UE zaostrza przepisy w zakresie cyberbezpieczeństwa
Unia Europejska planuje wprowadzić surowe zasady dotyczące zabezpieczeń dla twórców produktów cyfrowych. Firmy będą musiały udowodnić, że spełniają podstawowe wymagania w zakresie cyberbezpieczeństwa. Lista obejmuje szeroką gamę produktów, od sprzętu AGD i innych domowych sprzętów podłączonych do Internetu, aż po oprogramowanie i komputery.
BIZNES INTERIA na Facebooku i jesteś na bieżąco z najnowszymi wydarzeniami
Projekt ustawy wymaga od producentów prowadzących działalność na obszarze Unii Europejskiej dostarczania poprawek bezpieczeństwa i aktualizacji produktów przez cały okres ich użytkowania lub pięć lat po wejściu na rynek, w zależności od tego co jest krótsze.
Firmy łamiące zasady będą podlegać karom w wysokości do 15 milionów euro lub 2,5 proc, globalnych przychodów. Lista obejmuje szeroką gamę produktów, od sprzętu AGD i innych domowych sprzętów podłączonych do Internetu, aż po oprogramowanie i komputery.
- Kiedy kupujesz produkt, ważne jest, aby produkt nie posiadał luk w zabezpieczeniach. Obecnie tak się nie dzieje. To przełomowe przepisy, bowiem Europa jest pierwszym kontynentem, który wprowadza tak surowe wymagania wobec dostawców produktów cyfrowych - powiedział Thierry Breton, komisarz UE ds. rynku wewnętrznego.
Nowy pomysł Unii Europejskiej budzi kontrowersję wśród dostawców. Według ZVEI (stowarzyszenie niemieckich firm elektrycznych i cyfrowych), wprowadzenie nowych zasad dotyczących cyberbezpieczeństwa wydłuży czas i podniesie koszty opracowywania nowych rozwiązań.
Produkty z komponentami cyfrowymi będą musiały wyświetlać etykiety informujące, że są zgodne z nowymi przepisami i informujące jak długo będzie udzielane wsparcie cybernetyczne. Propozycja nie obejmuje urządzeń medycznych i samochodów, bowiem są one regulowane innymi przepisami.
Firmy będą również musiały ujawnić tzw. wykaz materiałów oprogramowania, zawierający listę składników każdego produktu, co może pomóc producentom monitorować ich łańcuchy dostaw i śledzić luki w zabezpieczeniach.
Projekt przepisów zawiera listę 38 krytycznych produktów technologicznych wymaganych do uzyskania ocen cyberbezpieczeństwa od niezależnego organu.
Do tej grupy należą menedżery haseł i zapory ogniowe, mikrokontrolery, przemysłowe urządzenia Internetu rzeczy i inteligentne liczniki. Jednak według urzędników przygotowujących nowe przepisy około 90 proc. firm będzie w stanie dokonać certyfikacji we własnym zakresie.
W mieszkaniach pracuje wiele inteligentnych urządzeń podłączonych do Internetu. Według danych zebranych przez systemy telemetryczne Bitdefender, produkty z autorskimi zamkniętymi systemami operacyjnymi, obsługują 34 proc. inteligentnych urządzeń pracujących w domach.
Niestety, odpowiadają one za 96 procent wszystkich wykrytych luk w zabezpieczeniach. Pozostałe 4 proc. przypada na sprzęt obsługiwany przez Androida, Windowsa oraz iOS.
Uważam, że projekt UE jest bardzo dobrą, idącą z duchem czasu decyzją. Bardzo często spotykamy się z sytuacjami, że producenci urządzeń łączących się z Internetem po dwóch latach, a nawet wcześniej nie wydają żadnych poprawek, uaktualnień.
Użytkownicy nadal korzystają z tych produktów, nie zdając sobie sprawy, że często są one furtką dla hakerów - mówi Mariusz Politowicz z firmy Marken, dystrybutor rozwiązań Bitdefender w Polsce.
Warto dodać, iż w ubiegłym roku belgijska organizacja konsumencka Test-Achats przetestowała 16 połączonych urządzeń, w tym elektroniczne nianie, inteligentne odkurzacze i inteligentne telewizory.
Aż dziesięć miało poważne luki w zabezpieczeniach, w tym słabe domyślne hasła i brak szyfrowania danych, co sprawiało, że można je było łatwo zhakować.
Od 2019 r. wzrosło ryzyko cybernetyczne wśród 70 sektorów na całym świecie. Najbardziej narażona na cyberataki jest infrastruktura krytyczna, w tym zakłady energetyczne, gazowe i wodociągowe oraz szpitale - poinformowała agencja ratingowa Moody's.
Agencja ratingowa Moody's Investors Service (Moody's) zrewidowała wnioski dotyczące cyberbezpieczeństwa na świecie wobec danych z raportu z 2019 r. Jak wskazali analitycy, od tego czasu zagrożenie cybernetyczne wzrosło na całym świecie w "ponad 70 sektorach" mimo wzrostu i rozwoju zastosowań obronnych.
Jak wyjaśniono w opracowaniu, stopień ekspozycji poszczególnych sektorów na zagrożenie cybernetyczne został podzielony na cztery stopnie: niski, umiarkowany, wysoki lub bardzo wysoki. Podział ten odzwierciedla ocenę dwóch czynników: narażenia na ryzyko cybernetyczne (rola systemowa i cyfryzacja) i ograniczeń (podatność na zagrożenia, najlepsze praktyki cybernetyczne i szacowane straty finansowe).
"Za wysoką lub bardzo wysoką w odniesieniu do ekspozycji na ryzyko cybernetyczne uważana jest jedna czwarta z ponad 80 bln dolarów długu ocenianego przez Moody's" - wskazano w informacji prasowej firmy ratingowej.
Infrastruktura krytyczna, czyli m.in. zakłady energetyczne, gazowe i wodociągowe czy szpitale, mają bardzo wysoką ekspozycję na ryzyko cybernetyczne. Z kolei zagrożenie dla firm działających w sektorach bankowości, telekomunikacji, technologii, chemii, energii i usług transportowej określono jako wysokie - podał Moody's.