חבר או אוייב? כך או כך, חוק חוסן הסייבר מגיע

מאת פיל מונקסטר • 25 ספטמבר 2023

לנציבות האירופית יש ספקי טכנולוגיה ומוכרים על הכוונת. צרכנים ועסקים נפגעו מתוכנה וחומרה לא מתוכננת, מהונדסת ומתוחזקת במשך זמן רב מדי. היא טוענת שכלכלת פשע הסייבר היא המרוויחה העיקרית מהכשלים הללו, שלטענת הוועדה היה שווה 5.5 טריליון אירו (4.7 טריליון ליש"ט) בשנת 2021. היקף האתגר הוא עצום. מספר פרצות התוכנה החדשות דיווחה ממשלת ארה"ב בשנת 2022 גדל ברבע בשנה והגיע ל-25,096 - שיא נוסף.

תגובת האיחוד האירופי היא חוק חוסן הסייבר (CRA). למרות שזה עדיין בשלבי סיום, יש שטענו שהוראותיו מאיימות על קהילת הקוד הפתוח ואף עלולות להפוך את העולם הדיגיטלי לפחות בטוח.

מה יש ב-CRA?

מטרת ה-CRA היא להגן על צרכנים ועסקים הרוכשים מוצרים עם "רכיב דיגיטלי". זה מבקש להתייחס שני אתגרים מרכזיים:

אמצעי אבטחת הסייבר הירודים המובנים במוצרים רבים, כולל תוכנות והתקנים מחוברים כמו צגי תינוקות חכמים ו/או עדכונים לא מספקים לתוכנות ולמכשירים
היעדר "סימן עפיפון" בכל התעשייה שיכול לעזור לרוכשי טכנולוגיה להבין טוב יותר אילו מוצרים מאובטחים וכיצד להגדיר אותם בצורה מאובטחת

עם זאת בחשבון, ה מטרות CRA ל:

הרמוניה של כללים ברחבי הגוש עבור יצרנים וקמעונאים המפתחים/מוכרים מוצרים דיגיטליים
רשום סט קפדני של דרישות אבטחת סייבר "המסדירות את התכנון, העיצוב, הפיתוח והתחזוקה" של מוצרים אלה
לחייב יצרנים/משווקים רלוונטיים לספק חובת זהירות לכל מחזור החיים של מוצרים דיגיטליים
השקת סימון CE חדש המציין שהמוצרים תואמים ל-CRA, ובכך תמריץ יצרנים וקמעונאים לתעדף אבטחה ומעצים את קוני ה-IT לקבל החלטות מושכלות יותר

מה מכוסה ומה נדרש?

כפי שזה נראה, החקיקה "יחול על כל המוצרים המחוברים במישרין או בעקיפין למכשיר אחר או לרשת אחרת למעט חריגות מוגדרות כגון תוכנות או שירותים בקוד פתוח שכבר מכוסים על ידי כללים קיימים, וזה המקרה לגבי מכשור רפואי, תעופה ומכוניות".

מוצרים אלה מחולקים לשלוש קטגוריות:

ברירת מחדל: מוצרים בסיכון נמוך כמו צעצועים ומקררים חכמים, משחקי וידאו ותוכנות ומכשירים נפוצים אחרים, שלטענת הוועדה מכסים 90% מהשוק. חברות יידרשו לבצע הערכה עצמית כדי לוודא שהמוצר עומד בתקני האבטחה הרלוונטיים.

מחלקה א': מוצרים בסיכון גבוה, כולל ניהול זהות וגישה תוֹכנָה; דפדפנים; מנהלי סיסמאות; כלי זיהוי תוכנות זדוניות; מוצרים באמצעות VPNs; כלים לתצורת ניהול רשת, ניטור וניהול משאבים; מערכות מידע אבטחה וניהול אירועים (SIEM); כלים לניהול תיקונים; תוכנה לניהול מכשירים ניידים ואפליקציות; תוכנת גישה מרחוק; מיקרו-בקרים; מערכות הפעלה; חומות אש; נתבים ומודמים; ציוד בקרה תעשייתי; וכל IoT תעשייתי שאינו מכוסה ב-Class II.

