תוכנית הסמכה לאבטחת סייבר של האיחוד האירופי

כיצד תשפיע תוכנית הסמכת אבטחת הסייבר הראשונה של האיחוד האירופי על העסק שלך?

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

28 במרץ 2024

תוכן עניינים:

1) למה אנחנו צריכים את EUCC?
2) מה זה EUCC?
3) כיצד ה-EUCC יכול להועיל לחברות בבריטניה
4) רק ההתחלה

בעולם הדיגיטלי, אמון זוכה קשה ואובד בקלות. חלק מהסיבה לכך היא היעדר תוכנית סימון עפיפונים אבטחה מובנת אוניברסלית. היכנסו למסגרת הסמכת אבטחת הסייבר של האיחוד האירופי: יוזמה ארוכת שנים שנועדה להרמוני אמון במוצרי IT, שירותים ותהליכים בתוך הגוש ומחוצה לו.

סוכנות הביטחון של האיחוד האירופי ENISA הכריזה זה עתה על תכנית ראשונה כזו: תכנית אבטחת הסייבר האירופית על קריטריונים משותפים (EUCC). לדברי מומחים, זה ישלים את כללי אבטחת הסייבר המוצעים של האיחוד האירופי ויכול לעזור לעסקים בבריטניה גם לשווק את המוצרים שלהם וגם לשפר את האבטחה הבסיסית בארגון שלהם.

למה אנחנו צריכים את EUCC?

ליקויים במוצרי IT הם גורם מרכזי לסיכון סייבר. הם עשויים להיות מלאים בפרצות תוכנה, או כוללים רכיבי חומרה לא מאובטחים, פרוטוקולי תקשורת ותצורות מחוץ לקופסה שקשה לתקן. ייתכן שלחלק מהיצרנים אין אפילו תוכנית ייעודית לניהול פגיעות.

עם זאת, עד כה, זה היה מאתגר עבור רוכשי IT להבחין במוצרים המאובטחים בשוק מהחברים, והערכה הלא מאובטחת בעליל. כל תכניות הסמכה הפועלות הופעלו על בסיס לאומי, וזה לא טוב בעולם יותר ויותר גלובלי ומקושר זה בזה.

מה זה EUCC?

כאן נכנס לתמונה ה-EUCC. בהתאם לחוק אבטחת הסייבר (CSA) של האיחוד האירופי לשנת 2019, הוא נועד להציג "מערכת מקיפה של כללים, של דרישות תקנים טכניים, תקנים ונהלים שיושמו ברחבי האיחוד", לפי ENISA.

זה ממשיך:

"התוכנית החדשה של EUCC, המבוססת על התנדבות, מאפשרת לספקי ICT שרוצים להציג הוכחת הבטחה לעבור תהליך הערכה של האיחוד האירופי כדי לאשר מוצרי ICT כגון רכיבים טכנולוגיים (שבבים, כרטיסים חכמים), חומרה ותוכנה. התוכנית מבוססת על הזמן שהוכח קריטריונים נפוצים של SOG-IS מסגרת הערכה כבר בשימוש ב-17 מדינות חברות באיחוד האירופי. היא מציעה שתי רמות ביטחון המבוססות על רמת הסיכון הקשורה לשימוש המיועד במוצר, בשירות או בתהליך, במונחים של הסתברות והשפעה של תאונה".

לדברי יועץ אבטחת הסייבר של CyberSmart, אדם פילטון, קיימות שתי רמות אבטחת אבטחה: "מהותי" ו"גבוה".

"הרמה המהותית מבטיחה שמוצרי ה-ICT, השירותים והתהליכים עומדים בפונקציונליות שנקבעו והם ברמה שנועדה למזער סיכוני אבטחת סייבר ידועים המבוצעים על ידי שחקנים בעלי כישורים ומשאבים מוגבלים", הוא אומר ל-ISMS.online.

"הבטחון הגבוה מבטיח שמוצרי ICT, שירותים ותהליכים עומדים בפונקציונליות שנקבעו והם ברמה שנועדה למזער התקפות סייבר מתקדמות המבוצעות על ידי שחקנים בעלי כישורים ומשאבים משמעותיים."

ההסמכה יכולה להימשך עד חמש שנים או יותר במקרים מסוימים. אבל אם במהלך חיי ההסמכה אלמנט כלשהו של הנכס המדובר משתנה, תידרש פעולה לעדכון רמות הביטחון. אם לא יושלם בצורה משביעת רצון, זה עלול להוביל להשעיה או ביטול של ההסמכה, מסביר פילטון.

