आपकी डिजिटल सेवाओं का बचाव: यूरोपीय साइबर लचीलापन अधिनियम पर एक अंदरूनी नज़र

सफल हार्डवेयर और सॉफ्टवेयर दोनों उत्पादों के विरुद्ध साइबर हमले चिंताजनक रूप से लगातार होते जा रहे हैं। साइबरसिक्योरिटी वेंचर्स के अनुसार, 7 में साइबर अपराध से दुनिया को अनुमानित 2022 ट्रिलियन अमेरिकी डॉलर का नुकसान हुआ। इतनी ऊंची कीमत के साथ इसमें कोई आश्चर्य नहीं है कि कंपनियां और सरकारें दोनों इस पर ध्यान दे रही हैं। अमेरिका ने इसका नेतृत्व किया राष्ट्र की साइबर सुरक्षा में सुधार पर राष्ट्रपति का कार्यकारी आदेश 12 मई, 2021 को जारी किया गया। इसके बाद हुआ एनआईएसटी से सुरक्षित सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ)। यह धीरे-धीरे एक स्थापित नई सर्वोत्तम प्रथा बनती जा रही है, जो किसी भी सॉफ्टवेयर उत्पाद में अनिवार्य रूप से आवश्यक है। यूरोपीय संघ चुपचाप खड़ा नहीं है - यूरोपीय साइबर लचीलापन अधिनियम यूरोपीय संघ भर में महत्वपूर्ण बुनियादी ढांचे की साइबर सुरक्षा को मजबूत करने के लिए डिज़ाइन किया गया एक प्रस्तावित कानून है। 

बिल के लिए फीडबैक एकत्र करने का चरण दिसंबर 2020 में शुरू हुआ था, लेकिन बिल का पहला मसौदा 14 सितंबर, 2022 को प्रकाशित हुआ था। चूंकि ऐसे किसी भी बड़े पैमाने के कानून के संभावित रूप से व्यापक प्रभाव हो सकते हैं, इसलिए हमने सोचा कि हम इस पर विचार करेंगे। गोता लगाएँ और यह समझाने का प्रयास करें कि यह बिल क्या है और इससे कौन प्रभावित होने वाला है। आइए प्रस्तावित कानून के संक्षिप्त अवलोकन से शुरुआत करें।

बिल को तोड़ना: आपको क्या जानना चाहिए

ईसीआरए का लक्ष्य पूरे यूरोपीय संघ (ईयू) में महत्वपूर्ण बुनियादी ढांचे की साइबर सुरक्षा को मजबूत करना है। यह अधिनियम मुख्य रूप से आवश्यक सेवाओं के संचालकों और डिजिटल सेवा प्रदाताओं को प्रभावित करता है। इन्हें नेटवर्क और सूचना प्रणालियों की सुरक्षा पर यूरोपीय संघ के मौजूदा निर्देश (एनआईएस निर्देश) में परिभाषित किया गया है और इसमें ऊर्जा, परिवहन, बैंकिंग, स्वास्थ्य और डिजिटल बुनियादी ढांचा क्षेत्र शामिल हैं।

प्रस्तावित अधिनियम उन डिजिटल सेवा प्रदाताओं पर भी लागू होगा जो एनआईएस निर्देश के अंतर्गत नहीं आते हैं, लेकिन जो यूरोपीय संघ में उपभोक्ताओं को ऑनलाइन सेवाएं प्रदान करते हैं। इनमें ऑनलाइन बाज़ार, क्लाउड कंप्यूटिंग सेवाएँ और खोज इंजन शामिल हैं।

चूँकि इसका उद्देश्य किसी भी कनेक्टेड डिवाइस को कवर करना है जो पहले से ही अन्य ईयू कानून द्वारा कवर नहीं किया गया है, इसलिए संभावना है कि यह IoT और अन्य कनेक्टेड डिवाइसों को प्रभावित करेगा, विशेष रूप से वे जो पहले से ही बाजार में हैं।

प्रस्तावित अधिनियम में कई उपाय शामिल हैं, जैसे:

