Predsjednica Europske komisije Ursula von der Leyen 15. rujna 2021. godine najavila je regulativu čija je svrha da propisuje zahtjeve za ‘proizvode s digitalnim elementima’. Godinu dana kasnije, 15. rujna 2022. godine komisija je objavila prijedlog regulative za kibernetičku otpornost (Cyber Resilience Act -CRA) koja bi informacijsku sigurnost i kibernetičke ranjivosti trebala riješiti pristupom u dizajnu i razvoju digitalnih produkata – proces koji se često naziva ‘Sigurnost po dizajnu’.
To nije prva EU regulativa i zapravo nadopunjuje nadolazeću AI i NIS2 regulativu, postojeću NIS regulativu (koju će NIS2 zamijeniti) te regulativu o Kibernetičkoj sigurnosti. Tekst prijedloga regulative sad treba proći odobrenje Europskog Parlamenta, proces unutar kojeg će EU Parlament i Komisija procijeniti prijedlog, raspravljati o njemu i eventualno predložiti amandmane.
Implementacija regulative nakon usvajanja
Nakon usvajanja regulative slijede dvije faze implementacije regulative. Ako bude usvojena CRA regulativa, unutar prvih 12 mjeseci će proizvođači i razvojni timovi biti obavezni prijaviti sve iskoristive kibernetičke ranjivosti i incidente. U drugoj fazi će države članice i relevantni poslovni subjekti imati 24 mjeseca za prilagodbu novoj regulativi.
Primjenjivost regulative
A na koga se i što regulativa odnosi, odnosno što sve obuhvaća, upitali smo Danijela Cerovečkog, voditelja Centra za Kibernetičku sigurnost u Verso Altimi. “Regulativa o kibernetičkoj otpornosti je primjenjiva na sve softver i hardver proizvode, uključujući i udaljena rješenja za procesiranje podataka s tih proizvoda, i to bez obzira dali se ti proizvodi na tržište stavljaju zasebno ili u ‘paketu’.
Regulativa će obuhvaćati takve proizvode tijekom cijelog njihovog životnog ciklusa. Osim toga, regulativa će obuhvatiti ‘Internet stvari’ (IoT) rješenja koja su trenutno u velikom uzletu, no, s regulativom ‘divljeg zapada’, ako pogledamo šarolik spektar proizvođača IoT uređaja s pripadajućim programskim paketima, cijelu lepezu tehnologija za prijenos podataka te njihovu obradu.
Bude li regulativa odobrena u predloženoj formi, to će zaista biti velika prekretnica. Proizvodi koji budu komplementarni regulativi će najvjerojatnije nositi relevantne ‘CE’ oznake te bez njih neće smjeti biti prodavani unutar jedinstvenog tržišta Europske unije”, objašnjava Danijel Cerovečki.
Kako će CRA regulativa rješavati potencijalne probleme
Europska unija procjenjuje kako su godišnji troškovi na globalnoj razini vezani uz kibernetičke zločine u 2021. godini bili oko 5,5 trilijuna eura s procjenom kako će do 2025. godine ti troškovi porasti na preko 10 trilijuna eura. Prema procjeni EU agencije za kibernetičku sigurnost samo su troškovi ransomware napada u 2021. godini dosegli 20 milijardi eura štete.
Cerovečki kaže kako su vlasnici kritičnih infrastruktura, poput željeznica, elektro kompanija, naftnih kompanija, vodnog gospodarstva i sl. veoma dobro upoznati s problemom, s obzirom na to da su vlasnici rizika za svoje ‘kritične servise’. To znači kako moraju preuzeti odgovornost i za kibernetičku sigurnost.
“Za vlastitu kibernetičku sigurnost možeš odgovarati samo ako posjeduješ veoma duboko znanje o tehničkim sistemima s kojima upravljaš, a to je područje gdje ti isti vlasnici servisa nailaze na velike izazove. Suočeni s izazovima, krajnji korisnici ovise o proizvođačima i partnerima koji implementiraju sustave i mrežne tehnologije, te često nisu u mogućnosti utjecati na sustave kojima upravljaju zbog nedovoljne stručnosti, potencijalnog gubljenja garancije, nedovoljno informacija i drugih faktora”, upozorava Cerovečki.
