Nyt EU-cybersikkerhedsforslag tager sigte på cyberkriminalitet

Lovgivere søger at styrke cybersikkerhedskravene i hele EU og fremme ny lovgivning for at styrke sikkerhedskravene for alle digitale hardware- og softwareprodukter. Den foreslåede lov, med titlen Cyber ​​Resilience Act, vil dække alt fra computere og mobiltelefoner til smarte køkkenmaskiner og digitalt børnelegetøj.

"Når det kommer til cybersikkerhed, er Europa kun så stærkt som dets svageste led: det være sig en sårbar medlemsstat eller et usikkert produkt langs forsyningskæden," sagde Thierry Breton, EU's kommissær for det indre marked.

Den foreslåede lovgivning, som blev afsløret af Europa-Kommissionen tidligere på måneden, giver mandat til, at produkter designes, udvikles og produceres på måder, der mindsker cybersikkerhedsrisici. Dette inkluderer for eksempel krav om at sælge produkter i en sikker standardkonfiguration, at opretholde et grundigt produktidentifikationssystem og at sikre, at udnyttelige sårbarheder kan løses gennem sikkerhedsopdateringer, blandt andre regler for offentliggørelse af cyberkriminalitet.

I de senere år er antallet af personlige enheder, der er forbundet til internettet, vokset markant.

Alligevel mange af disse såkaldte Tingenes internet produkter er meget sårbare over for hacks og cyberkriminalitet. Faktisk, ransomware angreb opstår på verdensplan hvert 11. sekund og kostede den globale økonomi anslået €20 milliarder sidste år, ifølge Ventures til cybersikkerhed. I mellemtiden koster DDoS-angreb - ondsindede forsøg på at forstyrre eller afskære adgangen til internettjenester eller websteder - kun EU-økonomi omkring 65 milliarder euro i 2020.

I Belgien blev næsten 1,000 virksomheder f.eks. ramt af cyberkriminalitet i 2021 - en stigning på 300 % sammenlignet med året før, ifølge en analyse af Mastercard. Størstedelen af ​​cyberangreb indebar malware- og ransomware-angreb.

"Vi fortjener at føle os trygge med de produkter, vi køber på det indre marked," sagde Margrethe Vestager, executive vice president for European Commission for A Europe Fit for the Digital Age. "The Cyber ​​Resilience Act vil sikre, at de forbundne objekter og software, vi køber, overholder stærke cybersikkerhedsgarantier."

En embedsmand ved Microsoft Digital Crimes Unit viser et varmekort over ondsindede computernetværk i Vesteuropa i 2013. Billede: REUTERS/Jason Redmond

Forstærkede cybersikkerhedsprotokoller forventes også at hjælpe virksomheder og producenter – især mindre virksomheder, der måske ikke har de tekniske ressourcer eller økonomiske midler til at overleve et cyberangreb.

Tidligere i år blev World Economic Forums Global Cybersecurity Outlook rapporterede, at de gennemsnitlige omkostninger ved et cyberbrud for en virksomhed var $3.6 millioner. Desuden oplevede de målrettede virksomheder aktiekurserne falde og brugte i gennemsnit 280 dage på at identificere og reagere på et cyberangreb.

"Teknologiledere, virksomheder og deres bestyrelser ville gøre klogt i at være opmærksomme på denne udvikling og erkende, at cyberstrategi er en forretningsstrategi, og forståelse af cyberrisiko er en del af god regeringsførelse i den digitale tidsalder," sagde Daniel Dobrygowski, leder af governance og tillid i Forummets Center for Cybersikkerhed.

Den foreslåede Cyber ​​Resilience Act blev hilst velkommen af ​​industrigrupper såsom TIC Council, en global organisation, der dækker de uafhængige test-, inspektions- og certificeringssektorer. "Forslaget udgør et godt første skridt i retning af et mere cyber-modstandsdygtigt indre marked," sagde Martin Michelot, TIC Councils administrerende direktør for Europa.

Lovgivningen var først fremsat af Europa-Kommissionens formand Ursula von der Leyen i november 2021. Hvis loven godkendes af Europa-Parlamentet og Det Europæiske Råd, har EU-landene to år til at tilpasse de nye regler.

"Digital tillid er en nødvendighed i en global økonomi, der er afhængig af stadigt stigende forbindelse, databrug og nye innovative teknologier," sagde Akshay Joshi, leder af industri og partnerskaber ved Forums Center for Cybersikkerhed. "Efterhånden som almindelige borgere i stigende grad bliver på vagt over for de teknologier, de interagerer med, vil denne forordning yderligere øge gennemsigtigheden og give slutbrugere mulighed for at træffe informerede valg."

EU's Cyber ​​Resilience Act slutter sig til adskillige andre love foreslået rundt om i verden, der har til formål at dæmme op for cyberkriminalitet, som kostede den globale økonomi 5.5 billioner euro i 2021, ifølge Cybersecurity Ventures. Inden 2025, skader på it-kriminalitet forventes at overstige 10 billioner euro.

Tidligere i år USA vedtaget en ny lov styrke oplysningskravene om cyberkriminalitet for virksomheder, der arbejder i kritiske infrastruktursektorer. Politikken fulgte efter et større ransomware-angreb i maj 2021 mod Colonial Pipeline, som driver landets største rørledningssystem til jetbrændstof, benzin og diesel. Angrebet, som angiveligt blev iværksat gennem et gammelt virtuelt privat netværk, lammet rørledninger på tværs af den amerikanske østkyst og resulterede i Colonial Pipeline betaler Bitcoin til en værdi af omkring $5 millioner til hackerne. Det amerikanske justitsministerium senere genvundet næsten halvdelen af løsesummen.

Dag, US Securities and Exchange Commission og Amerikanske kongres forfølger også nye regler for at styrke og standardisere benchmarks for cybersikkerhed og krav til offentliggørelse af cyberkriminalitet.

"Regulering har en vigtig rolle at spille i incitamentet til cyberresiliens," tilføjede Dobrygowski.