• आवश्यक सेवाओं के संचालकों और डिजिटल सेवा प्रदाताओं के लिए साइबर सुरक्षा प्रमाणन योजना की स्थापना।
• संगठनों को साइबर खतरों और घटनाओं के बारे में जानकारी साझा करने में मदद करने के लिए एक साइबर सुरक्षा सूचना-साझाकरण मंच का निर्माण। प्रस्तावित विधेयक में किसी भी साइबर सुरक्षा घटना के लिए 24 घंटे के भीतर यूरोपीय संघ एजेंसी फॉर साइबर सिक्योरिटी (ENISA) को रिपोर्टिंग दायित्व शामिल है। 
• साइबर सुरक्षा जोखिमों का आकलन करने और जोखिम प्रबंधन के लिए दिशानिर्देशों के विकास के लिए एक सामान्य पद्धति को अपनाना।
• साइबर हमले की स्थिति में सदस्य देशों को सहायता प्रदान करने के लिए यूरोपीय साइबर रेजिलिएंस सेंटर की स्थापना।

महत्वपूर्ण बात यह है कि प्रस्तावित कानून में आईसीटी उत्पादों, सेवाओं और प्रक्रियाओं के लिए एक प्रमाणन योजना शामिल है। प्रमाणन प्रक्रिया में निर्दिष्ट अनुरूपता मूल्यांकन निकाय (सीएबी) द्वारा एक अनुरूपता मूल्यांकन शामिल होता है ताकि यह निर्धारित किया जा सके कि उत्पाद, सेवा या प्रक्रिया अधिनियम में निर्दिष्ट आवश्यकताओं को पूरा करती है या नहीं। अधिनियम एक यूरोपीय साइबर रेजिलिएंस सर्टिफिकेशन बोर्ड की स्थापना करता है, जो प्रमाणन योजना को बनाए रखने और पूरे यूरोपीय संघ में इसकी स्थिरता सुनिश्चित करने के लिए जिम्मेदार है। नए बोर्ड द्वारा संबंधित उत्पाद, सेवा या प्रक्रिया के प्रदाता को अनुरूपता का प्रमाण पत्र जारी करने के बाद भी नियमित परीक्षण और ऑडिटिंग जारी रखी जाती है। निरंतर निगरानी यह सुनिश्चित करेगी कि प्रमाणपत्र दिए जाने के बाद बिल की आवश्यकताओं का अनुपालन धीमा न हो - अनुपालन बनाए रखने का मतलब निरंतर होना है।

इसके अलावा, ईसीआरए यूरोपीय संघ के सदस्य देशों के बीच सहयोग और सूचना-साझाकरण को बेहतर बनाने और यूरोपीय संघ की साइबर सुरक्षा क्षमताओं को मजबूत करने के लिए कई उपायों का प्रस्ताव करता है। इनमें एक यूरोपीय साइबर सुरक्षा क्षमता केंद्र की स्थापना और राष्ट्रीय साइबर सुरक्षा समन्वय केंद्रों का एक नेटवर्क, साथ ही साइबर सुरक्षा घटना रिपोर्टिंग और प्रतिक्रिया के लिए एक सामान्य ढांचे का विकास शामिल है। विधेयक में एक यूरोपीय भेद्यता डेटाबेस की स्थापना का भी प्रस्ताव है ताकि केवल अमेरिका पर निर्भर न रहना पड़े एनवीडी.

बिल में बाजार निगरानी और प्रवर्तन को भी शामिल किया गया है ताकि यह सुनिश्चित किया जा सके कि नए मानकों का सभी सदस्य राज्यों के भीतर और यूरोपीय संघ के बाजार के भीतर पेश किए गए किसी भी कवर किए गए उपकरणों और सेवाओं के लिए ठीक से पालन किया जाता है, चाहे वे कहीं भी निर्मित किए गए हों।

यह हाल की अमेरिकी सर्वोत्तम प्रथाओं से कैसे संबंधित है?

