Nytt EU-forslag om nettsikkerhet tar sikte på nettkriminalitet

Lovgivere søker å styrke nettsikkerhetskravene i hele EU, fremme ny lovgivning for å styrke sikkerhetskravene for alle digitale maskinvare- og programvareprodukter. Den foreslåtte loven, med tittelen Cyber ​​Resilience Act, skulle dekke alt fra datamaskiner og mobiltelefoner til smarte kjøkkenapparater og digitale barneleker.

"Når det gjelder cybersikkerhet, er Europa bare så sterkt som sitt svakeste ledd: det være seg et sårbart medlemsland eller et utrygt produkt langs forsyningskjeden," sa Thierry Breton, EUs kommissær for det indre marked.

Den foreslåtte lovgivningen, som ble avduket av EU-kommisjonen tidligere denne måneden, gir mandat til at produkter designes, utvikles og produseres på måter som reduserer cybersikkerhetsrisiko. Dette inkluderer for eksempel krav om å selge produkter i en sikker standardkonfigurasjon, å opprettholde et grundig produktidentifikasjonssystem og å sikre at utnyttbare sårbarheter kan adresseres gjennom sikkerhetsoppdateringer, blant annet regler for avsløring av nettkriminalitet.

De siste årene har antallet personlige enheter som er koblet til internett vokst betydelig.

Likevel mange av disse såkalte Tingenes Internett produkter er svært sårbare for hacks og nettkriminalitet. Faktisk, ransomware angrep skje over hele verden hvert 11. sekund og kostet den globale økonomien anslagsvis 20 milliarder euro i fjor, ifølge Cybersecurity Ventures. I mellomtiden koster DDoS-angrep – ondsinnede forsøk på å forstyrre eller kutte tilgangen til internetttjenester eller nettsteder – bare EUs økonomi rundt 65 milliarder euro i 2020.

I Belgia, for eksempel, ble nesten 1,000 virksomheter rammet av nettkriminalitet i 2021 – en økning på 300 % sammenlignet med året før, ifølge en analyse av Mastercard. Flertallet av cyberangrep innebar skadelig programvare og løsepengevareangrep.

"Vi fortjener å føle oss trygge med produktene vi kjøper i det indre markedet," sa Margrethe Vestager, konserndirektør for EU-kommisjonen for A Europe Fit for the Digital Age. "The Cyber ​​Resilience Act vil sikre at de tilkoblede objektene og programvaren vi kjøper overholder sterke sikkerhetstiltak for nettsikkerhet."

En tjenestemann ved Microsoft Digital Crimes Unit viser et varmekart over ondsinnede datanettverk i Vest-Europa i 2013. Bilde: REUTERS/Jason Redmond

Forsterkede cybersikkerhetsprotokoller forventes også å hjelpe bedrifter og produsenter – spesielt mindre virksomheter som kanskje ikke har de tekniske ressursene eller økonomiske midlene til å overleve et nettangrep.

Tidligere i år, World Economic Forums Global Cybersecurity Outlook rapporterte at gjennomsnittskostnaden for et cyberbrudd for et selskap var 3.6 millioner dollar. Videre så målrettede selskaper aksjekursene fall og brukte i gjennomsnitt 280 dager på å identifisere og svare på et nettangrep.

"Teknologiledere, selskaper og deres styrer vil gjøre klokt i å ta hensyn til denne utviklingen og erkjenne at cyberstrategi er en forretningsstrategi og forståelse av cyberrisiko er en del av godt styresett i den digitale tidsalder," sa Daniel Dobrygowski, leder for styring og tillit ved Forums Senter for Cybersikkerhet.

Den foreslåtte Cyber ​​Resilience Act ble ønsket velkommen av industrigrupper som TIC Council, en global organisasjon som dekker de uavhengige test-, inspeksjons- og sertifiseringssektorene. "Forslaget utgjør et godt første skritt mot et mer cyber-resiliant indre marked," sa Martin Michelot, TIC Councils administrerende direktør for Europa.

Lovverket var først lagt frem av EU-kommisjonens president Ursula von der Leyen i november 2021. Dersom loven godkjennes av Europaparlamentet og Det europeiske råd, vil EU-landene ha to år på seg til å tilpasse de nye reglene.

"Digital tillit er en nødvendighet i en global økonomi som er avhengig av stadig økende tilkobling, databruk og nye innovative teknologier," sa Akshay Joshi, leder for industri og partnerskap ved Forums Center for Cybersecurity. "Ettersom vanlige borgere i økende grad blir på vakt mot teknologiene de samhandler med, vil denne forskriften ytterligere øke åpenheten og la sluttbrukere ta informerte valg."

EUs Cyber ​​Resilience Act slutter seg til flere andre lovverk foreslått rundt om i verden som tar sikte på å dempe nettkriminalitet, som kostet den globale økonomien 5.5 billioner euro i 2021, ifølge Cybersecurity Ventures. Innen 2025, skader på nettkriminalitet forventes å overstige 10 billioner euro.

Tidligere i år, USA vedtatt en ny lov styrke avsløring av nettkriminalitet for selskaper som arbeider i kritiske infrastruktursektorer. Politikken fulgte et stort løsepenge-angrep i mai 2021 mot Colonial Pipeline, som driver landets største rørledningssystem for flydrivstoff, bensin og diesel. Angrepet, som angivelig ble lansert gjennom et gammelt virtuelt privat nettverk, lammet rørledninger over den amerikanske østkysten og resulterte i Colonial Pipeline betaler Bitcoin verdt omtrent 5 millioner dollar til hackerne. Det amerikanske justisdepartementet senere gjenvunnet nesten halvparten av løsepengene.

I dag, US Securities and Exchange Commission og Amerikanske kongressen arbeider også med nye forskrifter for å styrke og standardisere cybersikkerhetsstandarder og krav til offentliggjøring av cyberkriminalitet.

"Regulering har en viktig rolle å spille for å stimulere cyberresiliens," la Dobrygowski til.