„Твърде много, твърде рано“: Солени глоби грозят производителите на смарт устройства

Ключова стъпка, но прекалено мащабна и в този ред на мисли – прибързана. Това са първите реакции на цифровата индустрия по повод проекта на европейския Закон за киберустойчивостта (Cyber Resilience Act – CRA), който Европейската комисия представи миналата седмица. Регламентът има амбицията да сложи край на нормативния хаос и да въведе задължителни изисквания за киберсигурност на смарт устройствата и софтуера, продавани в ЕС.

Под ударите на закона ще попаднат както производителите на лаптопи, телевизори и хладилници, така и на всевъзможни интелигентни устройства и играчки, които са свързани с интернет (известни като IoT). Нарушителите ги грозят солени глоби, които могат да достигнат до 15 млн. евро или 2.5% от глобалните им годишни приходи. Която сума е по-голяма, тя ще бъде наложена като санкция, предвижда Актът.

Предложението е значителна стъпка напред към справяне с непоследователните разпоредби, които понастоящем са в сила за физически продукти. От друга страна е твърде много и твърде рано да се включи целият софтуер в обхвата“, коментира проекта Сесилия Бонефел-Дал, генерален директор на DIGITALEUROPE, водещата асоциация на индустрията за цифрови технологии, представляваща над 35 000 дигитални фирми на Стария континент.

Бонефел напомни, че през годините ЕК е въвеждала различни изисквания за киберсигурност в различни закони, което е създало сложна рамка за индустрията. Затова и приветства сегашната инициатива, която цели да преодолее задълбочилия се проблем. Изтъква обаче необходимостта от „прагматичен подход за постигане на практически резултати“.

Отговорността – там, където ѝ е мястото

Накратко, законопроектът стоварва огромна отговорност върху плещите на производителите, които ще трябва да гарантират киберсигурността на „умните“ устройства и то през целия им жизнен цикъл.

Той (законът) ще постави отговорността там, където ѝ е мястото – при тези, които пускат продуктите на пазара“, каза в изявление изпълнителният зам.-председател на ЕК по цифровите технологии Маргрете Вестагер.

„Когато става дума за киберсигурност, Европа е толкова силна, колкото е най-слабото ѝ звено, независимо дали е уязвима една държава членка или опасен продукт се разпространява в цялата верига на доставки“, коментира от своя страна Тиери Бретон, комисар по въпросите на вътрешния пазар.

Той изтъкна, че всяко незащитено устройство, вариращо от компютри и смартфони до играчки и коли, „е потенциална входна точка за кибератака“.

Според изчисленията на ЕС на всеки 11 секунди се извършва рансъмуер атака (б.р. – зловреден софтуер, който заключва устройствата и изисква плащане на откуп), а глобалните годишни разходи за киберпрестъпления се оценяват на 5.5 трлн. евро през 2021 г. Само в Европа кибератаките струват между 180 и 290 млрд. евро всяка година.

Нещо повече, тенденцията е към непрекъснат ръст, а кризи като пандемията и войната в Украйна ескалират многократно несигурността. В този ред на мисли от ЕК алармират за опасността от атаки срещу енергийната система, която и без това е достатъчно разклатена и обект на геополитически престрелки.

Тревогите далеч не са безпочвени, поне доколкото вече станахме свидетели на подобни нападения. Само преди година източноевропейски хакери блокираха най-голямата тръбопроводна мрежа за рафинирани горива в Съединените щати – Colonial Pipeline. Впоследствие разследващите органи установиха, че през 2020 г. криминалната група DarkSide, според Вашингтон намираща се в Русия, е следяла американски компании и умишлено се е целила по „ключови играчи в инфраструктурата от критично значение“ в страната.

Случаят демонстрира наяве мащабния ефект, който една кибератака може да произведе – стотици, ако не и хиляди бензиностанции останаха без гориво, хората се паникьосаха от недостига на бензин, а цените скочиха мигновено.

Що се отнася до смарт устройствата, на пръв поглед те изглеждат безобидни, но

лошите актьори могат лесно да получат достъп до домашни мрежи с връзки към фирмени устройства – или фирмени данни на потребителски устройства – и да откраднат интелектуална собственост на стойност милиони“, посочва по повод европейския акт Кийрън Холиом, вицепрезидент на BlackBerry за Обединеното кралство и Ирландия, Източна Европа, Близкия изток и Африка.

Какво предвижда Cyber Resilience Act?

Надеждата на Брюксел е, че законът ще помогне за защитата на европейската икономика и колективна сигурност. За целта производителите на софтуер и хардуер ще трябва да отговорят на поредица от изисквания за пускане на пазара на цифрови продукти. Те ще са както на ниво проектиране, разработване и производство, така и след това – към вносителите и дистрибуторите, които ще имат задължението да проверяват дали отговарят на правилата на ЕС.

От производителите ще се изисква да оценят рисковете за киберсигурността на своите продукти, да докладват за такива и да предприемат подходящи процедури за отстраняване на проблеми за период от пет години или по време на очаквания „живот“ на продукта.

Също така ще трябва предоставят на потребителите „достатъчно и точна информация“ за сигурността на продуктите още на мястото на покупката.

В случай на инцидент компаниите ще трябва да уведомят ENISA, агенцията за киберсигурност на ЕС, в рамките на 24 часа, след като узнаят за проблемите. След това имат задължението да предприемат мерки за разрешаването им.
Ако компаниите не ги спазват, националните органи за надзор могат да забранят или ограничат предоставянето на даден продукт на националния пазар.

Според предложението на комисията 90% от продуктите ще минават през самооценка на производителите, а 10% – през външна оценка на риска.