जैसा कि ऊपर उल्लेख किया गया है, अमेरिका और यूरोपीय संघ दोनों ने अपने-अपने बाजारों की साइबर सुरक्षा सुरक्षा को उन्नत करने की योजना बनाई है। ऐसे में यह देखना सार्थक होगा कि क्या अमेरिका की किसी नई सर्वोत्तम पद्धति ने ईसीआरए में अपना रास्ता खोज लिया है।

परिचित लोगों के लिए एसएसडीएफ (एनआईएसटी 800-218) ईसीआरए की कुछ भाषाएं परिचित लग सकती हैं। विधेयक के लिए आवश्यक है कि सुरक्षा को उत्पादों में उनकी शुरुआत से ही शामिल किया जाए और बाद में इसे 'जोड़ा' न जाए। ईसीआरए में पहचान और प्रबंधन की आवश्यकताएं शामिल हैं आपूर्ति श्रृंखला जोखिम, और प्रस्तावित यूरोपीय साइबर सुरक्षा प्रमाणन योजना, हालांकि अभी भी ठीक से परिभाषित नहीं है, संभवतः इसके उपयोग की आवश्यकता होगी सामग्री का सॉफ्टवेयर बिल (एसबीओएम) और सुरक्षित सॉफ़्टवेयर विकास प्रथाएँ।

प्रस्ताव में सूचना प्रणालियों और डेटा को सुरक्षित करने के लिए तकनीकी और संगठनात्मक उपायों के कार्यान्वयन का भी आह्वान किया गया है, जिसमें मजबूत प्रमाणीकरण और एन्क्रिप्शन, निगरानी और पता लगाने की क्षमताओं, घटना प्रतिक्रिया योजना और नियमित सुरक्षा परीक्षण और ऑडिटिंग का उपयोग शामिल है - सभी तत्व स्पष्ट रूप से परिभाषित हैं। एसएसडीएफ.

अमेरिका में प्रचारित नई सर्वोत्तम प्रथाओं में से एक निर्भरता, कमजोरियों और सॉफ्टवेयर लाइसेंसिंग को ट्रैक करने के लिए एसबीओएम का उपयोग है। इसका उद्देश्य उत्पाद पारदर्शिता बढ़ाना और निर्माताओं और उपयोगकर्ताओं को यह स्पष्ट रूप से देखने में सक्षम बनाना है कि उत्पाद के अंदर वास्तव में क्या छिपा हो सकता है। हालांकि ईसीआरए स्पष्ट रूप से एसबीओएम का उल्लेख नहीं करता है, लेकिन यह ध्यान देने योग्य है कि सॉफ्टवेयर पारदर्शिता का मुद्दा, जिसमें एसबीओएम की अवधारणा शामिल है, यूरोपीय संघ की साइबर सुरक्षा रणनीति के संदर्भ में लंबे समय से चर्चा का विषय रहा है। जून 2021 में, यूरोपीय आयोग ने एक प्रस्ताव जारी किया डिजिटल परिचालन लचीलेपन पर विनियमन वित्तीय क्षेत्र के लिए, जिसमें वित्तीय संस्थाओं के लिए "अपने आईसीटी सिस्टम और परिसंपत्तियों की व्यापक और अद्यतन सूची" का उपयोग करने और बनाए रखने की आवश्यकता शामिल है। इस सूची में "आईसीटी प्रणालियों और परिसंपत्तियों के अंतर्संबंधों और अन्योन्याश्रितताओं का एक अद्यतन मानचित्र और, जहां प्रासंगिक हो, संबंधित सॉफ़्टवेयर और हार्डवेयर घटकों का शामिल होना चाहिए।"

हालाँकि यह आवश्यकता वित्तीय क्षेत्र के लिए विशिष्ट है, लेकिन यह सुझाव देती है कि यूरोपीय संघ साइबर सुरक्षा लचीलापन सुनिश्चित करने में सॉफ़्टवेयर पारदर्शिता के महत्व पर विचार कर रहा है। यह देखा जाना बाकी है कि क्या यूरोपीय साइबर लचीलापन अधिनियम या अन्य विधायी पहलों में भविष्य में एसबीओएम के लिए अधिक स्पष्ट आवश्यकताएं शामिल होंगी। 

इस बिल का आप पर क्या प्रभाव पड़ने वाला है? 

