Успешных кибератаки на аппаратные и программные продукты становятся тревожно частыми. По данным Cybersecurity Ventures, в 7 году киберпреступность обошлась миру примерно в 2022 триллионов долларов США. Учитывая столь высокую цену, неудивительно, что и компании, и правительства обращают на это внимание. США лидировали в Указ президента «О повышении кибербезопасности страны» от 12 мая 2021 года., Затем последовало безопасная среда разработки программного обеспечения (SSDF) от NIST это постепенно становится новой передовой практикой, необходимой как само собой разумеющееся в любом программном продукте. Европейский Союз не стоит сложа руки – Европейский закон о киберустойчивости — это предлагаемый законодательный акт, призванный усилить кибербезопасность критически важных инфраструктур по всему ЕС.
Этап сбора отзывов по законопроекту начался еще в декабре 2020 года, но первый проект законопроекта был опубликован только 14 сентября 2022 года. погрузитесь и попытайтесь объяснить, о чем идет речь в этом законопроекте и на кого он повлияет. Начнем с краткого обзора предлагаемого законодательства.
Разрушение законопроекта: что вам нужно знать
Целью ECRA является усиление кибербезопасности критически важных инфраструктур по всему Европейскому Союзу (ЕС). Закон в первую очередь затрагивает операторов основных услуг и поставщиков цифровых услуг. Они определены в существующей Директиве ЕС по безопасности сетевых и информационных систем (Директива NIS) и включают, среди прочего, секторы энергетики, транспорта, банковского дела, здравоохранения и цифровой инфраструктуры.
Предлагаемый закон также будет распространяться на поставщиков цифровых услуг, на которых не распространяется действие Директивы NIS, но которые предлагают онлайн-услуги потребителям в ЕС. К ним относятся онлайн-торговые площадки, службы облачных вычислений и поисковые системы.
Поскольку он направлен на то, чтобы охватить любые подключенные устройства, еще не подпадающие под действие другого законодательства ЕС, вполне вероятно, что это повлияет на Интернет вещей и другие подключенные устройства, особенно на те, которые уже есть на рынке.
Предлагаемый закон включает в себя ряд мер, таких как:
- Создание схемы сертификации кибербезопасности для операторов основных услуг и поставщиков цифровых услуг.
- Создание платформы для обмена информацией о кибербезопасности, которая поможет организациям обмениваться информацией о киберугрозах и инцидентах. Предлагаемый законопроект включает обязательство сообщать о любых событиях, связанных с кибербезопасностью, в течение 24 часов в Агентство Европейского Союза по кибербезопасности (ENISA).
- Принятие единой методологии оценки рисков кибербезопасности и разработка руководств по управлению рисками.
- Создание Европейского центра киберустойчивости для оказания поддержки государствам-членам в случае кибератаки.
Важно отметить, что предлагаемое законодательство включает схему сертификации продуктов, услуг и процессов ИКТ. Процесс сертификации включает оценку соответствия назначенным органом по оценке соответствия (CAB), чтобы определить, соответствует ли продукт, услуга или процесс требованиям, указанным в Законе. Закон учреждает Европейский совет по сертификации киберустойчивости, который отвечает за поддержание схемы сертификации и обеспечение ее единообразия на всей территории ЕС. Предполагается, что регулярное тестирование и аудит будут продолжаться даже после того, как новый совет выдаст сертификат соответствия поставщику соответствующего продукта, услуги или процесса. Постоянный мониторинг позволит гарантировать, что соблюдение требований законопроекта не ослабнет после выдачи сертификата – поддержание соблюдения требований должно быть непрерывным.
Кроме того, ECRA предлагает ряд мер по улучшению сотрудничества и обмена информацией между государствами-членами ЕС, а также по укреплению возможностей ЕС в области кибербезопасности. К ним относятся создание Европейского центра компетенции в области кибербезопасности и сети национальных координационных центров по кибербезопасности, а также разработка общей структуры для отчетности об инцидентах кибербезопасности и реагирования на них. Законопроект также предлагает создать европейскую базу данных уязвимостей, чтобы не полагаться исключительно на данные США. ПНВ.
Законопроект также охватывает надзор за рынком и правоприменение, чтобы гарантировать, что новые стандарты должным образом соблюдаются во всех государствах-членах, а также для любых охваченных устройств и услуг, предлагаемых на рынке ЕС, независимо от того, где они были произведены.
