האיחוד האירופי ממשיך במאמצים לחזק את חוסן הסייבר ברחבי הגוש על ידי אימוץ תיקונים חדשים לחוק אבטחת הסייבר (CSA) המחייבות תוכניות הסמכה לשירותי אבטחה מנוהלים.
שינויים אלה ייצרו חובות ציות חדשות הן עבור הספקים והן עבור משתמשי הקצה של שירותי אבטחת סייבר כגון תגובה לאירועים ופלטפורמות בדיקות חדירה. אבל עד כמה ששינויים רגולטוריים כאלה יכולים להיות מייגעים, מומחים טוענים שהם יכולים לחזק את הגנת הסייבר ואת התחרותיות של חברות רבות שנפגעו.
משטר אבטחת סייבר מהודק
לדברי פיל מקגוון, מהנדס מערכות בפלטפורמת אבטחת סייבר מנוהלת צַיֶדֶת, תיקוני ה-CSA הקרובים ישנו באופן משמעותי את האופן שבו חברות מיישמות אסטרטגיות אבטחת סייבר ועומדות בהתחייבויות הציות שלהן בעתיד הנראה לעין.
באופן ספציפי, הוא אומר שהשינויים הללו ישימו "דגש רב יותר על ניהול סיכונים יזום, שקיפות ואחריות" בתוך נוף איומי סייבר שמתפתח כל הזמן.
הוא מוסיף כי כתוצאה מכך, סביר להניח שעסקים יתמודדו עם לחץ רב יותר להגן על מידע רגיש, לדווח על הפרות אבטחת סייבר בזמן, ולהפגין ציות על ידי ביצוע ביקורות אבטחה ורכישת אישורי תעשייה.
McGowan אומר ל-ISMS.online: "במהותם, התיקונים נועדו להבטיח שארגונים נותנים עדיפות לאבטחת סייבר כבעיית IT ומרכיב קריטי בחוסן העסקי ובאסטרטגיה התפעולית הכוללת שלהם".
נהנה מהמאמר הזה?
אולי תאהבו גם את פרק הפודקאסט הזה
לדברי ראלף אררט, שותף בינה מלאכותית ואבטחת סייבר במשרד עורכי הדין Spencer West LLP, התיקונים הללו, יחד עם חוקים חדשים כמו חוק החוסן התפעולי הדיגיטלי, חוק חוסן הסייבר והדירקטיבה NIS2, הם אינדיקציה ברורה לכך שהאיחוד האירופי מחמיר את הפיקוח שלו על ענייני אבטחת סייבר באזור.
Arrate מאמינה שהם יקימו משטר אבטחת סייבר חזק ועקבי שמטרתו לשפר את האמון במוצרים ובשירותים טכנולוגיים בקרב עסקים אירופיים.
הוא מסביר שהאיחוד האירופי מקווה להשיג זאת על ידי הפיכת אישורים לדרישה חשובה עבור מוצרים, שירותים ותהליכים דיגיטליים. בפועל, המשמעות היא שחברות יצטרכו לבצע "סקירה מקיפה של אמצעי האבטחה הקיימים".
למרות הברקזיט, כללים אלה ישפיעו גם על עסקים רבים בבריטניה. Arrate אומר שחברות בריטיות עם פעילות אירופית ושותפי סחר ייאלצו לנקוט ב"גישה מדוקדקת" לאבטחת IT וניהול מחזור חיי המוצר.
הישארו צעד אחד קדימה בכותרות עם הניוזלטר של IO
קבלו סיכום חודשי של כל המידע, חדשות פרטיות ואבטחת סייבר ישירות לתיבת הדואר הנכנס שלכם.
למרות שחלק מבעלי העסקים בבריטניה עשויים לראות בכללים אלה כאב ראש רגולטורי, הם עשויים להועיל בטווח הארוך. לפי Arrate, רכישת הסמכת אבטחת סייבר של האיחוד האירופי (EUCC) יכולה לעזור להם "להשיג יתרון תחרותי" מכיוון שזה סימן ל"איכות ואמינות".
