ناجح الهجمات السيبرانية ضد كل من منتجات الأجهزة والبرمجيات أصبحت متكررة بشكل مثير للقلق. وفقًا لشركة Cybersecurity Ventures، كلفت الجرائم الإلكترونية العالم ما يقدر بنحو 7 تريليون دولار أمريكي في عام 2022. ومع هذا الثمن الباهظ، فلا عجب أن تنتبه الشركات والحكومات على حد سواء. قادت الولايات المتحدة الطريق مع الأمر التنفيذي الرئاسي بشأن تحسين الأمن السيبراني للأمة الصادر في 12 مايو 2021. وتبع ذلك إطار تطوير البرمجيات الآمن (SSDF) من NIST وهذا يتحول ببطء إلى أفضل الممارسات الجديدة الراسخة، والمطلوبة كأمر طبيعي في أي منتج برمجي. الاتحاد الأوروبي لا يقف مكتوف الأيدي قانون المرونة السيبرانية الأوروبي هو تشريع مقترح يهدف إلى تعزيز الأمن السيبراني للبنى التحتية الحيوية في جميع أنحاء الاتحاد الأوروبي.
بدأت مرحلة جمع التعليقات على مشروع القانون في ديسمبر 2020، لكن المسودة الأولى لمشروع القانون لم تُنشر إلا في 14 سبتمبر 2022. ونظرًا لأن أي تشريع واسع النطاق من هذا القبيل يمكن أن يكون له آثار واسعة النطاق، فقد اعتقدنا أننا سنتخذ الإجراء اللازم. تعمق وحاول شرح مضمون مشروع القانون هذا ومن سيتأثر به. لنبدأ بنظرة عامة موجزة عن التشريع المقترح.
كسر مشروع القانون: ما تحتاج إلى معرفته
تهدف ECRA إلى تعزيز الأمن السيبراني للبنى التحتية الحيوية في جميع أنحاء الاتحاد الأوروبي (EU). يؤثر القانون في المقام الأول على مشغلي الخدمات الأساسية ومقدمي الخدمات الرقمية. تم تعريفها في التوجيه الحالي للاتحاد الأوروبي بشأن أمن الشبكات وأنظمة المعلومات (توجيه NIS) وتشمل، من بين أمور أخرى، قطاعات الطاقة والنقل والخدمات المصرفية والصحة والبنية التحتية الرقمية.
سينطبق القانون المقترح أيضًا على مقدمي الخدمات الرقمية الذين لا يشملهم توجيه NIS، ولكنهم يقدمون خدمات عبر الإنترنت للمستهلكين في الاتحاد الأوروبي. وتشمل هذه الأسواق عبر الإنترنت، وخدمات الحوسبة السحابية، ومحركات البحث.
نظرًا لأنه يهدف إلى تغطية أي أجهزة متصلة لا تغطيها بالفعل تشريعات الاتحاد الأوروبي الأخرى، فمن المحتمل أن يؤثر ذلك على إنترنت الأشياء والأجهزة المتصلة الأخرى، خاصة تلك الموجودة بالفعل في السوق.
ويتضمن القانون المقترح عدداً من الإجراءات، منها:
- إنشاء نظام لإصدار شهادات الأمن السيبراني لمشغلي الخدمات الأساسية ومقدمي الخدمات الرقمية.
- إنشاء منصة لتبادل معلومات الأمن السيبراني لمساعدة المنظمات على تبادل المعلومات حول التهديدات والحوادث السيبرانية. يتضمن مشروع القانون المقترح التزامًا بالإبلاغ عن أي حدث يتعلق بالأمن السيبراني في غضون 24 ساعة إلى وكالة الاتحاد الأوروبي للأمن السيبراني (ENISA).
- اعتماد منهجية مشتركة لتقييم مخاطر الأمن السيبراني ووضع مبادئ توجيهية لإدارة المخاطر.
- إنشاء مركز أوروبي للمرونة السيبرانية لتقديم الدعم للدول الأعضاء في حالة وقوع هجوم سيبراني.