U prethodnim godinama je zabilježeno nekoliko kibernetičkih napada koji pripadaju skupini napada preko lanaca opskrbe, što znači da je vektor napada bio isporučen preko programskih nadogradnji ili novih instalacija te je imao veoma velik utjecaj s obzirom na to da je maliciozan kod bio ugrađen ili sakriven unutar regularnih programskih nadogradnji.
Primjeri za to su ‘Solarwinds’ incident gdje je napad bio sakriven unutar standardne nadogradnje programa za nadzor, Kaseya incident koji je napadačima omogućavao pokretanje bilo kakve komande bez autentikacije i rezultirao instalacijom ‘ransomware’ koda kod mnogih krajnjih korisnika, Ripple 20 incident s ranjivosti unutar TCP/IP protokola itd.
Cerovečki kaže kako se za pomoć korisnicima u praćenju i borbi protiv kibernetičkih ranjivosti, borbu protiv rastućih troškova kibernetičkih napada i potencijalno adresiranje ranjivosti, CRA regulativa trudi osigurati tri bitne stvari.
“Prva je da se proizvodi s digitalnim elementima pojavljuju na tržištu samo ako zadovoljavaju specifične osnovne zahtjeve za kibernetičkom sigurnošću koji su navedeni u Annexu 1 rezolucije. Proizvodi dakle moraju biti dizajnirani, razvijeni i proizvedeni tako da osiguraju zadovoljavajuću razinu rizika kibernetičke sigurnosti. Drugo, krajnji korisnici takvih proizvoda moraju na propisan način biti obaviješteni o kibernetičkoj sigurnosti proizvoda koji kupuju i koriste. Informacije i upute koje se moraju pružiti korisnicima su navedene u Aneksu 2 prijedloga regulative.
I treće, proizvođači su odgovorni za kibernetičku sigurnost proizvoda kroz cijeli životni ciklus proizvoda. Morat će omogućiti sigurnosne zakrpe i podršku u razumnom vremenu, kao i informacije kad se proizvod smatra zastarjelim (End-of-Life), te kako ukloniti proizvod tako da se na siguran način s njega uklone povjerljivi podaci”, pojašnjava voditelj Centra za Kibernetičku Sigurnost u Verso Altimi.
Proizvodi će se kategorizirati u dvije osnovne kategorije. U prvu kategoriju će spadati velika većina proizvoda, poput igara, pametnih zvučnika, uređaja za pohranu i sl. Druga će kategorija biti podijeljena u dodatne dvije klase proizvoda te obuhvaćati specifične proizvode koji imaju veći sigurnosni rizik poput mrežnih sučelja, Vatrozida, mikro-kontrolera, programa za udaljeni pristup, operativnih sustava za računala, mobitele i poslužitelje, industrijsku automatizaciju i razne kontrolne sisteme.
Implikacije za proizvođače, distributere i krajnje korisnike
“Iako će proizvođači morati isporučivati digitalne proizvode bez poznatih ranjivosti, imat će i obvezu prijave ranjivosti ili incidenata nakon njihovih otkrivanja. Naime, prema prijedlogu regulative, bilo koja iskoristiva ranjivost koja je aktivna ili incident koji ima utjecaj na sigurnost proizvoda će morati biti prijavljena unutar 24 sata Europskoj Agenciji za Kibernetičku Sigurnost (ENISA). Krajnji korisnici će se trebati obavještavati bez nepotrebnog odugovlačenja s preporukama o uklanjanju ili adresiranju ranjivosti.
Iako je najveći broj regulatornih obaveza na proizvođačima, uvoznici, distributeri i zastupnici će ako plasiraju proizvod pod svojim brandom ili ga značajnije izmjenjuju biti ti koji će biti regulatorni obveznici”, upozorava Cerovečki i naglašava kako će ovom regulativom krajnji korisnici dobiti poboljšanu dokumentaciju za hardver, a naročito za programske komponente koja će biti dovoljno detaljna da opisuje korištene protokole i programske biblioteke.
“Dakle, znat ćete koje programske komponente se koriste, te ćete čak i u slučaju sigurnosnog incidenta na već kupljenom proizvodu, moći brzo pronaći koji programski paket se koristi na proizvodu s dediciranim CE znakom”. Veliko poboljšanje na svim razinama bit će razmjena informacija o ranjivostima koja će omogućiti pravovremene reakcije, no iako pravovremenost može biti pozitivna promjena ako je ispravno praćena od strane dobro položenih organizacija koje će skupljati procjenjivati i objavljivati informacije o ranjivostima te pratiti da se one rješavaju, treba imati na umu da se objava informacija o ranjivostima također može smatrati i dobro odrađenim poslom istraživanja za potencijalne napadače ako se ranjivost ne ukloni pravovremeno.