Как это связано с недавним передовым опытом США?
Как упоминалось выше, и США, и ЕС намеревались повысить уровень защиты кибербезопасности своих рынков. Таким образом, имеет смысл посмотреть, нашли ли какое-либо из новых передовых практик США применение в ECRA.
Тем, кто знаком с SSDF (NIST 800-218) некоторые формулировки ECRA могут показаться знакомыми. Законопроект требует, чтобы безопасность была включена в продукты с момента их создания, а не «добавлялась» позже. ECRA включает требования по выявлению и управлению риски цепочки поставок, а предлагаемая Европейская схема сертификации кибербезопасности, хотя она еще и не определена должным образом, вероятно, потребует использования Спецификация программного обеспечения (SBOM) и безопасные методы разработки программного обеспечения.
Предложение также призывает к реализации технических и организационных мер для защиты информационных систем и данных, включая использование надежной аутентификации и шифрования, возможностей мониторинга и обнаружения, планирования реагирования на инциденты, а также регулярного тестирования и аудита безопасности – все элементы четко определены в SSDF.
Одной из новых передовых практик, продвигаемых в США, является использование SBOM для отслеживания зависимостей, уязвимостей и лицензирования программного обеспечения. Его цель — повысить прозрачность продукта и дать производителям и пользователям более четкое представление о том, что именно может быть скрыто внутри продукта. Хотя ECRA не упоминает SBOM прямо, стоит отметить, что вопрос прозрачности программного обеспечения, который включает в себя концепцию SBOM, уже давно является темой обсуждения в контексте стратегии кибербезопасности Европейского Союза. В июне 2021 года Европейская комиссия опубликовала предложение по Положение о цифровой операционной устойчивости для финансового сектора, которое включает требование к финансовым организациям использовать и поддерживать «всеобъемлющую и актуальную инвентаризацию своих ИКТ-систем и активов». Этот перечень должен включать «актуальную карту взаимосвязей и взаимозависимостей систем и активов ИКТ и, где это уместно, соответствующего программного обеспечения и аппаратных компонентов».
Хотя это требование специфично для финансового сектора, оно предполагает, что Европейский Союз учитывает важность прозрачности программного обеспечения для обеспечения устойчивости кибербезопасности. Еще неизвестно, будут ли Европейский закон о киберустойчивости или другие законодательные инициативы включать более четкие требования к SBOM в будущем.
Как этот законопроект повлияет на вас?
Поскольку ECRA еще не является окончательным, здесь трудно дать однозначный ответ. Что мы можем сделать, так это провести параллели с другим комплексным законодательством ЕС – GDPR.
Общий регламент по защите данных (GDPR) — это всеобъемлющий регламент по защите конфиденциальности и данных, принятый Европейским Союзом (ЕС) в апреле 2016 года и вступивший в силу 25 мая 2018 года. Законопроект распространяется на все организации, которые собирают, обрабатывают или хранят данные. персональные данные физических лиц, находящихся на территории ЕС, независимо от местонахождения организации или места хранения данных. Он налагает на организации обязательства по обеспечению безопасности и конфиденциальности персональных данных, включая требования к уведомлению об утечке данных, оценке воздействия на защиту данных, а также конфиденциальности по умолчанию и по умолчанию. Организации, не соблюдающие GDPR, могут столкнуться со значительными штрафами и другими санкциями.
За годы, прошедшие с момента вступления в силу законопроекта о GDPR, мы заметили «просачивающийся» эффект этого регулирования. Первоначально только организации, которые вели бизнес в ЕС, считали, что им необходимо соблюдать требования. Американские предприятия столкнулись с несколькими крупными штрафами за игнорирование требований законопроекта. Сегодня даже бизнес, не имеющий никакого отношения к гражданам ЕС, соблюдает правила. Соблюдение имеет смысл только для того, чтобы, если и когда вы захотите продавать в Европу, вам не нужно было бороться за соблюдение требований.
В целом, ECRA чувствует то же самое. Поскольку многие страны мира все еще пытаются отреагировать на всплеск инцидентов в области кибербезопасности, любое всеобъемлющее и четкое законодательство, призванное смягчить недостатки безопасности производителей программного обеспечения, имеет хорошие шансы на принятие. Опять же, имеет смысл заранее соблюдать требования, чтобы, если и когда вы будете готовы продавать в ЕС, вы уже были застрахованы.