والأهم من ذلك، أن التشريع المقترح يتضمن خطة لإصدار الشهادات لمنتجات وخدمات وعمليات تكنولوجيا المعلومات والاتصالات. تتضمن عملية إصدار الشهادات تقييم المطابقة من قبل هيئة تقييم المطابقة المعينة (CAB) لتحديد ما إذا كان المنتج أو الخدمة أو العملية تلبي المتطلبات المحددة في القانون. وينشئ القانون مجلسًا أوروبيًا لإصدار شهادات المرونة السيبرانية، وهو المسؤول عن الحفاظ على نظام إصدار الشهادات وضمان اتساقه في جميع أنحاء الاتحاد الأوروبي. من المفترض أن يستمر الاختبار والتدقيق المنتظم حتى بعد أن يصدر مجلس الإدارة الجديد شهادة مطابقة لمزود المنتج أو الخدمة أو العملية المعنية. ومن شأن المراقبة المستمرة أن تضمن عدم تراجع الامتثال لمتطلبات مشروع القانون بمجرد منح الشهادة - ومن المفترض أن يكون الحفاظ على الامتثال مستمرًا.
بالإضافة إلى ذلك، تقترح ECRA عددًا من التدابير لتحسين التعاون وتبادل المعلومات بين الدول الأعضاء في الاتحاد الأوروبي وتعزيز قدرات الأمن السيبراني للاتحاد الأوروبي. ويشمل ذلك إنشاء مركز أوروبي لكفاءات الأمن السيبراني وشبكة من مراكز تنسيق الأمن السيبراني الوطنية، فضلاً عن تطوير إطار مشترك للإبلاغ عن حوادث الأمن السيبراني والاستجابة لها. ويقترح مشروع القانون أيضًا إنشاء قاعدة بيانات أوروبية لنقاط الضعف حتى لا يتم الاعتماد فقط على قاعدة بيانات الولايات المتحدة NVD.
ويغطي مشروع القانون أيضًا مراقبة السوق وتنفيذه للتأكد من مراعاة المعايير الجديدة بشكل صحيح داخل جميع الدول الأعضاء ولأي أجهزة وخدمات مغطاة مقدمة في سوق الاتحاد الأوروبي، بغض النظر عن مكان تصنيعها.
كيف ترتبط بأفضل الممارسات الأمريكية الأخيرة؟
كما ذكرنا أعلاه، شرعت كل من الولايات المتحدة والاتحاد الأوروبي في ترقية وسائل حماية الأمن السيبراني في أسواقهما. على هذا النحو، فمن المنطقي أن نرى ما إذا كانت أي من أفضل الممارسات الأمريكية الجديدة قد وجدت طريقها إلى قانون ECRA.
إلى أولئك الذين يعرفون SSDF (NIST 800-218) قد تبدو بعض لغة ECRA مألوفة. يتطلب مشروع القانون تضمين الأمان في المنتجات منذ بدايتها وعدم "إضافته" لاحقًا. يتضمن قانون ECRA متطلبات تحديد وإدارة مخاطر سلسلة التوريد، ومن المرجح أن يتطلب النظام الأوروبي المقترح لإصدار شهادات الأمن السيبراني، على الرغم من أنه لم يتم تعريفه بشكل صحيح، استخدام قائمة مواد البرمجيات (SBOM) وممارسات تطوير البرمجيات الآمنة.
ويدعو الاقتراح أيضًا إلى تنفيذ التدابير الفنية والتنظيمية لتأمين أنظمة المعلومات والبيانات، بما في ذلك استخدام المصادقة والتشفير القوي، وقدرات المراقبة والكشف، والتخطيط للاستجابة للحوادث، والاختبار والتدقيق الأمني المنتظم - جميع العناصر المحددة بوضوح في قوات دفاع جنوب السودان.
إحدى أفضل الممارسات الجديدة التي يتم الترويج لها في الولايات المتحدة هي استخدام SBOM لتتبع التبعيات ونقاط الضعف وترخيص البرامج. ويهدف هذا إلى زيادة شفافية المنتج وتمكين المصنعين والمستخدمين من رؤية أوضح لما قد يكون مخفيًا داخل المنتج بالضبط. في حين أن ECRA لا تذكر SBOM صراحةً، فمن الجدير بالذكر أن مسألة شفافية البرمجيات، والتي تتضمن مفهوم SBOMs، كانت منذ فترة طويلة موضوعًا للمناقشة في سياق استراتيجية الأمن السيبراني للاتحاد الأوروبي. في يونيو 2021، أصدرت المفوضية الأوروبية مقترحًا لـ اللائحة التنظيمية المتعلقة بالمرونة التشغيلية الرقمية للقطاع المالي، والذي يتضمن متطلبات الكيانات المالية لاستخدام والحفاظ على "مخزون شامل وحديث لأنظمة وأصول تكنولوجيا المعلومات والاتصالات الخاصة بها." وينبغي أن يتضمن هذا الجرد "خريطة محدثة للترابط والترابط بين أنظمة وأصول تكنولوجيا المعلومات والاتصالات، وحيثما كان ذلك مناسبا، لمكونات البرمجيات والأجهزة المعنية".