Nadzor i kazne
”Agencije za nadzor tržišta koje su odabrane od država članica brinut će o ispravnom provođenju regulativa o kibernetičkoj otpornosti. Agencije koje će svaka država članica odabrati, a koje mogu biti neke od već postojećih ili novoosnovane trebale bi surađivati s tijelima koja su od Europske unije definirana unutar NIS2 (ili Europskom Agencijom za Kibernetičku Sigurnost) te se koordinirati međusobno te s ENISA tijekom provedbe svojih dužnosti.
Te agencije će imati mogućnost propisivati i kazne specificirane unutar CRA regulative. Prema prijedlogu, nesukladnost s osnovnim zahtjevima i obavezama u člancima 10 i 11 može rezultirati s kaznama do 15 milijuna eura ili 2,5 posto godišnjeg prometa prethodne fiskalne godine (uzima se vrijednost koja je viša).
Nesuglasnost s ostalim obavezama može rezultirati s kaznama do 10 milijuna eura ili 2 posto godišnjeg prometa prethodne fiskalne godine. Davanje neispravnih, nekompletnih ili zavaravajućih informacija agencijama za nadzor može rezultirati kaznama do 5 milijuna eura ili 1 posto godišnjeg prihoda”, pojašnjava Cerovečki. Države članice mogu nametnuti i dodatne kazne koje moraju biti efikasne, proporcionalne i odvraćajuće. Uz sve to agencije mogu narediti da se proizvodi koji nisu usklađeni s regulativom dovedu do razine da budu, ili da se opozovu s tržišta.
Još jedna od direktiva koje se ne provode ili stvarna stvar?
Cerovečki navodi kako jest činjenica da postoje direktive stare i po pet godina s pravnim posljedicama koje još u provedbi nisu ispunjene na EU razini. Ako se i regulativa donese u ovom obliku, ona postaje pravno obvezujuća nakon dvije godine, što znači da se mora implementirati i u nacionalnim zakonima, a tek nakon toga slijedi period prilagodbe za proizvođače. Sve će to trajati neko vrijeme, smatra Cerovečki.
“Mora se priznati da samo vrijeme donošenja regulative nije loše, incidenti u opskrbnim lancima i regulativa za kritičnu infrastrukturu (koja je već neko vrijeme na snazi) je sigurno podigla svijest o potrebi za regulaciju tržišta, naročito je to bitno sad kad IoT industrija kreće velikim koracima. U isto vrijeme obavezna CE regulativa nije prazna priča, proizvođači koji neće proći provjeru neće smjeti svoje proizvode prodavati na EU tržištu, a kazne nisu zanemarive ako neće ispunjavati zahtjeve.
Regulativa bi mogla donijeti još jednu pozitivnu promjenu, a to je pojava SBOM (Software Bill of Materials), u načelu sustava koji bi na neki način davao popis programskih komponenti unutar isporučenih digitalnih proizvoda, kaže voditelj Centra za Kibernetičku Sigurnost u Verso Altimi i ističe kako je cilj regulative da regulira interno EU tržište, no imat će možda i posljedice van EU tržišta, a zasigurno postati internacionalna referenca.
“Stavljanje proizvoda na tržište koji nemaju poznatih ranjivosti i njihovo adresiranje kroz životni ciklus proizvoda je najpozitivnija stvar koju regulativa propisuje, razlog za to je jer i dalje vrijedi da je prevencija 90% posla u svim sigurnosnim pristupima. Činjenica jest da ako imate programski paket bez poznatih ranjivosti da jedino ‘Zero Day’ napad može proći, a to nije pravilo za koje treba čekati CRA regulativu da ga počnete primjenjivati.
Na tržištu postoji cijeli niz sustava za upravljanje ranjivostima koje je već danas moguće iskoristiti, kao i cijeli niz tvrtki koje mogu pomoći u skeniranju, detektiranju i uklanjanju ranjivosti uz ostatak svojeg sigurnosnog portfelja iz kojeg mogu i po potrebi nadopuniti sigurnosna rješenja”, zaključuje Cerovečki.
* Sadržaj omogućio Verso Altima