Это означает, что ответ на вопрос: «Затронет ли меня этот законопроект?» однозначно да, если вы имеете какое-либо отношение к производству программного обеспечения. Возможно, на первый взгляд это не затронет вас, но в какой-то момент вам придется соблюдать требования, даже если это только что было признано новой общей передовой практикой.
К счастью, центр безопасности, основанный на фактических данных, может помочь.
Чтобы преодолеть развивающиеся проблемы безопасности, мы в настоящее время наблюдаем эволюция безопасности приложений к безопасности цепочки поставок программного обеспечения. Он включает в себя новое поколение технологий и новых инструментов, которые пытаются решить эти проблемы. Автоматизированные инструменты и решения помогают организациям достичь нового уровня безопасности, предоставляя основанную на фактических данных платформу непрерывного обеспечения безопасности кода, которая может подтвердить надежность жизненного цикла разработки программного обеспечения и компонентов программного обеспечения.
Писец — это центр безопасности цепочки поставок программного обеспечения. Он собирает доказательства и представляет их для каждой сборки, проходящей через ваш конвейер CI/CD. Решение Scribe было создано для обеспечения соответствия нормам США и ЕС, а также лучшим практикам с точки зрения повышения прозрачности программного обеспечения и доверия между поставщиками программного обеспечения и пользователями программного обеспечения. Платформа позволяет подробно создавать и обмениваться SBOM, а также получать другую информацию о безопасности. Более того, платформа может проверить, что рассматриваемая вами сборка соответствует уровню SLSA 3 и структуре SSDF NIST. Учитывая очевидные взаимосвязи и сходства между ECRA и SSDF, возможность подтвердить, что ваше программное обеспечение совместимо с SSDF, также может иметь большое значение для установления вашего соответствия ECRA.
Заключительное слово: не будьте застигнуты врасплох
Европейский закон о киберустойчивости в настоящее время является лишь предложением и еще не принят ЕС. Предложенный закон в настоящее время находится на законодательном процессе и рассматривается Европейским парламентом и Советом ЕС. Ожидается, что законопроект пройдет несколько раундов переговоров и доработок, прежде чем будет принят в качестве закона. Существует большая вероятность того, что окончательная версия закона может измениться, включая положения, касающиеся безопасности продукции, сертификации, а также продуктов и секторов, охватываемых законопроектом.
Стоит отметить, что детали того, как закон предлагает проверять соответствие продуктов стандартам кибербезопасности, еще не полностью раскрыты в опубликованном проекте. Окончательная версия закона может включать более конкретные требования к сертификации и проверке продукции, а также многие другие области, требующие разъяснений. Поскольку закон еще не полностью реализован, заинтересованные стороны отрасли предложили, чтобы законодательство включало более точные определения, принимая во внимание различия в создании, функциональности и использовании цифровых продуктов. Они ясно дали понять, что слишком строгие требования кибербезопасности могут привести к тому, что МСП останутся вне рынка. Чтобы показать, насколько неопределенны вещи, новый обновление с декабря 2022 года продукты SAAS уже явно выведены за рамки регулирования.
Чтобы дать государствам ЕС и соответствующим разработчикам продукции время на адаптацию, предлагаемое постановление вступит в силу через 24 месяца после его вступления в силу, за исключением требования об отчетности для производителей, которое вступит в силу через 12 месяцев после даты вступления в силу. законопроект становится законом. Два года могут показаться долгим сроком, но если вы управляете малым или средним бизнесом и вам внезапно приходится соблюдать целый ряд новых правил кибербезопасности, эти сроки могут показаться слишком короткими.
Независимо от точных деталей, ECRA представляет собой значительный шаг вперед в усилиях ЕС по повышению кибербезопасности и защите критической инфраструктуры, и мы все можем рассчитывать на мир, в котором большинство предприятий соблюдают ECRA так же естественно, как они информируют клиентов о своей коллекции файлов cookie. политика.
Этот контент предоставлен вам Scribe Security, ведущим поставщиком комплексных решений для обеспечения безопасности цепочки поставок программного обеспечения, обеспечивающим современную безопасность артефактов кода, а также процессов разработки и доставки кода по всей цепочке поставок программного обеспечения. Подробнее.
Статьи по теме