وفي حين أن هذا المطلب خاص بالقطاع المالي، فإنه يشير إلى أن الاتحاد الأوروبي يدرس أهمية شفافية البرمجيات في ضمان مرونة الأمن السيبراني. ويبقى أن نرى ما إذا كان قانون المرونة السيبرانية الأوروبي أو المبادرات التشريعية الأخرى سوف تتضمن متطلبات أكثر وضوحا لـ SBOMs في المستقبل.
كيف سيؤثر مشروع القانون هذا عليك؟
وبما أن قانون ECRA لم يصبح نهائيًا بعد، فمن الصعب أن يكون نهائيًا هنا. وما يمكننا القيام به هو رسم أوجه التشابه مع تشريع شامل آخر للاتحاد الأوروبي ــ اللائحة العامة لحماية البيانات.
اللائحة العامة لحماية البيانات (GDPR) هي لائحة شاملة لحماية الخصوصية والبيانات اعتمدها الاتحاد الأوروبي (EU) في أبريل 2016 ودخلت حيز التنفيذ في 25 مايو 2018. وينطبق مشروع القانون على جميع المنظمات التي تقوم بجمع أو معالجة أو تخزين البيانات الشخصية للأفراد الموجودين في الاتحاد الأوروبي، بغض النظر عن موقع المنظمة أو موقع البيانات المخزنة. وهو يفرض التزامات على المؤسسات لضمان أمان وخصوصية البيانات الشخصية، بما في ذلك متطلبات إشعار خرق البيانات، وتقييمات تأثير حماية البيانات، والخصوصية حسب التصميم والافتراضي. قد تواجه المنظمات التي لا تلتزم باللائحة العامة لحماية البيانات غرامات كبيرة وعقوبات أخرى.
في السنوات التي تلت دخول مشروع القانون الخاص باللائحة العامة لحماية البيانات حيز التنفيذ، لاحظنا تأثير "انتشار" هذه اللائحة. في البداية، كانت المنظمات التي تمارس أعمالها في الاتحاد الأوروبي فقط هي التي شعرت أنها بحاجة إلى الامتثال. واجهت الشركات الأمريكية العديد من الغرامات الباهظة لتجاهلها متطلبات مشروع القانون. واليوم، حتى الشركات التي لا علاقة لها بمواطني الاتحاد الأوروبي تتبع هذه اللائحة. من المنطقي فقط أن تمتثل لذلك، فإذا أردت البيع لأوروبا، فلن تكون هناك حاجة إلى التدافع من أجل الامتثال.
بشكل عام، تشعر ECRA بنفس الطريقة. ومع استمرار سعي الكثير من دول العالم للاستجابة للارتفاع الكبير في حوادث الأمن السيبراني، فإن أي تشريع شامل وواضح مصمم للتخفيف من أوجه القصور الأمنية التي يعاني منها منتجو البرمجيات لديه فرصة جيدة لاعتماده. مرة أخرى - من المنطقي الالتزام مقدمًا، بحيث إذا كنت مستعدًا للبيع إلى الاتحاد الأوروبي، فستتم تغطيتك بالفعل عندما تكون مستعدًا للبيع.
وهذا يعني أن الإجابة على السؤال "هل سيؤثر علي مشروع القانون هذا؟" إنها نعم مدوية إذا كان لديك أي علاقة بتصنيع البرمجيات. قد لا يؤثر عليك الأمر خارج النطاق ولكن في مرحلة ما، ستحتاج إلى الالتزام به، حتى لو تم الاعتراف به كأفضل ممارسة جديدة شائعة.
ولحسن الحظ، يمكن لمركز الأمان المبني على الأدلة مساعدتك
للتغلب على التحديات الأمنية المتطورة التي نشهدها حاليا تطور أمن التطبيقات إلى أمن سلسلة توريد البرمجيات. ويتضمن جيلاً جديدًا من التقنيات والأدوات الجديدة التي تحاول مواجهة هذه التحديات. تساعد الأدوات والحلول الآلية المؤسسات على تحقيق مستوى جديد من الأمان من خلال توفير منصة ضمان أمان التعليمات البرمجية المستمرة القائمة على الأدلة والتي يمكن أن تشهد على موثوقية دورة حياة تطوير البرامج ومكونات البرامج.