מחלקה II: מוצרים בסיכון גבוה אפילו יותר מ-Class I. כולל כמה מערכות הפעלה; חומות אש; מיקרו-בקרים; נתבים ומודמים תעשייתיים; מתגים; כרטיסים וקוראים חכמים; אלמנטים מאובטחים; מודולי אבטחת חומרה; מונים חכמים; זיהוי חדירה; רכיבי חישה רובוטים והפעלה; ומכשירי IIoT המשמשים גופים המתוארים ב-2 ₪.

כאשר אותם סוגי מוצרים רשומים ב-Class I ו-II, הרובד הנכון יוחלט על פי גורמי סיכון כגון האם מוצר פועל בסביבות רגישות של 2 ש"ח, פועל עם גישה מועדפת, משמש לעיבוד מידע אישי, מכיל פגיעות מה שעלול להשפיע על "ריבוי" של אנשים; או אם זה כבר גרם להשפעות שליליות.

נספח I מתאר את דרישות האבטחה ליצרני מוצרים דיגיטליים. הם צריכים:

להיות מתוכנן, מפותח ומיוצר כדי להבטיח רמת אבטחה "הולמת".
נמסר ללא פגיעויות ידועות הניתנות לניצול
יסופק עם תצורה מאובטחת כברירת מחדל
הבטח הגנה מפני גישה לא מורשית
הגן על הסודיות והשלמות של נתונים אישיים ואחרים
עבד רק את כמות הנתונים המינימלית הדרושה
הגן על הזמינות של פונקציות חיוניות, כגון מתקפת DDoS
להיות מתוכנן, מפותח ומיוצר כדי להגביל משטחי תקיפה ולהפחית את ההשפעה של תקריות
מעקב אחר פעילות פנימית כדי לספק מידע רלוונטי הקשור לאבטחה

נספח I מספק גם רשימה ארוכה של דרישות לטיפול בפגיעות, כולל שיצרנים מתעדים, מטפלים ומתקנים פגיעויות ללא דיחוי, בודקים באופן קבוע את אבטחת המוצר וחושפים מידע פומבי על כל באג שהם מתקנים. ה-CRA גם דורש מהמפתחים לאכוף מדיניות של חשיפת פגיעות, לשתף מידע על באגים, לספק דרך להפיץ עדכוני אבטחה ולעשות זאת ללא דיחוי וללא תשלום.

דרישות דיווח והתאמה

בעוד שיצרני מחלקות ברירת המחדל יכולים להעריך בעצמם אם מוצר מוכן לשוק, אלה בדרגה I חייבים לעבור הערכת התאמה של צד שלישי או ליישם תקנים מותאמים. לחלופין, הם יכולים להחיל תוכניות הסמכה אירופאיות לאבטחת סייבר על המוצרים שלהם. אלה בכיתה II חייבים לעבור הערכת התאמה של צד שלישי.

ה-CRA גם דורש מיצרנים להודיע לסוכנות האבטחה ENISA בתוך 24 שעות מרגע שנודע להם על פגיעות או אירוע אבטחה מנוצל באופן פעיל. יבואנים ומפיצים חייבים להודיע ליצרנים באופן דומה על כל באג חדש ללא דיחוי ועל רשויות פיקוח שוק לאומיות במקרה של סיכונים חמורים.

האם ISMS יכול לעזור ליצרנים?

עם קנסות אי ציות שנקבעו על 15 מיליון אירו או 2.5% מהמחזור השנתי, כל הארגונים בהיקף חייבים לשקול כיצד הם מסתגלים למשטר החדש. שותף של Hunton Andrews Kurth, David Dumont, מספר ISMS.online שארגונים במגזרים מסוימים, כמו יצרני מכשור רפואי IoT, עשויים כבר לקבל התחלה בשל דרישות רגולטוריות קיימות. שותפתו במשרד עורכי הדין, שרה פירס, מוסיפה כי ארגונים מצייתים לחלוטין GDPR, הדורש "בקרות אבטחה חזקות ומדיניות ונהלים קשורים", צריך למצוא התאמה ל-CRA "ניתנת להשגה עם התאמה מוגבלת".

