הרגולציה הבריטית רק לעתים רחוקות גונבת צעדה על האיחוד האירופי. עם זאת, זה בדיוק מה שקרה באפריל 2024 כאשר תשתית אבטחת מוצרים וטלקומוניקציה של בריטניה חוק (PSTI), המסדיר מכשירים מחוברים, הפך לחוק. עם זאת, מה שה-PSTI הצליח במהירות, הוא איבד בהיקפו. גרסת האיחוד האירופי, חוק חוסן הסייבר (CRA), היא הרבה יותר רחבה ומפורטת ותציב רף גבוה לעמידה בדרישות - בדרישה לגישה קפדנית לניהול סיכוני סייבר.
ברמה גבוהה, ה-CRA נועד לשפר את האבטחה והאמינות של הטכנולוגיה המחוברת ולהקל על הקונים להבחין במוצרים באיכות גבוהה הודות לתכנית סימון עפיפונים. עם קנסות של עד 15 מיליון אירו או 2.5% מהמחזור השנתי, אי ציות אינה אופציה, ועבור חברות בבריטניה שרוצות לנצל את השוק העצום של האיחוד האירופי, זה חובה. למרבה המזל, הקפדה על תקני אבטחה מומלצים כמו ISO 27001 תעשה הרבה מהמשימות הכבדות.
מה זה מכסה?
ה-CRA חל על:
- מוצרים עם אלמנטים דיגיטליים (PDEs) - במילים אחרות, תוכנה או חומרה המסוגלים להתחבר למכשיר או לרשת
- פתרונות "עיבוד נתונים מרחוק" של PDE
- תוכנה או רכיבי חומרה של PDE המשווקים בנפרד
בפועל, המשמעות היא מגוון רחב של מוצרים, כולל מכשירים חכמים כמו סמארטפונים, טאבלטים, מחשבים אישיים, טלוויזיות ומקררים, פריטים לבישים ואפילו צעצועי ילדים. קטגוריות מסוימות של מוצרים כגון מכשור רפואי וכלי רכב, שכבר מוסדרים, אינן מכוסות על ידי ה-CRA עד כה.
מה אתה צריך לעשות?
החקיקה תחול על יצרנים, נציגיהם המורשים, יבואנים, מפיצים וקמעונאים. רוב נטל הציות ייפול על היצרנים, שחייבים:
- העריכו את סיכוני אבטחת הסייבר של PDE והבטיחו שהמוצרים מתוכננים ומיוצרים בהתאם לדרישות אבטחת הסייבר החיוניות (ECR) של ה-CRA.
- ודא שרכיבים שמקורם חיצוניים אינם פוגעים באבטחת ה-PDE
- תיעוד ותתקן פגיעויות בזמן
- לספק תמיכת אבטחה לחמש שנים או לתוחלת החיים של המוצר (הקצר מביניהם)
- הודע לסוכנות האבטחה של האיחוד האירופי ENISA תוך 24 שעות מרגע שנודע לך על ניצול פעיל של פגיעות או אירוע אבטחה אחר, עם מידע על אמצעי תיקון
- ספק מידע מפורט על אופן התקנת עדכוני מוצר, למי לדווח על נקודות תורפה ופרטי יצרן אחרים
- קבע תהליך הערכת התאמה לאימות תאימות ל-CRA
יבואנים יצטרכו להיות מודעים לאמור לעיל כדי לעמוד בהתחייבויותיהם להבטיח שרק PDE תואם יימכרו באיחוד האירופי. ל-CRA יש רשימה נרחבת של ECRs המפורטים בנספח I של החקיקה, שנועדו להיות פתוחים ולא ממוקדים בפרטים על מנת לשמור אותם רלוונטיים ככל שהטכנולוגיה מתפתחת. הם כוללים דרישות לכך ש-PDEs יהיו:
- מיוצר ללא פגיעויות ידועות הניתנות לניצול ועם תצורה מאובטחת כברירת מחדל
- תוכנן ומיוצר עם רמות "מתאימות" של אבטחת סייבר מובנות ובאופן שיפחית את ההשפעה של אירועי אבטחה
- מסוגל להגן מפני גישה לא מורשית עם אימות חזק
- מסוגל להגן על הסודיות של מידע מאוחסן, משודר או מעובד, כגון באמצעות הצפנה
- תואם לעקרונות מזעור נתונים
- עוצב ומיוצר עם משטח התקפה מוגבל
- נועד להבטיח שפגיעויות ניתנות לתיקון באמצעות עדכוני מוצר, באופן אוטומטי במידת האפשר
- מופק לצד מדיניות גילוי נקודות תורפה
זמן לתכנן
ג'ון מור, ראש קרן ה-IoT Security (IoTSF), מסביר שאמנם עדיין לא הגיע הזמן להיכנס לפאניקה, אך היצרנים יצטרכו להתחיל לשתף פעולה עם שרשרות האספקה שלהם כדי לקבוע כיצד מוצרים חדשים יתאימו ל-CRA.
