Новая парадигма кибербезопасности: ответственность на производителе

Развитие интеллектуальных устройств и Интернета вещей (устройств IoT) усиливает вероятность проведения успешных кибертак. Ведь в подключенной среде удар по безопасности одного продукта может затронуть всю организацию или систему в целом.

Новые технологии обеспечивают опцией подключения к интернету все большее число бытовых устройств, включая радионяни, пылесосы, холодильники. Мегаполисы подключают к Глобальной паутине городские системы освещения, наблюдения, контроля за дорожной ситуацией и пр. На этом фоне возможность удаленного проникновения выглядит все более вероятной. Если речь идет о коммунальных объектах, то последствия таких действий могут быть сродни катастрофе.

Цена кибербезопасности

В ЕС оценивают ежегодный ущерб от кражи данных в интернете в €10 млрд, а от нарушений интернет-трафика — как минимум в €65 млрд. В целом для мировой экономики объем потерь от киберпреступлений с 2015 по 2020 год удвоился и достиг €5,5 трлн.

Эти цифры заставляют по-новому взглянуть на парадигму кибербезопасности. Теперь основной груз ответственности за вероятные инциденты следует возлагать не на пользователя, а на производителя, обязав его обеспечивать безопасность продукции в течение всего ее жизненного цикла.

Первый шаг в этом направлении сделала Еврокомиссия, обнародовавшая 15 сентября Акт о кибербезопасности. Этот документ еще нуждается в ратификации Европарламентом и подготовке подзаконных актов. Тем не менее он недвусмысленно указывает на то, к чему должны готовиться производители гаджетов и других устройств, подключенных к Глобальной паутине.

Прежде всего, Акт о кибербезопасности существенно расширит перечень приборов, подпадающих под его воздействие. Как указано в пояснении, на многие аппаратные средства до сих пор распространяются самые общие требования законодательства, связанные с машинами, но не отвечающие сегодняшнему уровню развития технологий.

Перечень таких устройств будет определять Агентство ЕС по кибербезопасности (ENISA). Оно же разработает систему сертификации продуктов и услуг в области кибербезопасности.

ENISA также получит дополнительные полномочия и финансирование для создания технической основы конкретных схем сертификации. Это ведомство будет информировать потребителей о выданных сертификатах и станет связующим звеном для государств-членов ЕС в вопросе обработки киберинцидентов и противодействия трансграничным кибератакам.

Возможны варианты

В своем прошлогоднем послании председатель Еврокомиссии Урсула фон дер Ляйен завила, что ЕС стремится стать глобальным лидером в области кибербезопасности, сославшись на готовящееся обновление законодательства. А комиссар по внутреннему рынку Тьерри Бретон обратил внимание на важность согласованных действий в этом направлении.

«На взаимосвязанном едином рынке мы настолько сильны, насколько сильно самое слабое звено. Поэтому мы должны коллективно повышать уровень нашей безопасности», — подчеркнул Бретон.

Сейчас в Еврокомиссии рассматривают несколько вариантов политики кибербезопасности, в том числе включающие меры мягкого права и схемы добровольной сертификации. Тем не менее процедуры, очевидно, будут зависеть от функциональности устройства и характера нанесения возможного вреда.

Большинство устройств, выводящихся на рынок, станут объектами обязательной сертификации. А их производителям — в случае несоответствия требованиям Акта о кибербезопасности — грозит изъятие товаров с прилавков, а также штрафы в размере 2,5% годового дохода компании (но не более €15 млн) или 2% (€10 млн) за менее серьезные нарушения. Впрочем, сложно назвать эти суммы непосильной платой для технологических гигантов.

Далее проект закона о киберустойчивости должны рассмотреть Европарламент и Совет ЕС, а затем производители получат 2 года на подготовку к новым требованиям. Тем не менее практически сразу после ратификации нового закона ENISA должно начать подготовку реестра активно используемых уязвимостей и инцидентов, причем сообщать о них обязаны будут все производители.

Еврокомиссия прогнозирует, что новое законодательство даст экономический эффект в €180–290 млрд в год. При этом переход на новую ступеньку кибербезопасности обойдется компаниям и государственным органам примерно в €29 млрд.

Источники: European Commission, Bloomberg