за киберсигурност и Директивата за мрежова информационна сигурност (NIS), сега Европейският съюз адресира друга сива зона с нов законопроект. Той има за задача да адресира проблема с изначално уязвимите софтуерни и хардуерни продукти, независимо от произхода им.

Както Economic.bg вече писа, става дума за Акта за киберустойчивост (Cyber Resilience Act – CRA), който ЕК представи миналия месец и който заплашва производителите със солени глоби – до 15 млн. евро или 2% от годишния им оборот. Предмет на регулацията са всички „умни“ устройства, свързани с интернет.

В този контекст Любомир Тулев, директор „Информационна сигурност“ в Digitall, посочи, че действително производителите на хардуер и софтуер ще трябва да правят проверки на сигурността – с уточнението, че и сега немалко извършват такива, водени от идеята да защитят продукта си и потребителите.

Това сега ще засегне и другите, които искат да продават на европейския пазар.“

Колко струва сигурността и защо е важно?

Изчисленията показват, че към 2021 г. цената на кибератаките, станали вследствие на уязвимости в софтуер или хардуер, е около 5.5 трлн. евро.

Огромен е процентът на случаите на кибератаки, станали вследствие на неправилно конфигурирани софтуер или хардуер“, коментира Тулев.

Той обясни замисъла на новия законопроект. Идеята е проста – щом технологиите са причина за толкова много хакерски атаки, то отговорност трябва да понесат самите производители. Сега не е така и обект на санкции могат да станат бизнеси, които са били жертва на атака, която обаче е предопределена от уязвимост в ползваните софтуер или хардуер.

„Досега ние се опитвахме да устояваме на атаките, но вече трябва да сме устойчиви“, обяснява Вихрен Славчев, съосновател на Mnemonica, изхождайки от думата „resilience“ в името на акта.

Вече знаем, че пробив така или иначе ще има, въпросът е как и колко бързо да оцелеем след него.“

За да подчертае повсеместната дигитализация и нарасналото значение на киберсигурността, той даде пример с приетата преди няколко години Директива NIS. Тогава тя наложи стандарти за мрежова сигурност и въведе т.н. субекти с особено значение – онези, които със сигурност трябва да бъдат защитавани. Сега предстои въвеждането на NIS2, в която почти всички ще са такива.

Обхватът на цифровия свят вече се е наложил навсякъде – не можем да живеем без неща, които в NIS1 бяха наречените субекти с особено значение. В NIS2 почти всичко става обект с особено значение.“

Илюстрация на проникналата надълбоко цифровизация в живота на всекиго е статистиката, според която 64% от физическите лица са били жертва на някакво изтичане на данни. При организациите – които са по-сериозната цел – делът скача до 85%.

„Тези регулации са много нужни. Те поставят минимално ниво за защита. Проблемът е, че повишавайки изискванията, това води до финансови разходи, т.е. всяка организация, която попада под тях, трябва да инвестира. Затова много добре разбираме нуждата от финансиране на киберсигурност и паралелно в Европа текат процеси по осигуряване на такова“, обясни Петър Кирков, директор „Мрежи и информационна сигурност“ към Министерството на електронното управление.

В този контекст Любомир Тулев посочи, че от този скок на разходите ще последва логичен скок на приходите на компаниите, които предлагат услуги за тестване на уязвимости. А това ще раздвижи и развие пазара на киберсигурност.

Европейската инвестиционна банка например е източник на финансиране в посока киберсигурност.

Увеличаваме усилията си да подкрепяме киберсигурността – чрез директно финансиране на стартъпи, индиректни инвестиции, но и чрез проекти в областта на дигиталната трансформация“, коментира Фоуд Битар, старши съветник в областта на дигиталната трансформация в ЕИБ.