चूंकि ईसीआरए अभी तक अंतिम नहीं हुआ है इसलिए यहां निश्चित होना कठिन है। हम जो कर सकते हैं वह एक अन्य व्यापक यूरोपीय संघ कानून - जीडीपीआर के साथ समानताएं बनाना है। 

जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर) एक व्यापक गोपनीयता और डेटा संरक्षण विनियमन है जिसे यूरोपीय संघ ने अप्रैल 2016 में अपनाया (ईयू) और यह 25 मई, 2018 को प्रभावी हुआ। यह बिल उन सभी संगठनों पर लागू होता है जो डेटा एकत्र करते हैं, प्रोसेस करते हैं या स्टोर करते हैं। यूरोपीय संघ में स्थित व्यक्तियों का व्यक्तिगत डेटा, संगठन के स्थान या संग्रहीत डेटा के स्थान की परवाह किए बिना। यह व्यक्तिगत डेटा की सुरक्षा और गोपनीयता सुनिश्चित करने के लिए संगठनों पर दायित्व थोपता है, जिसमें डेटा उल्लंघन अधिसूचना, डेटा सुरक्षा प्रभाव आकलन और डिज़ाइन और डिफ़ॉल्ट द्वारा गोपनीयता की आवश्यकताएं शामिल हैं। जीडीपीआर का अनुपालन करने में विफल रहने वाले संगठनों को महत्वपूर्ण जुर्माना और अन्य दंड का सामना करना पड़ सकता है।

जिन वर्षों में हमने जीडीपीआर बिल को प्रभावी होते देखा है, हमने इस विनियमन का 'ट्रिकल-डाउन' प्रभाव देखा है। प्रारंभ में, केवल यूरोपीय संघ में व्यापार करने वाले संगठनों को लगा कि उन्हें अनुपालन करने की आवश्यकता है। बिल की आवश्यकताओं की अनदेखी के लिए अमेरिकी व्यवसायों को कई भारी जुर्माने का सामना करना पड़ा। आज, यहां तक ​​कि जिन व्यवसायों का यूरोपीय संघ के नागरिकों से कोई लेना-देना नहीं है, वे भी विनियमन का पालन करते हैं। अनुपालन करने में ही समझदारी है ताकि जब भी आप यूरोप को बेचना चाहें तो अनुपालन के लिए परेशान न होना पड़े।  

कुल मिलाकर, ईसीआरए भी लगभग वैसा ही महसूस करता है। चूँकि दुनिया का अधिकांश हिस्सा अभी भी साइबर सुरक्षा घटनाओं में वृद्धि का जवाब देने के लिए संघर्ष कर रहा है, सॉफ्टवेयर उत्पादकों की सुरक्षा कमियों को कम करने के लिए डिज़ाइन किए गए किसी भी व्यापक और स्पष्ट कानून को अपनाए जाने की अच्छी संभावना है। फिर - पहले से ही अनुपालन करना समझ में आता है ताकि जब भी आप यूरोपीय संघ को बेचने के लिए तैयार हों तो आप पहले से ही कवर हों। 

इसका मतलब है कि इस सवाल का जवाब 'क्या यह बिल मुझ पर असर डालने वाला है?' यदि आपका सॉफ़्टवेयर निर्माण से कोई लेना-देना है तो यह एक जोरदार हाँ है। हो सकता है कि यह आपको बाहर से प्रभावित न करे लेकिन कुछ बिंदु पर, आपको इसका अनुपालन करने की आवश्यकता होगी, भले ही इसे केवल एक नई सामान्य सर्वोत्तम प्रथा के रूप में मान्यता दी गई हो।

