Talas sajber regulacije je pred nama
Nejasno je hoće li snažna regulatorna aktivnost, vezana za cyber sigurnost, poboljšati trenutno stanje stvari, ali se povećava potencijal za neželjene posljedice jer će ionako oskudna sredstva morati biti usmjerena na usklađivanje, a ukupna sigurnost može biti smanjena.
Sigurno je da neće nedostajati preklapajućih zahtjeva za sertifikaciju i sukladnost, a napori da se organizacije usklade sa različitim standardima izveštavanja u EU, SAD, Australiji i drugde će rasti. Posebno će biti komplikovano uskladiti rok za prijavu cyber incidenta - od 6 sati u Indiji, 72 sata u EU prema GDPR-u ili četiri radna dana u SAD. Postoje i mnoge varijacije u svakoj zemlji jer postoje mnogi propisi koji dolaze iz različitih agencija.
Takođe, nije jasno definisano šta čak i predstavlja cyber "incident" jer različiti događaji mogu da pokrenu zahteve za prijavljivanje ovisno o jurisdikciji. Prema jednoj zvaničnoj definiciji, prijavljuje se samo radnja koja "odmah kompromituje" sistem ili predstavlja "neposrednu pretnju" kršenja zakona. Ali šta ako napadač pokuša da pokrene napad, ali bude odbijen jer nije pogodio lozinku? Je li svaki phishing napad incident? Ili napad uskraćivanja usluge (DDoS)? Na ova pitanja nema odgovora, jer ni sami kreatori politike nisu sigurni u njih.
U nedavno objavljenom članku u Harvard Business Reviewu, Stuart Madnick s MIT-a navodi: "Zakonodavci se često bore da regulišu tehnologije - odgovaraju na političku hitnost, a većini nedostaje čvrsto razumijevanje tehnologije koju žele kontrolirati. Posljedice, utjecaji i neizvjesnosti za preduzeća često se shvate tek kasnije." Prilikom uvođenja GDPR-a 2018. godine mnoge štetne nuspojave nisu uzete u obzir i smatra se da propis nije poboljšao stanje sigurnosti.
Ovo su neke od inicijativa koje se trenutno razmatraju ili donose:
u SAD-u, Federalna trgovinska komisija, Uprava za hranu i lijekove, Ministarstvo transporta, Ministarstvo energetike i Agencija za kibernetičku i infrastrukturnu sigurnost (CISA) rade na novim pravilima za različite industrijske vertikale, s posebnim fokusom na kritičnu infrastrukturu
Samo 2021. godine 36 američkih država usvojilo je nove zakone o cyber sigurnosti.
Tokom 2022. godine, EU je radila na ažuriranju svoje NIS Direktive iz 2016. godine, koja pruža okvir državama članicama da regulišu tehnološke usluge i proizvode koji se smatraju ključnim za njihovu ekonomiju i funkcionisanje društva. Predloženi NIS2 uključuje revizije koje bi stvorile novu kategoriju kritične digitalne infrastrukture, povećale zahteve za izveštavanje o cyber incidentima i nametnule dodatne zahteve za upravljanje rizicima u cyber sigurnosti.
EU je također predložila ažuriranje svog Zakona o digitalnoj operativnoj otpornosti (DORA), stvarajući nove zahtjeve za informacijske komunikacijske tehnologije koje se koriste u sektoru finansijskih usluga.
Evropska komisija je predložila Zakon o kibernetičkoj otpornosti, kojim bi se utvrdili zahtjevi za kibernetičku sigurnost za samostalni softver i povezane uređaje, te pomoćne usluge. Relevantne prakse za dobavljače softvera uključuju korištenje sigurnog životnog ciklusa razvoja softvera i obezbjeđivanje popisa materijala za softver (tzv. SBOM).
Kongres SAD-a usvojio je zakon kojim se ovlašćuje Agencija za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA) da izdaje propise koji zahtijevaju prijavljivanje kibernetičkih incidenata od operatora kritične infrastrukture, a Američka administracija za sigurnost prometa (TSA) izdala je nove sektorske zahtjeve za kibernetičku sigurnost u sektoru transporta. Zahtjevi uključuju imenovanje regulatora kibernetičke sigurnosti i provedbu posebnih mjera za ublažavanje napada ransomwarea.
TSA je također izdao dvije dodatne sigurnosne direktive u 2021. koje su proširile zahtjeve kibernetičke sigurnosti na teretne željeznice, putničke željezničke prijevoznike ili željezničke tranzitne sisteme. Direktiva je između ostalog zahtijevala da pokriveni operateri imenuju koordinatora za kibernetičku sigurnost i prijave incidente kibernetičke sigurnosti u roku od 24 sata.
TSA je također objavio da je ažurirao svoje programe za sigurnost u avijaciji tako da zahtijevaju od operatera aerodroma i avio-kompanija da imenuju sigurnosnog koordinatora i prijave incidente u roku od 24 sata.
U Ujedinjenom Kraljevstvu, nacrt zakona o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi zahtijevat će od proizvođača potrošačkih proizvoda koji se mogu povezati (kao što su pametni televizori), da prestanu koristiti zadane lozinke koje su laka meta cyber kriminalaca i da uspostave politiku otkrivanja ranjivosti.
U EU se novi sigurnosni standardi ili zahtjevi provode kroz niz zakonodavnih instrumenata, uključujući Delegirani akt za Direktivu o radio opremi, koji se primjenjuje na bežične uređaje i nastoji poboljšati otpornost mreže, zaštititi privatnost potrošača i smanjiti rizik od financijske prijevare.
Agencija Evropske unije za kibernetičku sigurnost (ENISA) razmatra šemu certifikacije kibernetičke sigurnosti za pružaoce usluga u oblaku.
Agencija Evropske unije za sigurnost u vazduhoplovstvu, poznata kao EASA, izdala je nove zahtjeve za cyber sigurnost koji se primjenjuju na lanac nabavke u avijaciji, uključujući proizvođače aviona i aviokompanije. Nova pravila cyber sigurnosti zahtijevat će od brojnih dobavljača avijacije da identifikuju i brane se od hakerskih rizika, radi sigurnosti letenja. Jasno je da će nova pravila, koja stupaju na snagu 2025. godine, dovesti do velikog povećanja obima posla.
Gore navedeno je samo dio novih propisa koji su na snazi ili će se uskoro primijeniti. Jasno je da će kompanije morati da se snalaze u složenijim regulatornim okvirima, što implicira povećano opterećenje i veće troškove. Ono što nije jasno je kako će ovi često suprotstavljeni i nedosljedni propisi promovirati sajber sigurnost.
Comments