כיצד ה-EUCC יכול להועיל לחברות בבריטניה

ישנם שני יתרונות עיקריים ל-EUCC. זה יהיה בתקווה:

תמריץ ספקי/יצרני ICT לשפר את האבטחה של המוצרים, השירותים והתהליכים שלהם, על ידי עידודם לעמוד בדרישות ה-EUCC
לספק דרך שימושית לארגונים הרוכשים מוצרי ושירותי IT כדי להבטיח שהרכישות שלהם תואמות את תיאבון הסיכון שלהם

תכנית הסמכה חיונית "לפיתוח, השקה וניהול יעיל של מכשירים ושירותים מאובטחים", לדברי גיל ברנבאו, CTO של ארגון התקנים הטכניים, GlobalPlatform.

"SOG-IS אפשרה זאת באירופה בעשור האחרון. ו-EUCC מתבססת על גישה זו, ומרחיבה את טווח ההגעה וההכרה ב-27 המדינות החברות כדי לאפשר לספקים לאשר ולמכור מוצרים ברחבי אירופה תחת ה-EU CSA", הוא אומר ל-ISMS.online.

"המפתח להצלחתה יהיה להבטיח שרמות האבטחה יהיו עקביות בכל האזורים והשווקים באופן שקוף, מותאם לתעשייה ונגיש למשתמש הקצה. חיסכון בזמן, כסף ומאמץ תוך שיפור אבטחת הסייבר באירופה יכול להיות רק דבר טוב".

למרות שהתוכנית מבוססת על האיחוד האירופי, כל עסק יכול לקבל הסמכה. המשמעות היא שספקי IT בבריטניה יכולים להשתמש בהסמכה כדי לשפר את הסחירות של הפתרונות שלהם בקרב בסיס לקוחות באיחוד האירופי. זה גם יועיל לרוכשי IT בבריטניה כאשר הם מנסים להבדיל בין ספקים בתוך הגוש.

השפעת התוכנית עלולה להימתח עוד יותר בזמן, לפי פילטון.

"מדינות ברחבי העולם היו מעורבות בהתייעצות עם התוכנית הזו, כולל בריטניה, ארה"ב, אוסטרליה וסין. ו-82% מהמשתתפים המעורבים בהתייעצות ציינו את כוונתם להשתמש בתוכנית EUCC", הוא אומר.

"הסמכה כלל האיחוד האירופי תיצור אירופה מהימנה ובטוחה יותר. וכשמדינות אחרות מציינות את כוונתן לאמץ את התוכנית הזו, ללא ספק תהיה לכך השפעה גלובלית בהבטחת שיש לנו גישה למוצרים, תהליכים ושירותים אמינים".

רק ההתחלה

למרות שהיא התנדבותית, לתוכנית יכולה להיות השפעה משמעותית, בדיוק כמו זו של בריטניה יסודות סייבר, אומר פילטון.

"ה-EUCC היא תוכנית שיכולה לאחד יבשת, גם יבשת בעלת השפעה עולמית. זה כמובן ישפר באופן ישיר את אבטחת הסייבר של המשתתפים אבל גם יגביר את המודעות, יקדם היגיינת סייבר ושיטות עבודה מומלצות לכל העסקים", הוא טוען.

"לאורך זמן זה יבנה אמון, יעודד פיתוח אחראי ופריסה של מוצרים מאובטחים. 25% מהמשתתפים בהתייעצות של EUCC הצהירו שהם מתכוונים לקבל אישור למוצרים שלהם נגדו".

ה-EUCC ישלים גם חקיקה והנחיות אחרות בפיתוח ברמת האיחוד האירופי, למשל עוזר לעמוד ב-2 שקלים עבור ארגונים שצריכים להוכיח שישויות בשרשרת האספקה שלהם עומדות בסטנדרטים שנקבעו, אומר פילטון.

זו גם דעתו של ישו פרננדס, שהיה חבר בקבוצת העבודה של ENISA בנושא EUCC.

"התוכנית הוולונטרית תשלים את חוק חוסן סייבר שמציג דרישות אבטחת סייבר מחייבות עבור כל מוצרי החומרה והתוכנה באיחוד האירופי. תוכנית EUCC גם תגביר את יישום ההנחיה NIS2." הוא מתווכח.

"לכן, בשלב זה, זה נבון לצפות לתקנות אנכיות/מגזריות עתידיות שעלולות לכפות אישורי EUCC מחייבים ספציפיים לסוגים מסוימים של מוצרי IT כאשר נעשה בהם שימוש במגזרים ספציפיים."

כדאי גם לזכור שה-EUCC היא הראשונה מבין שלוש תוכניות הסמכה לאבטחת סייבר, כששתיים אחרות מכסות שירותי ענן ורשתות 5G עדיין בשלבי גיבוש. יחד, הם יכולים לעשות הרבה כדי לשפר את האבטחה הבסיסית ברחבי האזור ומחוצה לו.

מְחַבֵּר

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 15 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.

צפה בכל הפוסטים של פיל מונקאסטר