Nowa propozycja Unii Europejskiej dotycząca cyberbezpieczeństwa jest wymierzona w cyberprzestępczość

Prawodawcy dążą do zaostrzenia wymogów w zakresie cyberbezpieczeństwa w całej Unii Europejskiej, opracowując nowe przepisy w celu wzmocnienia wymogów bezpieczeństwa dla wszystkich cyfrowych produktów sprzętowych i programowych. Proponowana ustawa, zatytułowana Cyber ​​Resilience Act, obejmowałaby wszystko, od komputerów i telefonów komórkowych po inteligentne urządzenia kuchenne i cyfrowe zabawki dla dzieci.

„Jeśli chodzi o cyberbezpieczeństwo, Europa jest tak silna, jak jej najsłabsze ogniwo: czy to wrażliwe państwo członkowskie, czy niebezpieczny produkt w łańcuchu dostaw” – powiedział Thierry Breton, komisarz UE ds. rynku wewnętrznego.

Proponowane przepisy, które Komisja Europejska przedstawiła na początku tego miesiąca, nakazują, aby produkty były projektowane, opracowywane i wytwarzane w sposób, który łagodzi zagrożenia związane z cyberbezpieczeństwem. Obejmuje to na przykład wymagania dotyczące sprzedaży produktów w bezpiecznej konfiguracji domyślnej, utrzymywania dokładnego systemu identyfikacji produktów oraz zapewnienia możliwości wyeliminowania możliwych do wykorzystania luk w zabezpieczeniach poprzez aktualizacje zabezpieczeń, między innymi zasady ujawniania cyberprzestępczości.

W ostatnich latach znacznie wzrosła liczba urządzeń osobistych podłączonych do Internetu.

Jednak wiele z tych tak zwanych Internet przedmiotów produkty są bardzo podatne na włamania i cyberprzestępczość. Faktycznie, ataki typu ransomware mają miejsce na całym świecie co 11 sekund i kosztowały światową gospodarkę około 20 miliardów euro w zeszłym roku, według Cyberbezpieczeństwo. Tymczasem ataki DDoS — złośliwe próby zakłócenia lub odcięcia dostępu do usług internetowych lub stron internetowych — kosztują tylko Gospodarka UE około 65 miliardów euro w 2020 roku.

Na przykład w Belgii prawie 1,000 firm zostało dotkniętych cyberprzestępczością w 2021 r. — wzrost o 300% w porównaniu z rokiem poprzednim, według analiza Mastercard. Większość cyberataków obejmowała ataki złośliwego oprogramowania i oprogramowania ransomware.

„Zasługujemy na poczucie bezpieczeństwa dzięki produktom, które kupujemy na jednolitym rynku” – powiedziała Margrethe Vestager, wiceprzewodnicząca Komisji Europejskiej ds. Europy na miarę ery cyfrowej. „Ustawa o odporności cybernetycznej zapewni, że połączone obiekty i oprogramowanie, które kupujemy, będą zgodne z silnymi zabezpieczeniami cyberbezpieczeństwa”.

Urzędnik w Microsoft Digital Crimes Unit pokazuje mapę cieplną złośliwych sieci komputerowych w Europie Zachodniej w 2013 roku. Zdjęcie: REUTERS / Jason Redmond

Oczekuje się również, że wzmocnione protokoły cyberbezpieczeństwa pomogą firmom i producentom — zwłaszcza mniejszym firmom, które mogą nie mieć zasobów technicznych lub środków finansowych na przetrwanie cyberataku.

Na początku tego roku Światowe Forum Ekonomiczne Globalna perspektywa cyberbezpieczeństwa poinformował, że średni koszt cyberwłamania dla firmy wyniósł 3.6 miliona dolarów. Co więcej, atakowane firmy odnotowały spadek cen akcji i spędziły średnio 280 dni na identyfikowaniu i reagowaniu na cyberataki.

„Liderzy technologiczni, firmy i ich zarządy dobrze zrobią, jeśli zwrócą uwagę na te zmiany i uznają, że cyberstrategia jest strategią biznesową, a zrozumienie cyberryzyka jest częścią dobrego zarządzania w erze cyfrowej” – powiedział Daniel Dobrygowski, szef zarządzanie i zaufanie w Centrum ds. Cyberbezpieczeństwa Forum.

Proponowana ustawa o cyberodporności została przyjęta z zadowoleniem przez grupy branżowe, takie jak TIC Council, globalna organizacja obejmująca niezależne sektory testowania, inspekcji i certyfikacji. „Propozycja stanowi dobry pierwszy krok w kierunku bardziej odpornego na cyberprzestrzeń jednolitego rynku” – powiedział Martin Michelot, dyrektor wykonawczy Rady TIC na Europę.

Prawo było pierwszy wystawiony przez przewodniczącą Komisji Europejskiej Ursulę von der Leyen w listopadzie 2021 r. Jeśli ustawa zostanie zatwierdzona przez Parlament Europejski i Radę Europejską, kraje UE będą miały dwa lata na dostosowanie nowych przepisów.

„Cyfrowe zaufanie jest koniecznością w globalnej gospodarce, uzależnionej od stale rosnącej łączności, wykorzystania danych i nowych innowacyjnych technologii”, powiedział Akshay Joshi, szef ds. przemysłu i partnerstw w Centrum Cyberbezpieczeństwa Forum. „Ponieważ zwykli obywatele coraz bardziej obawiają się technologii, z którymi wchodzą w interakcje, niniejsze rozporządzenie jeszcze bardziej zwiększy przejrzystość i umożliwi użytkownikom końcowym dokonywanie świadomych wyborów”.

Według Cybersecurity Ventures unijna ustawa o odporności cybernetycznej łączy kilka innych aktów prawnych proponowanych na całym świecie, których celem jest ograniczenie cyberprzestępczości, która kosztowała światową gospodarkę w 5.5 r. 2021 biliona euro. Do 2025 roku odszkodowania za cyberprzestępczość oczekuje się, że przekroczy 10 bilionów euro.

Na początku tego roku Stany Zjednoczone uchwalił nowe prawo wzmocnienie wymogów dotyczących ujawniania cyberprzestępczości dla firm działających w sektorach infrastruktury krytycznej. Polityka ta była następstwem poważnego ataku ransomware w maju 2021 r. na Colonial Pipeline, który obsługuje największy w kraju system rurociągów dla paliwa lotniczego, benzyny i oleju napędowego. Atak, który podobno został przeprowadzony przez starą korporacyjną wirtualną sieć prywatną, sparaliżował rurociągi na wschodnim wybrzeżu Stanów Zjednoczonych i spowodował Płatność rurociągiem kolonialnym około 5 milionów dolarów Bitcoin dla hakerów. Departament Sprawiedliwości Stanów Zjednoczonych później odzyskał prawie połowę zapłacenia okupu.

Obecnie Amerykańska Komisja Papierów Wartościowych i Giełd oraz Kongres Stanów Zjednoczonych pracują również nad nowymi regulacjami, aby wzmocnić i ujednolicić standardy cyberbezpieczeństwa i wymogi dotyczące ujawniania cyberprzestępczości.

„Regulacje mają do odegrania ważną rolę w zachęcaniu do cyberodporności” – dodał Dobrygowski.