Η νέα πρόταση της Ευρωπαϊκής Ένωσης για την ασφάλεια στον κυβερνοχώρο στοχεύει στο έγκλημα στον κυβερνοχώρο

Οι νομοθέτες επιδιώκουν να ενισχύσουν τις απαιτήσεις κυβερνοασφάλειας σε ολόκληρη την Ευρωπαϊκή Ένωση, προωθώντας νέα νομοθεσία για την ενίσχυση των απαιτήσεων ασφάλειας για όλα τα προϊόντα ψηφιακού υλικού και λογισμικού. Ο προτεινόμενος νόμος, με τίτλο Cyber ​​Resilience Act, θα καλύπτει τα πάντα, από υπολογιστές και κινητά τηλέφωνα μέχρι έξυπνες συσκευές κουζίνας και ψηφιακά παιδικά παιχνίδια.

«Όσον αφορά την ασφάλεια στον κυβερνοχώρο, η Ευρώπη είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της: είτε πρόκειται για ένα ευάλωτο κράτος μέλος είτε για ένα μη ασφαλές προϊόν στην αλυσίδα εφοδιασμού», δήλωσε ο Τιερί Μπρετόν, Επίτροπος της ΕΕ για την εσωτερική αγορά.

Η προτεινόμενη νομοθεσία, η οποία παρουσιάστηκε από την Ευρωπαϊκή Επιτροπή νωρίτερα αυτό το μήνα, ορίζει ότι τα προϊόντα σχεδιάζονται, αναπτύσσονται και παράγονται με τρόπους που μετριάζουν τους κινδύνους για την ασφάλεια στον κυβερνοχώρο. Αυτό περιλαμβάνει, για παράδειγμα, απαιτήσεις για την πώληση προϊόντων σε ασφαλή προεπιλεγμένη διαμόρφωση, τη διατήρηση ενός λεπτομερούς συστήματος αναγνώρισης προϊόντων και τη διασφάλιση ότι οι εκμεταλλεύσιμες ευπάθειες μπορούν να αντιμετωπιστούν μέσω ενημερώσεων ασφαλείας, μεταξύ άλλων κανόνων αποκάλυψης εγκλήματος στον κυβερνοχώρο.

Τα τελευταία χρόνια, ο αριθμός των προσωπικών συσκευών που είναι συνδεδεμένες στο διαδίκτυο έχει αυξηθεί σημαντικά.

Ωστόσο, πολλά από αυτά τα λεγόμενα Το Ίντερνετ των πραγμάτων προϊόντα είναι πολύ ευάλωτα σε hacks και εγκλήματα στον κυβερνοχώρο. Στην πραγματικότητα, επιθέσεις ransomware συμβαίνουν σε όλο τον κόσμο κάθε 11 δευτερόλεπτα και στοίχισαν στην παγκόσμια οικονομία περίπου 20 δισεκατομμύρια ευρώ πέρυσι, σύμφωνα με Κυβερνοασφάλεια Ventures. Εν τω μεταξύ, οι επιθέσεις DDoS - κακόβουλες προσπάθειες για διακοπή ή διακοπή της πρόσβασης σε υπηρεσίες διαδικτύου ή ιστότοπους - κοστίζουν Οικονομία της ΕΕ περίπου 65 δισεκατομμύρια ευρώ το 2020.

Στο Βέλγιο, για παράδειγμα, σχεδόν 1,000 επιχειρήσεις επλήγησαν από εγκλήματα στον κυβερνοχώρο το 2021 — αύξηση 300% σε σύγκριση με το προηγούμενο έτος, σύμφωνα με ανάλυση από Mastercard. Η πλειονότητα των επιθέσεων στον κυβερνοχώρο συνεπαγόταν επιθέσεις κακόβουλου λογισμικού και ransomware.

«Αξίζουμε να νιώθουμε ασφαλείς με τα προϊόντα που αγοράζουμε στην ενιαία αγορά», δήλωσε η Margrethe Vestager, εκτελεστική αντιπρόεδρος της Ευρωπαϊκής Επιτροπής για την Ευρώπη που ταιριάζει στην ψηφιακή εποχή. «Ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο θα διασφαλίσει ότι τα συνδεδεμένα αντικείμενα και το λογισμικό που αγοράζουμε συμμορφώνονται με ισχυρές διασφαλίσεις για την ασφάλεια στον κυβερνοχώρο».

Ένας υπάλληλος της Microsoft Digital Crimes Unit δείχνει έναν θερμικό χάρτη κακόβουλων δικτύων υπολογιστών στη Δυτική Ευρώπη το 2013. Εικόνα: REUTERS/Jason Redmond

Τα ενισχυμένα πρωτόκολλα κυβερνοασφάλειας αναμένεται επίσης να βοηθήσουν εταιρείες και κατασκευαστές—ειδικά μικρότερες επιχειρήσεις που ενδέχεται να μην έχουν τους τεχνικούς πόρους ή τα οικονομικά μέσα για να επιβιώσουν από μια κυβερνοεπίθεση.

Νωρίτερα φέτος, το Παγκόσμιο Οικονομικό Φόρουμ Global Cybersecurity Outlook ανέφερε ότι το μέσο κόστος μιας παραβίασης στον κυβερνοχώρο για μια εταιρεία ήταν 3.6 εκατομμύρια δολάρια. Επιπλέον, οι στοχευμένες εταιρείες είδαν τις τιμές των μετοχών να πέφτουν και αφιέρωσαν κατά μέσο όρο 280 ημέρες για να εντοπίσουν και να ανταποκριθούν σε μια κυβερνοεπίθεση.