सौभाग्य से, एक साक्ष्य-आधारित सुरक्षा केंद्र मदद कर सकता है

उभरती सुरक्षा चुनौतियों पर काबू पाने के लिए हम वर्तमान में प्रयास कर रहे हैं सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा के लिए एप्लिकेशन सुरक्षा का विकास. इसमें नई पीढ़ी की प्रौद्योगिकियाँ और नवीन उपकरण शामिल हैं जो इन चुनौतियों का समाधान करने का प्रयास करते हैं। स्वचालित उपकरण और समाधान संगठनों को साक्ष्य-आधारित निरंतर कोड सुरक्षा आश्वासन मंच प्रदान करके सुरक्षा का एक नया स्तर हासिल करने में मदद करते हैं जो सॉफ्टवेयर विकास जीवन चक्र और सॉफ्टवेयर घटकों की विश्वसनीयता को प्रमाणित कर सकता है।

मुंशी एक सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा केंद्र है। यह आपके सीआई/सीडी पाइपलाइन के माध्यम से चलने वाले प्रत्येक निर्माण के लिए साक्ष्य एकत्र करता है और उन्हें प्रस्तुत करता है। स्क्राइब का समाधान सॉफ्टवेयर की पारदर्शिता और सॉफ्टवेयर प्रदाताओं और सॉफ्टवेयर उपयोगकर्ताओं के बीच विश्वास बढ़ाने के संदर्भ में यूएस और ईयू नियमों और सर्वोत्तम प्रथाओं के अनुपालन की सुविधा के लिए बनाया गया था। प्लेटफ़ॉर्म विस्तृत एसबीओएम निर्माण और साझाकरण के साथ-साथ अन्य सुरक्षा अंतर्दृष्टि सक्षम बनाता है। इसके अलावा, प्लेटफ़ॉर्म यह सत्यापित कर सकता है कि आप जिस बिल्ड को देख रहे हैं वह एसएलएसए स्तर 3 और एनआईएसटी के एसएसडीएफ ढांचे के अनुरूप है। ईसीआरए और एसएसडीएफ के बीच स्पष्ट संबंधों और समानताओं को ध्यान में रखते हुए, यह प्रमाणित करने में सक्षम होना कि आपका सॉफ्टवेयर एसएसडीएफ के अनुरूप है, आपके ईसीआरए अनुपालन को स्थापित करने में भी काफी मदद कर सकता है।

एक अंतिम शब्द: बिना तैयारी के पकड़े न जाएँ

यूरोपीय साइबर लचीलापन अधिनियम वर्तमान में केवल एक प्रस्ताव है और इसे अभी तक यूरोपीय संघ द्वारा अपनाया नहीं गया है। प्रस्तावित अधिनियम वर्तमान में विधायी प्रक्रिया में है, जिसकी यूरोपीय संसद और यूरोपीय संघ की परिषद द्वारा समीक्षा की जा रही है। विधेयक को कानून के रूप में अपनाने से पहले कई दौर की बातचीत और संशोधन से गुजरने की उम्मीद है। इस बात की अच्छी संभावना है कि अधिनियम का अंतिम संस्करण बदल सकता है, जिसमें उत्पाद सुरक्षा, प्रमाणन और विधेयक में शामिल उत्पादों और क्षेत्रों से संबंधित प्रावधान शामिल हैं। 

यह ध्यान देने योग्य है कि अधिनियम किस प्रकार यह सत्यापित करने का प्रस्ताव करता है कि उत्पाद साइबर सुरक्षा मानकों को पूरा करते हैं, इसका विवरण अभी तक प्रकाशित मसौदे में पूरी तरह से शामिल नहीं किया गया है। अधिनियम के अंतिम संस्करण में कई अन्य क्षेत्रों के अलावा उत्पाद प्रमाणन और सत्यापन के लिए अधिक विशिष्ट आवश्यकताएं शामिल हो सकती हैं जिनके लिए स्पष्टीकरण की आवश्यकता है। चूंकि कानून अभी तक पूरी तरह से लागू नहीं हुआ है, इसलिए उद्योग हितधारकों ने सुझाव दिया कि कानून में डिजिटल उत्पादों के निर्माण, कार्यक्षमता और उपयोग में भिन्नता को ध्यान में रखते हुए अधिक सटीक परिभाषाएं शामिल होनी चाहिए। उन्होंने यह स्पष्ट कर दिया कि बहुत सख्त साइबर सुरक्षा आवश्यकताओं से एसएमई को बाजार से बाहर रखने का जोखिम है। यह दिखाने के लिए कि चीज़ें कितनी अनिश्चित हैं, एक नई बात अद्यतन दिसंबर 2022 से SAAS उत्पादों को स्पष्ट रूप से विनियमन के दायरे से बाहर रखा गया है। 