אבל כמה ספקי IT עשויים להיות פחות אופטימיים לגבי התיקונים, כאשר Arrate טוען שהם "יביאו ביורוקרטיה נוספת". הוא מוסיף: "שחקנים רבים במגזר הזה כבר עומדים בתקני NIST או ISO בארה"ב, שאינם ממפים בדיוק את הדרישות החדשות של EUCC."
שון רייט, ראש אבטחת יישומים בפלטפורמת ניהול הונאות ופשעים פיננסיים תכונות שטח, רואה בתיקוני CSA התפתחות חיובית לעסקים ולנוף אבטחת הסייבר הרחב יותר.
לדבריו, ארגונים רבים מוציאים כיום סכומים "יוצאי דופן" על מוצרי אבטחת סייבר שאינם מספקים את ההטבות המפורסמות שלהם, מה שמעניק לחברות "תחושת ביטחון מזויפת".
עם זאת, רייט בטוח שתקנים מבוססים, כמו כללי ה-CSA החדשים, יתמודדו עם בעיה זו על ידי הבטחת מוצרים מאושרים שיבצעו את תפקידם המיועד. הוא ממשיך:
"בנוסף, ספק שירות שניתן לסמוך עליו, כמו גם לתת בו אמון, מאפשר לארגונים להעביר חלק מההיבטים המורכבים של אבטחת מידע לאלו המצוידים טוב יותר לטפל בנושאים כאלה."
עמידה בתיקונים אלה
בכל הנוגע לעמידה בכללים אלה, Arrate אומר שעסקים צריכים קודם כל להעריך אם הם בגדר שלהם. הוא מסביר כי התיקונים המדוברים מכוונים לחברות המציעות שירותי אבטחה מנוהלים, 5G, יישומי IT ומוצרים ושירותים דיגיטליים אחרים.
עסקים מושפעים צריכים לאחר מכן לבדוק תהליכי אבטחת סייבר קיימים ולהשוות אותם לדרישות שנקבעו בחקיקה זו. פעולה זו, על פי Arrate, תאפשר לארגונים למצוא חולשות כלשהן בהגנת הסייבר שלהם ולהתמודד איתם בהתאם כדי להימנע מפעולה רגולטורית. Arrate גם מעודדת עסקים ליצור קשר עם גופי הסמכה במהירות האפשרית מכיוון שזהו המפתח להבנת הדרישות של תוכניות שונות.
המלצות מרכזיות אחרות מבית Arrate כוללות אימוץ עקרונות מאובטח לפי עיצוב בכל שלבי פיתוח המוצר, שיתוף פעולה הדוק עם ספקים בתקני אבטחה של שרשרת האספקה, ויישום תוכנית תגובה מקיפה לאירועים. והכי חשוב, הוא קורא לעסקים לפקח על הדרישות הללו ככל שהן מתפתחות כדי להבטיח עמידה בכללים העדכניים ביותר.
כאשר עסקים מיישמים עדכוני תוכנה, מבצעים נהלי אבטחת סייבר ומגיבים לאירועים, ספנסר סטארקי - סמנכ"ל בכיר של EMEA בחברת אבטחת סייבר אמריקאית sonicwall- אומר שזה חיוני שהם יתעדו את כל השלבים האלה כדי לעמוד ב-CSA. הוא אומר, "תיעוד זה חיוני במהלך ביקורות רגולטוריות, המדגים את המחויבות של החברה לשיטות עבודה מומלצות לאבטחת סייבר".
בהתחשב בכך שטעויות אנוש הן הגורם המוביל לאירועי אבטחת סייבר, Starkey אומר שעסקים בכל הגדלים צריכים לחנך את העובדים שלהם לגבי האיומים המקוונים האחרונים וכיצד להתמודד איתם. הוא רואה בכך תנאי מוקדם ל"עמידה יעילה בתיקוני CSA".
החשיבות של מסגרות מובנות
עמידה בתקנות חדשות כמו תיקוני ה-CSA יכולה להיות סיכוי מכריע עבור עסקים רבים. עם זאת, ישנן דרכים שונות לייעל תהליך זה, כגון מסגרות מקצועיות ותוכנה.
אימוץ תקן תעשייתי כמו ISO 27001 הוא אופציה מצוינת לעסקים מושפע משינויי ה-CSA מכיוון שהוא מציע להם דרך אחידה לטפל בבעיות הקשורות לאבטחת מידע, טוען ניק פאלמר, מומחי פתרונות הנדסת פתרונות בניהול משטחי התקפות וצייד איומים. ב-Censys.
