Нова пропозиція щодо кібербезпеки Європейського Союзу спрямована на боротьбу з кіберзлочинністю

Законодавці прагнуть посилити вимоги до кібербезпеки в усьому Європейському Союзі, просуваючи нове законодавство, щоб посилити вимоги безпеки для всіх цифрових апаратних і програмних продуктів. Запропонований закон під назвою «Акт про кіберстійкість» охоплюватиме все: від комп’ютерів і мобільних телефонів до розумної кухонної техніки та цифрових дитячих іграшок.

«Коли справа доходить до кібербезпеки, Європа настільки сильна, наскільки сильна її найслабша ланка: будь то вразлива держава-член або небезпечний продукт у ланцюжку постачання», — сказав Тьєррі Бретон, комісар ЄС з питань внутрішнього ринку.

Запропонований закон, який Європейська комісія оприлюднила на початку цього місяця, вимагає, щоб продукти проектувалися, розроблялися та вироблялися таким чином, щоб зменшити ризики кібербезпеки. Це включає, наприклад, вимоги продавати продукти в безпечній конфігурації за замовчуванням, підтримувати ретельну систему ідентифікації продукту та гарантувати, що вразливості, які можна використовувати, можна усунути за допомогою оновлень безпеки, серед інших правил розкриття кіберзлочинів.

За останні роки кількість персональних пристроїв, підключених до Інтернету, значно зросла.

І все ж багато хто з цих т.зв Інтернет речей продукти дуже вразливі до хакерів і кіберзлочинів. Насправді, атаки на викуп відбуваються у всьому світі кожні 11 секунд і минулого року коштували світовій економіці приблизно 20 мільярдів євро Підприємства з кібербезпеки. Тим часом DDoS-атаки — зловмисні спроби порушити або припинити доступ до інтернет-служб або веб-сайтів — коштують лише Економіка ЄС приблизно 65 мільярдів євро у 2020 році.

Наприклад, у Бельгії майже 1,000 компаній постраждали від кіберзлочинів у 2021 році — це на 300% більше, ніж роком раніше, згідно з даними аналіз Mastercard. Більшість кібератак спричиняли напади зловмисного програмного забезпечення та програм-вимагачів.

«Ми заслуговуємо на те, щоб відчувати себе в безпеці з продуктами, які купуємо на єдиному ринку», — сказала Маргрете Вестагер, виконавчий віце-президент Європейської комісії з питань «Європа, придатна для цифрової епохи». «Закон про кібер-стійкість забезпечить відповідність підключених об’єктів і програмного забезпечення, яке ми купуємо, суворим гарантіям кібербезпеки».

Співробітник підрозділу цифрових злочинів Microsoft показує теплову карту шкідливих комп’ютерних мереж у Західній Європі в 2013 році. Зображення: REUTERS/Джейсон Редмонд

Очікується, що посилені протоколи кібербезпеки також допоможуть компаніям і виробникам, особливо невеликим підприємствам, які можуть не мати технічних ресурсів або фінансових можливостей, щоб пережити кібератаку.

На початку цього року Всесвітній економічний форум Глобальна перспектива кібербезпеки повідомили, що середня вартість кіберзлому для компанії становила 3.6 мільйона доларів. Крім того, цільові компанії спостерігали падіння цін на акції та витрачали в середньому 280 днів на виявлення та реагування на кібератаку.

«Лідерам у галузі технологій, компаніям та їхнім радам директорів було б добре звернути увагу на ці розробки та визнати, що кіберстратегія є бізнес-стратегією, а розуміння кіберризиків є частиною належного управління в епоху цифрових технологій», — сказав Даніель Добриговскі, керівник управління та довіри в Центрі кібербезпеки Форуму.

Запропонований Закон про кібернетостійкість був схвалений галузевими групами, такими як Рада TIC, глобальна організація, що охоплює сектори незалежного тестування, перевірки та сертифікації. «Ця пропозиція є хорошим першим кроком до більш стійкого до кібернетичного впливу єдиного ринку», — сказав Мартін Мішелот, виконавчий директор Ради TIC у Європі.

Законодавство було перший висунутий президентом Європейської комісії Урсулою фон дер Ляєн у листопаді 2021 року. Якщо цей акт буде схвалено Європейським парламентом і Європейською радою, країни ЄС матимуть два роки, щоб адаптувати нові правила.

«Цифрова довіра є необхідністю в глобальній економіці, яка залежить від постійно зростаючого зв’язку, використання даних і нових інноваційних технологій», — сказав Акшай Джоші, керівник відділу промисловості та партнерства в Центрі кібербезпеки Форуму. «Оскільки звичайні громадяни все більше побоюються технологій, з якими вони взаємодіють, це регулювання ще більше підвищить прозорість і дозволить кінцевим користувачам робити усвідомлений вибір».

Згідно з даними Cybersecurity Ventures, Закон ЄС про кібернетостійкість приєднався до кількох інших законодавчих актів, запропонованих у всьому світі, спрямованих на приборкання кіберзлочинності, яка коштувала світовій економіці 5.5 трлн євро у 2021 році. До 2025 р. відшкодування кіберзлочинності очікується, що вони перевищать 10 трильйонів євро.

На початку цього року США прийняв новий закон посилення вимог щодо розкриття кіберзлочинів для компаній, які працюють у секторах критичної інфраструктури. Ця політика була прийнята після великої атаки програм-вимагачів у травні 2021 року на Colonial Pipeline, яка керує найбільшою в країні системою трубопроводів для авіаційного палива, бензину та дизельного палива. Атака, яка, як повідомляється, була здійснена через стару корпоративну віртуальну приватну мережу, паралізувала трубопроводи через східне узбережжя США та призвела до Colonial Pipeline платить біткойни на суму приблизно 5 мільйонів доларів для хакерів. Департамент юстиції США пізніше відновили майже половину від сплати викупу.

Сьогодні Комісія з цінних паперів та бірж США і Конгрес США також розробляють нові правила для посилення та стандартизації тестів кібербезпеки та вимог щодо розкриття кіберзлочинів.

«Регулювання відіграє важливу роль у стимулюванні кіберстійкості», – додав Добриговський.