Uskoro nova uredba o kibernetičkoj sigurnosti u EU
Sada već daleke 2018. godine regulatori EU mislili su da će poboljšati stanje kibernetičke sigurnosti rješavanjem jednog ishoda: kršenja osobnih podataka. Nametanjem strogih kazni i pretvaranjem privatnosti podataka u opsesiju, smatralo se da će Opća uredba o zaštiti podataka (GDPR) dovesti organizacije u red i da će ozbiljnije shvatiti kibernetičku sigurnost. Međutim, čini se da je stvarnost pretekla regulatore, budući da su kibernetički napadi sada sve učestaliji i destruktivniji, kao i povrede osobnih podataka.
Europska komisija se sada sprema do kraja 2022. usvojiti novu uredbu pod nazivom "Akt o kibernetičkoj otpornosti". Uvest će obvezne zahtjeve kibernetičke sigurnosti za proizvode koji imaju "digitalne elemente" i prodaju se diljem EU, sa zahtjevima koji se primjenjuju tijekom cijelog životnog ciklusa - što znači da će dobavljači morati osigurati stalnu sigurnosnu podršku i ažuriranja za zakrpe novonastalih ranjivosti.
Nova uredba odnosit će se na širok raspon proizvoda: od kućanskih aparata i povezanih igračaka do računala i softvera. Među uključenim proizvodima su sustavi za upravljanje identitetom, operativni sustavi za poslužitelje, stolna računala i mobilne uređaje, vatrozidi, routeri, softver za upravljanje mobilnim uređajima (MDM), VPN proizvodi i još mnogo, mnogo toga. Ukratko, nove uredbe morat će se pridržavati gotovo svaki dobavljač IT tehnologije koja se koristi u modernim organizacijama.
Osim dodavanja još jednog regulatornog tereta, je li propis već sada pogrešno usmjeren i zaostaje li za stvarnošću u smislu stvarne vrijednosti za sve dionike?
Prvo, uzmite razloge za novu uredbu: prijedlog navodi bugove poput onog u MS Windowsima koji je omogućio širenje crva Wannacry još 2017. ili softverski bug u Kaseya softveru koji je izložio mnoge svoje korisnike hakiranju 2021. Iako ranjivosti kao što su ove mogu uzrokovati štete, današnji hakeri više se bave kompromitiranjem legitimnih repozitorija koda, i to se vidi u napadu Solarwinds Sunburst ili kompromitaciji dobavljača računovodstvenog softvera ME Doc, koji je doveo do poznatih napada poput onog protiv Maerska.
Ti se napadi u biti ne odnose na ranjivosti, već na podrivanje autentifikacije putem taktika socijalnog inženjeringa i ubacivanja koda u inače legitimna spremišta koda. Jednostavno rečeno, propis zanemaruje očito: većina današnjih napada temelji se na tehnikama krađe identiteta, tj. prijevarom zaposlenika ili programera da dopuste pristup privatnim sustavima.
Drugo, novi prijedlog Uredbe se jako bavi sigurnosnim propustima koji omogućavaju mrežnim crvima automatsko širenje. Međutim, takve "wormable" eksploatacije koje dopuštaju nekontrolirano širenje bez interakcije korisnika zapravo su manje destruktivne u smislu krađe ili uništenja podataka. Posljednja od značaja bila je zapravo ona koja je omogućila širenje Wannacryja 2017., a čak je i taj napad bio manje uspješan u pogledu širenja od ranijih crva poput Confickera 2008. Danas, crvi koji se automatski šire ciljaju uglavnom uređaje isporučene u zadanom nesigurnom stanju (zadane lozinke) i manje su "pokretane" ranjivostima. Primjer su popularni bot malveri kao što je crv Mirai koji inficiraju razne mrežno priključene uređaje - od Linux poslužitelja do usmjerivača, vatrozida i IoT uređaja.
Treće, nametanje obaveze ishitrenog krpanja može imati neželjene posljedice: pritisak da se izdaju zakrpe smanjit će dodatno kvalitetu softvera. Zero Day Initiative (ZDI) već sada ističe da se 10% do 20% ranjivosti ponovno popravlja zbog propusta u inicijalnim verzijama zakrpi. Administratori koji primjenjuju sigurnosne zakrpe otkrivaju da je sve teže odrediti vrijeme ažuriranja i utvrditi utjecaj zakrpa na njihove organizacije. Više krpanja bez ikakvih kriterija i procjene stvarnog rizika znači više zastoja i prekida. Ispadi će sigurno rasti, što je upravo suprotno navedenim ciljevima uredbe.
Moglo bi se nabrajati još mnogo neželjenih posljedica ovakvih propisa, od regulatornog tereta i straha od kazni koji najviše pogađa male proizvođače, do još jednog gušenja inovacija.
No već sada zabrinjava činjenica da prijedlog izgleda zastarjelo i prije donošenja (očekuje se krajem 2022. godine).
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_305,h_305,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