"המוצרים בשוק הם מחוץ לתחום לעת עתה, אך עשויים להזדקק לתוכנית סוף החיים", הוא אומר ל-ISMS.online. "למרות שציר הזמן הוא כ-36 חודשים, חלק מההוראות ייכנסו מוקדם יותר. יצרני מוצרים יצטרכו לעמוד בדרישות בתאריך זה, ובהתחשב בכך שכולם בשרשרת האספקה חייבים לקחת בעלות, זה מצביע על תכנון קדימה".
בנוסף לעבודה עם שותפי שרשרת האספקה הללו, היצרנים צריכים גם להעריך אם תהליכים פנימיים מתאימים למטרה מנקודת מבט של ניהול סיכונים ופגיעות, טוען מור.
"אז אנחנו מגיעים למוצר עצמו. כאן נכנסות לתוקף נוהלי אבטחה ופרטיות לפי עיצוב. יצרנים רבים כבר יכירו את האלמנטים הללו מעבר לשיקולי הפונקציונליות, הביצועים והכוח המסורתיים", הוא אומר. "איפה הם יכולים לקבל עזרה? יועצים, מעבדות בדיקה וארגונים כמו IoTSF. הוקמנו בשנת 2015 ויכולנו לראות את הדרך בה הולכים העולם. לפיכך, צפינו את מה שעתיד לקרות והטמענו עצות, תהליכים ומתודולוגיות במדריכים ובכלים שלנו".
כיצד ISO 27001 יכול לעזור
בהתחשב בדרישות התאימות הממושכות והקפדניות של ה-CRA, ארגונים עשויים גם להפיק תועלת מעמידה בתקני שיטות עבודה מומלצות שכבר הוגדרו הרלוונטיות לאקט. מור אומר שתקני פיתוח המוצר ISO/SAE 21434 לרכב ו-IEC/ISA 62443 עבור מערכות בקרה תעשייתיות הם כנראה הרלוונטיים ביותר. עם זאת, מומחים אחרים גם אומרים שיש חפיפה מסוימת עם ISO 27001.
אדם בראון, יועץ אבטחה מנהל ב ברווז שחור, אומר ל-ISMS.online שהוא יכול להניח "בסיס טוב" לחברות טכנולוגיה בבריטניה הפוקדות את ה-CRA.
"הגישה השיטתית של ISO 27001 לניהול סיכונים, פיתוח מאובטח, אבטחת שרשרת אספקה, תגובה לאירועים וניהול מחזור חיים מכסה רבים מאותם תחומים ש-CRA מדגישה. עם זאת, ISO 27001 מכוון לאבטחה ארגונית בעוד שה-CRA מכוון למוצרים בודדים", הוא מוסיף.
"ארגונים שעברו הסמכת ISO יבינו הערכת סיכונים; ה-CRA גם מחייב הערכת סיכונים יסודית לכל מוצר. מאובטח לפי עיצוב וברירת מחדל: נספח CRA 1(h) מחייב לתכנן, לפתח ולייצר מוצרים כדי להגביל משטחי תקיפה, כולל ממשקים חיצוניים. כמו כן, נספח A.27001 של ISO 14 עוסק בפיתוח מאובטח ותמיכה במערכות מידע, כולל שילוב אבטחה לאורך כל מחזור החיים של פיתוח התוכנה".
החדשות הטובות הן שהתאמה ל-ISO 27001 לא רק תגרום ליצרנים להצלחה עם תאימות ל-CRA. זה גם יכול לעזור ביצירת בסיס מאובטח לשורה של תקנות ודרישות אחרות בתעשייה, החל מ-2 ש"ח ועד ל-GDPR. אולי הגיע הזמן להעיף מבט.