הוא ממשיך: "הסמכה מדגימה עמידה בשיטות העבודה המומלצות העולמיות, מייעלת את הביקורות ומפחיתה כפילות במאמץ בעת עמידה בתקנים חופפים, מה שהופך את הציות לרגולציה ליעילה ואפקטיבית יותר".
תוכנת אבטחת הסייבר העדכנית יכולה גם להפחית את מורכבות התאימות על ידי מתן הגדרות מוגדרות מראש, אוטומציה ומדרגיות גבוהה, שכל אלה תואמים לדרישות הרגולטוריות, אומר פאלמר. "הם יכולים לעזור לרכז את זיהוי האיומים, הניטור והתגובה, ולבטל את הצורך של עסקים לבנות ולתחזק את היכולות הללו בתוך הבית."
פאלמר אומר שפלטפורמות אבטחת סייבר יכולות גם להבטיח מוכנות לכללים העדכניים ביותר על ידי מתן עדכוני תוכנה בזמן אמת, אינטגרציות עם תקנים ותמיכת לקוחות כדי לעזור לעסקים לנווט באיום ובנופי הרגולציה המשתנים במהירות. הוא ממשיך: "בנוסף, בהתאם לנקודות הקודמות, לאותם ספקים המציעים פתרונות עם תאימות ל-CSA שכבר אפוי יהיה יתרון משמעותי."
השלכות רחבות יותר
לתיקוני ה-CSA יהיו ללא ספק השלכות גדולות על נוף אבטחת הסייבר ועולם התאגידים במהלך השנים הקרובות. בנימה חיובית, Arrate צופה שהאופי המחמיר והאחיד שלהם "יעלים את רמת האבטחה הבסיסית בין התעשיות". הוא מסביר, "עסקים נאלצים כעת לשלב אבטחת סייבר כשיקול ליבה, אשר בתורו מחזק את המערכת האקולוגית הדיגיטלית בכללותה."
אילונה כהן, מנהלת משפטית ומדיניות ראשית בפלטפורמת חשיפת באגים ופגיעות האקר, מסכים כי לאישורים יש פוטנציאל לשפר את התוצאות של תהליכי אבטחת סייבר בגוש.
עם זאת, זה תלוי עד כמה הם מעוצבים, דבר שכהן מודה שהוא לא פשוט מכיוון ששיטות העבודה המומלצות בתעשייה משתנות כל הזמן. היא אומרת: "ENISA [סוכנות האיחוד האירופי לאבטחת סייבר] חייבת גם להבטיח התאמה עם מדיניות אבטחת הסייבר הרבה, הרבה שהעביר האיחוד האירופי בשנים האחרונות כמו CRA, DORA ו-NIS2."
אז איך הרגולטורים האירופיים יכולים להתגבר על האתגרים האלה ולהבטיח שתוכניות ההסמכה שלהם מתאימות למטרה? כהן קורא להם לחייב את ספקי השירותים המנוהלים לאמץ את אותן שיטות עבודה מומלצות שצפויות לפעול לפי מגזרי מפתח אחרים. היא אומרת: "זה כולל הקמת תוכניות חזקות לגילוי פגיעות (VDP), הטמעת שיטות עבודה מומלצות לאימות והבטחת הגנה על נתונים."
בסך הכל, השינויים הקרובים ב-CSA נראים כמו צעד חכם עבור האיחוד האירופי, כאשר שאיפותיו לשוק יחיד דיגיטלי גדלות. עבור ספקי טכנולוגיה, הצעת מוצרי אבטחה מאושרים תעזור להם להתבלט על פני המתחרים שלהם.
בינתיים, משתמשי הקצה מקבלים שקט נפשי יותר שהם יקבלו תמורה על השקעות ה-IT שלהם. כמובן, יש שיראו בשינויים הללו שכבה נוספת של בירוקרטיה. אבל זה המקום שבו סטנדרטים מבוססים בתעשייה ומוצרי SaaS יכולים לעזור על ידי ייעול תהליכי התאימות.