كاتب هو مركز أمان سلسلة توريد البرمجيات. فهو يجمع الأدلة ويقدمها لكل عملية بناء يتم تشغيلها عبر خط أنابيب CI/CD الخاص بك. تم تصميم حل Scribe لتسهيل الامتثال للوائح الولايات المتحدة والاتحاد الأوروبي وأفضل الممارسات فيما يتعلق بزيادة شفافية البرامج والثقة بين موفري البرامج ومستخدمي البرامج. يتيح النظام الأساسي إمكانية إنشاء SBOM ومشاركته بالإضافة إلى رؤى أمنية أخرى. علاوة على ذلك، يمكن للنظام التحقق من أن الإصدار الذي تبحث عنه متوافق مع مستوى SLSA 3 ومع إطار عمل SSDF الخاص بـ NIST. بالنظر إلى العلاقات والتشابهات الواضحة بين ECRA وSSDF، فإن القدرة على إثبات أن برنامجك متوافق مع SSDF يمكن أن يقطع شوطًا طويلًا في إثبات امتثالك لـ ECRA أيضًا.
كلمة أخيرة: لا تكن غير مستعد
يعد قانون المرونة السيبرانية الأوروبي حاليًا مجرد اقتراح ولم يعتمده الاتحاد الأوروبي بعد. ويخضع القانون المقترح حاليًا للعملية التشريعية، ويراجعه البرلمان الأوروبي ومجلس الاتحاد الأوروبي. ومن المتوقع أن يخضع مشروع القانون لعدة جولات من المفاوضات والمراجعات قبل اعتماده كقانون. هناك احتمال كبير أن تتغير النسخة النهائية للقانون، بما في ذلك الأحكام المتعلقة بأمن المنتج، وإصدار الشهادات، والمنتجات والقطاعات التي يغطيها مشروع القانون.
ومن الجدير بالذكر أن تفاصيل كيفية اقتراح القانون للتحقق من أن المنتجات تلبي معايير الأمن السيبراني لم تتم تغطيتها بالكامل بعد في المسودة المنشورة. قد تتضمن النسخة النهائية من القانون متطلبات أكثر تحديدًا لشهادة المنتج والتحقق منه من بين العديد من المجالات الأخرى التي تتطلب التوضيح. نظرًا لأن التشريع لم يتم تنفيذه بالكامل بعد، فقد اقترح أصحاب المصلحة في الصناعة أن يتضمن التشريع تعريفات أكثر دقة، مع مراعاة الاختلافات في إنشاء المنتجات الرقمية ووظائفها واستخدامها. وأوضحوا أن متطلبات الأمن السيبراني الصارمة للغاية تنطوي على خطر إبقاء الشركات الصغيرة والمتوسطة خارج السوق. لإظهار مدى عدم اليقين الذي تتسم به الأمور، جديد تحديث اعتبارًا من ديسمبر 2022، وضعت بالفعل منتجات SAAS خارج نطاق اللائحة بشكل واضح.
ولمنح كل من دول الاتحاد الأوروبي ومطوري المنتجات ذات الصلة الوقت الكافي للتكيف، ستدخل اللائحة المقترحة حيز التنفيذ بعد 24 شهرًا من دخولها حيز التنفيذ، باستثناء متطلبات الإبلاغ الخاصة بالمصنعين، والتي ستدخل حيز التنفيذ بعد 12 شهرًا من تاريخ مشروع القانون يصبح قانونا. قد تبدو السنتان فترة طويلة، ولكن إذا كنت تدير شركة صغيرة أو متوسطة واضطررت فجأة إلى اتباع مجموعة كاملة من لوائح الأمن السيبراني الجديدة، فقد يبدو هذا الإطار الزمني قصيرًا جدًا.
بغض النظر عن التفاصيل الدقيقة، يمثل قانون ECRA خطوة مهمة إلى الأمام في جهود الاتحاد الأوروبي لتعزيز الأمن السيبراني وحماية البنية التحتية الحيوية ويمكننا جميعًا أن نتطلع إلى عالم تمتثل فيه معظم الشركات لقانون ECRA بشكل طبيعي كما يقومون بإبلاغ العملاء بجمع ملفات تعريف الارتباط الخاصة بهم سياسة.
يتم تقديم هذا المحتوى إليك بواسطة Scribe Security، وهي شركة رائدة في مجال توفير حلول أمان سلسلة توريد البرامج الشاملة - حيث توفر أحدث الأمان لعناصر التعليمات البرمجية وعمليات تطوير التعليمات البرمجية وتسليمها عبر سلاسل توريد البرامج. تعرف على المزيد.
الوظائف ذات الصلة