यूरोपीय संघ के राज्यों और संबंधित उत्पाद डेवलपर्स दोनों को समायोजन के लिए समय देने के लिए, प्रस्तावित विनियमन लागू होने के 24 महीने बाद प्रभावी होगा, निर्माताओं के लिए रिपोर्टिंग आवश्यकता के अपवाद के साथ, जो कि तारीख के 12 महीने बाद प्रभावी होगा। बिल कानून बन रहा है. दो साल एक लंबा समय लग सकता है, लेकिन अगर आप एक छोटा या मध्यम व्यवसाय चलाते हैं और अचानक आपको कई नए साइबर सुरक्षा नियमों का पालन करना पड़ता है, तो वह समय सीमा बहुत कम लग सकती है।

सटीक विवरण के बावजूद, ईसीआरए साइबर सुरक्षा को बढ़ाने और महत्वपूर्ण बुनियादी ढांचे की सुरक्षा के लिए ईयू के प्रयासों में एक महत्वपूर्ण कदम का प्रतिनिधित्व करता है और हम सभी एक ऐसी दुनिया की आशा कर सकते हैं जहां अधिकांश व्यवसाय ईसीआरए का स्वाभाविक रूप से अनुपालन करते हैं और ग्राहकों को उनके कुकी संग्रह के बारे में सूचित करते हैं। नीति।  

संबंधित पोस्ट

अराजकता से स्पष्टता तक: सत्यापन के साथ अपनी आपूर्ति श्रृंखला को कैसे सुरक्षित करें

जैसे-जैसे हर कोई उत्तरोत्तर अधिक जागरूक होता जा रहा है, आपकी सॉफ़्टवेयर आपूर्ति श्रृंखलाओं की सुरक्षा करना हर संगठन की साइबर सुरक्षा रणनीति का एक महत्वपूर्ण हिस्सा होना चाहिए। सॉफ़्टवेयर आपूर्ति श्रृंखला के खतरों को कम करने के लिए एक व्यापक रणनीति बनाने में मुख्य कठिनाइयों में से एक आपूर्ति श्रृंखला की जटिलता और विविधता है। प्रत्येक आपूर्ति श्रृंखला अद्वितीय है, और तत्व […]

बचाव के लिए एसबीओएम उपकरण - एक्सजेड यूटिल्स बैकडोर केस

XZ यूटिल्स (CVE-2024-3094) बैकडोर क्या है? CVE-2024-3094, अप्रैल 2024 की शुरुआत में प्रकाशित, एक लिनक्स उपयोगिता में दुर्भावनापूर्ण रूप से डाला गया एक पिछला दरवाजा है। एक जिज्ञासु और सुरक्षा के प्रति जागरूक माइक्रोसॉफ्ट सॉफ्टवेयर इंजीनियर एंड्रेस फ्रायंड ने इसका पता लगाया था, जो मुख्य लिनक्स वितरण में एकीकृत होने के कगार पर था। यदि यह सफल हो जाता, तो सर्वरों की अकल्पनीय संख्या […]

आप यह कैसे सुनिश्चित कर सकते हैं कि आपकी निचली रेखा ओएमबी मेमो द्वारा नष्ट न हो जाए?

अमेरिकी सरकार अपनी साइबर सुरक्षा नीतियों में सुधार करने की प्रक्रिया में है। इसमें नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (एनआईएसटी) द्वारा सिक्योर सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ) संस्करण 1.1 जारी करना शामिल है, जिसका उद्देश्य सॉफ्टवेयर डेवलपमेंट लाइफ साइकल (एसडीएलसी) में सुरक्षा कमजोरियों को कम करना है। दस्तावेज़ सॉफ़्टवेयर विक्रेताओं और अधिग्रहणकर्ताओं को "एक […]