«Οι ηγέτες τεχνολογίας, οι εταιρείες και τα διοικητικά τους συμβούλια θα κάνουν καλά να δώσουν προσοχή σε αυτές τις εξελίξεις και να αναγνωρίσουν ότι η στρατηγική στον κυβερνοχώρο είναι μια επιχειρηματική στρατηγική και η κατανόηση του κινδύνου στον κυβερνοχώρο αποτελεί μέρος της καλής διακυβέρνησης στην ψηφιακή εποχή», δήλωσε ο Daniel Dobrygowski, επικεφαλής της διακυβέρνηση και εμπιστοσύνη στο Κέντρο για την Κυβερνοασφάλεια του Φόρουμ.

Ο προτεινόμενος νόμος για την ανθεκτικότητα στον κυβερνοχώρο χαιρετίστηκε από βιομηχανικές ομάδες όπως το Συμβούλιο TIC, ένας παγκόσμιος οργανισμός που καλύπτει τους ανεξάρτητους τομείς δοκιμών, επιθεώρησης και πιστοποίησης. «Η πρόταση αποτελεί ένα καλό πρώτο βήμα προς μια πιο ανθεκτική στον κυβερνοχώρο ενιαία αγορά», δήλωσε ο Martin Michelot, εκτελεστικός διευθυντής του Συμβουλίου TIC για την Ευρώπη.

Η νομοθεσία ήταν προβάλετε πρώτα από την Πρόεδρο της Ευρωπαϊκής Επιτροπής Ursula von der Leyen τον Νοέμβριο του 2021. Εάν η πράξη εγκριθεί από το Ευρωπαϊκό Κοινοβούλιο και το Ευρωπαϊκό Συμβούλιο, οι χώρες της ΕΕ θα έχουν στη διάθεσή τους δύο χρόνια για να προσαρμόσουν τους νέους κανόνες.

«Η ψηφιακή εμπιστοσύνη είναι μια αναγκαιότητα σε μια παγκόσμια οικονομία που βασίζεται στη διαρκώς αυξανόμενη συνδεσιμότητα, χρήση δεδομένων και νέες καινοτόμες τεχνολογίες», δήλωσε ο Akshay Joshi, επικεφαλής βιομηχανίας και συνεργασιών στο Κέντρο για την Κυβερνοασφάλεια του Φόρουμ. «Καθώς οι απλοί πολίτες γίνονται όλο και πιο επιφυλακτικοί για τις τεχνολογίες με τις οποίες αλληλεπιδρούν, αυτός ο κανονισμός θα ενισχύσει περαιτέρω τη διαφάνεια και θα επιτρέψει στους τελικούς χρήστες να κάνουν ενημερωμένες επιλογές».

Ο νόμος της ΕΕ για την ανθεκτικότητα στον κυβερνοχώρο εντάσσεται σε πολλά άλλα νομοθετήματα που προτείνονται σε όλο τον κόσμο που στοχεύουν στον περιορισμό του εγκλήματος στον κυβερνοχώρο, το οποίο κόστισε στην παγκόσμια οικονομία 5.5 τρισεκατομμύρια ευρώ το 2021, σύμφωνα με την Cybersecurity Ventures. Μέχρι το 2025, ζημίες στον κυβερνοχώρο αναμένεται να ξεπεράσουν τα 10 τρισ.

Νωρίτερα φέτος, οι Ηνωμένες Πολιτείες θέσπισε νέο νόμο ενίσχυση των απαιτήσεων γνωστοποίησης του εγκλήματος στον κυβερνοχώρο για εταιρείες που εργάζονται σε τομείς ζωτικής σημασίας υποδομών. Η πολιτική ακολούθησε μια μεγάλη επίθεση ransomware τον Μάιο του 2021 κατά της Colonial Pipeline, η οποία διαχειρίζεται το μεγαλύτερο σύστημα αγωγών της χώρας για καύσιμα, βενζίνη και ντίζελ. Η επίθεση, η οποία φέρεται να ξεκίνησε μέσω ενός παλιού εταιρικού εικονικού ιδιωτικού δικτύου, παρέλυσε τους αγωγούς σε όλη την ανατολική ακτή των ΗΠΑ και είχε ως αποτέλεσμα Ο αποικιακός αγωγός πληρώνει Bitcoin αξίας περίπου 5 εκατομμυρίων δολαρίων στους χάκερ. Το Υπουργείο Δικαιοσύνης των ΗΠΑ αργότερα ανάκτησε σχεδόν το μισό της πληρωμής των λύτρων.

Σήμερα, η Αμερικανική Επιτροπή Κεφαλαιαγοράς και την Αμερικανικό Κογκρέσο επιδιώκουν επίσης νέους κανονισμούς για την ενίσχυση και την τυποποίηση των σημείων αναφοράς για την ασφάλεια στον κυβερνοχώρο και των απαιτήσεων αποκάλυψης του εγκλήματος στον κυβερνοχώρο.

«Η ρύθμιση έχει να παίξει σημαντικό ρόλο στην παροχή κινήτρων για την ανθεκτικότητα στον κυβερνοχώρο», πρόσθεσε ο Dobrygowski.