КібергігієнаАкт про кіберстійкість допоможе Європейському Союзу захистити своїх громадян від хакерських атак

Комітет із промисловості, досліджень та енергетики Європарламенту схвалив акт, який має гарантувати відповідність цифрових продуктів до високих вимог кібербезпеки. Нікола Данті, доповідач за пропозицію акту винесеного на голосування, пояснює Linkiesta, чому це голосування таке важливе для захисту держав, бізнесу та споживачів

Unsplash

Кібербезпека Європи настільки сильна, наскільки є міцною найслабша ланка в ланцюзі: питання кібербезпеки повинно стати основною складовою нашої економіки. Ферруччо Де Бортолі має рацію, коли пише, що “комп’ютерний вірус подібний до вірусу здоров’я. Він змінює профілактику, а не суть проблеми, тому й існує і кібергігієна”. 

Матеріальні та нематеріальні збитки від кіберзлочинності неухильно зростають, і в 2021 році вони оцінювалися приблизно в 5,5 трильйонів євро. Не минає й дня без сповіщень про атаки, вразливості, ransomware (програми, які блокують комп’ютер і вимагають викупу, щоб його розблокувати – прим. перекладачки) і тому подібне. Ось чому голосування Комітету із промисловості, досліджень та енергетики Європейського парламенту за Акт про кіберстійкість (Cyber Resilience Act, або CRA), по якому я є доповідачем, є важливим етапом для кібербезпеки на нашому континенті.

Цим актом ми хочемо встановити горизонтальні вимоги до кібербезпеки для продуктів hardware та software, щоб гарантувати підвищення безпеки виробниками на етапі проектування та розробки, підвищення кібербезпеки на рівні мережі поставок і постiйного забезпечення користувачів оновленням систем безпеки. Тільки тоді, коли продукт відповідає цим вимогам, він може маркуватись знаком СЕ (Conformité Européenne – знак, що наноситься на продукт, який відповідає основним вимогам директив і стандартам відповідності ЄС – прим. перекладачки) і вільно йти в оборот на єдиному ринку.

Таким чином, продукти, що підключаються до мережі, повинні бути розроблені, так, щоб зменшити потенційні можливості для атак, а також мати механізми для забезпечення захисту від неавторизованого доступу, а також конфіденційності та цілісності даних. Компанії зобов’язані забезпечити регулярне усунення виявлених протягом життєвого циклу продукту факторів ризику, в тому числі шляхом автоматичного встановлення оновлень безпеки (зберігаючи при цьому право користувача на відключення цієї функції).

Крім того, нами був складений список продуктів високого ризику, до яких доведеться застосовувати більш суворі зобов’язання. Для таких продуктів як криптопроцесори (мікропроцесори, призначені для роботи з ключами шифрування), брандмауери для промислового використання, буде недостатньо визначення оцінки виробниками відповідності стандартам операційних систем продукції. Вони повинні будуть оцінюватися третіми сторонами, так званими органами з оцінки відповідності, які спеціалізуються на проведенні аудитів і надаватимуть більше гарантій тим, хто буде користуватися цими продуктами.

Ми також намагалися дати збалансовану відповідь на питання щодо software open-source (програмне забезпечення з відкритим вихідним кодом – прим. перекладачки), чітко звільняючи від зобов’язань тих, хто робить внесок у неприбуткові проєкти, але в той же час залучаючи до відповідальності фундації та компанії, які знаходяться в самому серці екосистеми open-source і володіють економічними та технічними можливостями для гарантії більш захищеного продукту.

Підсумовуючи, можна сказати, що забезпечення кібербезпеки з самого початку виробничого процесу не лише захистить економіку та фінансові інтереси Європи, але й надасть нашим компаніям перевагу над міжнародними конкурентами.

Кібербезпека – це питання, яке стосується всіх: держав, компаній та громадян, адже, як нагадує Де Бортолі: “І невелика компанія, і навіть працівник, який працює вдома в режимі “smart working”, може стати вразливим місцем для злочинних атак, які беруть у заручники конфіденційні дані”. З CRA Європа готується цьому протистояти.

Переклад Катерини Мички 

X