fb
IT Systems 6/2023 IT Security 13. 7. 2023 10:14

Je nové nařízení o kybernetické odolnosti CRA skutečným krokem vpřed pro kyberbezpečnost?

EU Cyber Resilience ActEvropská komise předložila 15. září 2022 návrh nového nařízení nazvaného Akt o kybernetické odolnosti (European Cyber Resilience Act, CRA). Tento právní předpis prosazuje plošný evropský přístup ke kybernetické bezpečnosti a týká se konkrétně výrobců hardwaru a softwaru, neboť právě ti nesou největší odpovědnost za vývoj (bezpečnějších) technologických prostředků.

CRA versus NIS2

NIS2 bude vyžadovat, aby organizace napříč různými sektory zajistily, že systémy, které používají k poskytování služeb a provádění svých činností, dosahují vyšší úrovně kybernetické bezpečnosti. NIS2 nahradí v příštím roce stávající nařízení EU o kybernetické bezpečnosti, směrnici NIS. Nařízení Cyber Resilience Act (CRA) oproti tomu stanoví požadavky na kybernetickou bezpečnost pro hardwarové a softwarové produkty uváděné na trh EU.

Evropská unie má v souvislosti s tímto nařízením o kybernetické odolnosti velké ambice. Věří například, že se zavedením jasnějších pravidel pro výrobce technologií podaří snížit počet kybernetických útoků, a tím i celkové náklady na kyberkriminalitu o 290 miliard eur ročně. Nakolik jsou však tyto ambice reálné?

Posílení technologických produktů i znalostí uživatelů

Osnova návrhu nařízení CRA spočívá v identifikaci hlavních překážek v oblasti kybernetické bezpečnosti. Prvním zjištěným strukturálním problémem je obecně nízká úroveň zabezpečení technologií, protože každý čtvrtý ICT produkt na trhu má „nízký“ nebo „velmi nízký“ stupeň zabezpečení. Někteří výrobci dokonce někdy zabezpečení záměrně omezují, aby své produkty uvedli na trh rychleji. Pokud je úvodní nízká úroveň zabezpečení později opravena prostřednictvím aktualizací, dochází k nim obvykle až ve chvíli, kdy je jejich zranitelnost odhalena. I když to představuje nákladnou investici, faktor bezpečnosti by měl být součástí výrobku již od fáze návrhu a společnosti by měly být podporovány v tom, aby své produkty chránily co nejlépe.

Druhým zjištěným strukturálním problémem je nedostatek znalostí o odpovědném zacházení s ICT produkty. Sedm z deseti evropských uživatelů přiznává, že si dostatečně neuvědomuje rizika spojená s kybernetickými útoky. Kromě toho koncoví uživatelé při nákupu výrobků nepovažují bezpečnost za hlavní kritérium, protože jednodu­še předpokládají, že produkt byl již jako bezpečný navržen. Tento nedostatek ale může mít i opačný účinek a může vyvolat obezřet­nost kupujících, a tím přispět ke zpomalení zavádění inovativních technologií. Výrobci jsou proto odpovědní za to, že uživatelům poskytnou nezbytné informace o úrovni bezpečnosti svých výrobků.

Složitá jurisdikce

Každý, kdo by se začetl do kodexu evropského práva, by objevil nejméně 33 právních předpisů týkajících se oblasti kybernetické bezpečnosti (a čtyři další, které se teprve připravují) a položil by si otázku, nikoli bez lítosti ke studentům evropského práva: „Proč bychom tedy potřebovali v této věci další nařízení?“

Odpověď je jednoduchá: nové nařízení o kybernetické odolnosti navazuje na předchozí, které vstoupilo v platnost v roce 2019 a které bylo prvním pokusem o zavedení pravidel určených k regulaci celého evropského trhu s informačními a komunikačními technologiemi. Cílem tohoto nového nařízení je proto zaplnit mezery v tom předchozím a stanovit přísná pravidla, která budou dodržována všemi subjekty v Evropské unii. Ta doufá, že se jí podaří vyřešit roztříštěnost trhu, kde má každá země svá vlastní – často příliš vágní – pravidla v oblasti kybernetické bezpečnosti a kde jsou produkty nedostatečně kontrolovány.

Odpovědnost výrobců

Podle nařízení o kybernetické odolnosti jsou za kybernetickou bez­pečnost svých produktů, tedy hardwaru i softwaru, odpovědní pře­de­vším výrobci. Podle oficiálního znění se nařízení vztahuje na vý­rob­ce „jakéhokoli produktu, jehož zamýšlené použití vyžaduje přímé nebo nepřímé digitální nebo fyzické připojení k zařízení nebo síti“.

Konkrétně se tato odpovědnost týká tří povinností. Za prvé, produkty musí být vyvíjeny, navrhovány a vyráběny v souladu s dlouhým seznamem „základních bezpečnostních pravidel“ pro ochranu před neoprávněným přístupem, bezpečné ukládání citlivých dat a poskytování aktualizací. Kromě toho musí být výrobci schopni poskytnout uživatelům dostatečnou dokumentaci týkající se bezpečné instalace a používání jejich produktů.

Třetí, ale nikoli poslední povinností je testování. S ohledem na transparentnost vůči svým zákazníkům budou muset výrobci pověřit třetí strany prováděním bezpečnostních testů a nově budou povinni hlásit zranitelnosti objevené ve výrobku po jeho uvedení na trh. V případech, kdy tato povinnost nebude dodržována, budou uplatňovány příslušné sankce. Výrobky, které nesplní bezpečnostní požadavky, budou stahovány z trhu a výrobci, kteří nechtějí zlepšit úroveň bezpečnosti svých produktů, mohou být rovněž vystaveni vysokým finančním sankcím.

GDPR efekt

Je na místě vyjádřit určité výhrady i k účinnosti dalších částí návrhu nařízení o kybernetické bezpečnosti. Například povinnost upozornit uživatele na rizika spojená s nedostatečným zabezpečením může mít smíšené dopady a vyvolává „GDPR efekt“, před kterým je třeba mít se na pozoru. Toto nařízení, které vstoupilo v platnost před více než pěti lety, se v mnoha podnicích stále neuplatňuje správně. Dnes lidi obtěžují zejména všechna oznámení o cookies, kterými musí procházet při každé návštěvě webových stránek. Přestože je Evropská unie chce povzbudit k rozumnému využívání technologií a dat, neustálé varování před nebezpečím je může stejně dobře zmást, nebo dokonce způsobit jejich lhostejnost.

Nařízení o kybernetické odolnosti má před sebou ještě dlouhou cestu, než bude plně přijato, protože se zdá být příliš ambiciózní. Výrobci navíc nebudou mít jinou možnost než zásadně investovat do bezpečnosti svých produktů, aby splňovaly nové požadavky. Je nepochybné, že se nátlakové skupiny budou snažit vyjednávat o určitých úpravách.

I když se cíle Evropské unie zdají být dosažitelné, je jisté, že si budeme muset počkat několik let, než se ukáže, zda toto nařízení skutečně může přinést v oblasti kybernetické bezpečnosti významné změny.

Chester Wisniewski Chester Wisniewski
Autor článku je technickým ředitelem pro aplikovaný výzkum ve společnosti Sophos.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 10 IT Systems 9 IT Systems 7-8 IT Systems 6
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1