Uredba o cyber bezbednosti: više akcija EU
Sada daleko u 2018. regulatori EU mislili su da će poboljšati stanje cyber bezbednosti rešavanjem jednog ishoda: kršenja ličnih podataka. Uvođenjem strogih kazni i pretvaranjem privatnosti podataka u opsesiju, smatralo se da će Opšta uredba o zaštiti podataka (GDPR) dovesti organizacije u red i da će ozbiljnije shvatiti cyber bezbednost. Međutim, čini se da je stvarnost pretekla regulatore, jer su cyber napadi sada sve češći i destruktivniji, zajedno sa kršenjem ličnih podataka.
Evropska komisija se sada priprema da usvoji novi propis pod nazivom "Akt o cyber otpornosti" do kraja 2022. Njime će se uvesti obavezni zahtevi cyber bezbednost za proizvode koji imaju "digitalne elemente" i koji se prodaju širom EU, sa zahtevima koji se primenjuju tokom njihovog životnog ciklusa - što znači da će dobavljači morati da obezbede stalnu bezbednosnu podršku i ažuriranja zakrpa za ranjivosti u nastajanju.
Nova uredba će se odnositi na širok spektar proizvoda: od kućnih aparata i povezanih igračaka do računara i softvera. Među uključenim proizvodima su sistemi za upravljanje identitetom, serverski operativni sistemi, desktop i mobilni uređaji, zaštitni zidovi, ruteri, softver za upravljanje mobilnim uređajima, VPN proizvodi i još mnogo, mnogo više. Ukratko, skoro svaki dobavljač IT tehnologije koja se koristi u savremenim organizacijama moraće da se pridržava toga.
Osim što dodaje još jedno regulatorno opterećenje, da li je regulacija već pogrešno usmerena i da li zaostaje za realnošću u smislu stvarne vrednosti za sve zainteresovane strane?
Prvo, uzmite razloge za novu uredbu: predlog navodi bugove poput onog u MS Windowsima koji je omogućio širenje crva Wannacry još 2017. ili softverski bug Kaseya koji je izložio mnoge svoje korisnike hakovanju 2021. Iako ranjivosti poput ove mogu uzrokovati poremećaje, današnji hakeri su više zabrinuti za kompromitovanje legitimnih repozitorija koda, kao što s vidi u napadu Solarwinds Sunburst ili kompromitovanju dobavljača računovodstvenog softvera ME Doc iz Kijeva, koji je doveo do napada visokog profila (poput onog protiv Maerska).
Ovi napadi se u suštini ne odnose na ranjivosti, već na podmetanje autentifikacije kroz taktiku društvenog inženjeringa i ubacivanja koda u inače legitimna spremišta koda. Jednostavno rečeno, propis ignoriše slona u prostoriji: većina napada danas zasnovana je na tehnikama krađe identiteta, odnosno prevari zaposlenih ili programera da dozvole pristup privatnim sistemima.
Drugo, "wormable" eksploatacije koje omogućuju nekontrolisano širenje bez interakcije korisnika su zapravo manje destruktivne u smislu krađe ili uništavanja podataka. Poslednji značajan bio je onaj koji je omogućio Wannacryju da se proširi 2017., a čak je i taj napad bio manje uspešan u smislu širenja od ranijih crva kao što je bio Conficker 2008. Danas, crvi koji se automatski šire ciljaju uglavnom uređaje koji se isporučuju u podrazumevanom nesigurnom stanju (podrazumevane lozinke) i manje ih "pokreću" ranjivosti. Primer su popularni roboti kao što je crv Mirai koji inficiraju različite uređaje povezane s mrežom - od Linux servera do rutera, zaštitnog zida i IoT uređaja.
Treće, obavezne zakrpe mogu imati neželjene posledice: pritisak da se izdaju zakrpe će smanjiti kvalitet. Zero Day Initiative (ZDI) već ističe da se 10% do 20% ranjivosti ponovo razmatra i ispravlja. Administratori koji primenjuju bezbednosne zakrpe otkrivaju da je sve teže odrediti vrijeme ažuriranja i odrediti uticaj zakrpa na njihove organizacije. Više krpanja znači više rizika od zastoja i prekida. Ona će svakako rasti, što je upravo suprotno od navedenih ciljeva uredbe.
Moglo bi se nabrojati još mnogo neželjenih posledica ovakvih propisa, ali već sada zabrinjava činjenica da predlog izgleda zastarelo i pre njegovog usvajanja (krajem 2022. godine).