עם זאת, יתכן שלא הכל מפרש.

"עמידה בתנאים מחמירים להחדרה ולשמירה על מוצרים דיגיטליים בשוק האיחוד האירופי עלולה לגרום לעלויות נוספות", מזהיר דומונט. "כל עלויות ציות נוספות כאלה עשויות להקשות על חברות קטנות ובינוניות להתחרות בשוק הדיגיטלי ועלולה להפריע לקדמה טכנולוגית".

זה המקום שבו מערכת ניהול אבטחת מידע (ISMS) יכול לעזור על ידי תמיכה בעמידה בתקן ISO 27001 ובבקרות, מדיניות ונהלים חזקים של ה-GDPR שצוטטו על ידי Pearce.

"יש חפיפה בין תקני אבטחת סייבר קיימים באירופה ובינלאומיים כמו ISO 27001 וחלק מדרישות אבטחת הסייבר המרכזיות ב-CRA", מסביר דומונט. "חברות שמקפידות על סטנדרטים קיימים כאלה יוכלו למנף זאת בהתמודדות עם תאימות ל-CRA."

מהן הבעיות הפוטנציאליות?

חלקם בירכו על הניסיון של הוועדה לשפר את האבטחה הבסיסית והשקיפות בין מוצרי טכנולוגיה. CTO של Veracode EMEA, ג'ון סמית', מתאר את זה כ"חתיכת חקיקה ציון דרך".

"זה לא רק מביא לשקיפות רבה יותר לתחום שלעתים קרובות הוא אטום, אלא גם מעודד ספקי תוכנה, יצרנים וקמעונאים להגביר את אבטחת הסייבר עבור המוצרים שהם מוכרים, כמו גם עוזר לקונים לבחור בקלות מוצרים חזקים", הוא מוסיף. "אני מקווה שזה יתמרץ ארגונים ללכת מעל ומעבר לדרישות החובה ולהעלות את האבטחה בראש סדר היום".

עם זאת, לאחרים יש חששות כבדים. קבוצת זכויות ללא מטרות רווח את קרן חזית אלקטרונית מדגיש שתי השלכות פוטנציאליות חמורות אם ה-CRA יעבור בצורתו הנוכחית:

קוד פתוח: כל מפתח קוד פתוח המבקש תרומות או גובה תשלום עבור שירותי תמיכה עבור התוכנה שלו אחראי לנזקים אם ה"מוצר" שלו מכיל באג שעושה את דרכו למוצרים אחרים. בהתחשב באופי המורכב והמקושר של הקוד הפתוח שרשרת אספקת תוכנה, יכול להיות לכך השפעה מצמררת על התעשייה ועלול לאלץ מפתחים לנטוש את האזור לחלוטין.

חשיפת פגיעות: ראשית, מסגרת הזמן הקצרה מאוד (24 שעות) לדיווח על פגיעויות חדשות ל-ENISA עשויה לעודד תיקונים מהירים אך "רדודים" שאינם מטפלים בשורש הבעיות. שנית, ENISA מדווחת לאחר מכן לצוותי תגובה לאירועי אבטחת מחשבים (CSIRTs) ולרשויות מעקב השוק של המדינות החברות. ה-EFF חושש שהאקרים ממשלתיים עלולים לנצל את מידע הפגיעות הזה ו/או לדלוף החוצה לקהילת פשעי הסייבר.

למרבה הצער, לא נראה שהמחוקקים ישימו לב לחששות הללו.

"עם התקפות סייבר בעלייה ללא ספק בשנים האחרונות, להשפעה כלכלית וחברתית עצומה, הצורך בהתערבות ממשלתית מסוימת ברור וגובר על חששות כאלה", מסכם פירס.

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.