האיחוד האירופי לא חסר בחקיקת אבטחת סייבר. במהלך השנה האחרונה, היא הציגה חוקים המכסים התקנים חכמים, בטיחות AI, שירותים פיננסיים, "חשוב" ו"חיוני" ישויות, ו אישורי אבטחה. עם זאת, עד כה, לא הייתה אסטרטגיה כלל-יבשת שתעזור להתכונן, לזהות ולהגיב לאירועי סייבר בקנה מידה גדול ברחבי האיחוד האירופי. הזן את חוק סולידריות סייבר של האיחוד האירופי, שאמור לצבור תאוצה משמעותית ב-2025.
זה מבטיח הרבה, אבל למרבה המזל עבור רוב הארגונים בבריטניה, זה ידרוש מהם מעט.
למה אנחנו צריכים את זה
למרות שהנציבות האירופית הציעה את חוק סולידריות הסייבר באפריל 2023, זרעי יצירתו ניטעו לפני שנה כאשר נבחרו שלושה קונסורציונים של מרכזי מבצעי אבטחה חוצי גבולות (SOCs).. זה לא מקרי שמוקדם יותר באותה שנה, רוסיה פלשה לאוקראינה. האיום של פלישות דיגיטליות הנתמכות על ידי המדינה וקבוצות פשעי סייבר ממומנות היטב הפועלות ללא עונש מתחומי שיפוט מחוץ להישג יד, אכן יגבשו תוכניות למעשה.
כפי שמוכר ב-2 שקלים, DORA, חוק אבטחת הסייבר, חוק חוסן הסייבר, חוק בינה מלאכותית וחוקים נוספים, התקפות סייבר מהוות איום חברתי וכלכלי הולך וגובר על האיחוד האירופי. הם עלולים לאיים על יציבות המערכת הפיננסית ושירותי בריאות מצילי חיים, כפי שעולה מהפסקות IT הקשורות לתוכנת כופר בבתי חולים ברחבי האזור. הם גם מאיימים להפיץ מידע מוטעה ולערער את הבחירות, שלא לדבר על הביטחון הלאומי. והפרות נתונים מעוררות מגיפת הונאה. הונאה בתשלום לבדו היה שווה 2 מיליארד יורו במחצית הראשונה של 2023, בעוד שהאיחוד האירופי מעריך את פשעי הסייבר באופן כללי עלות 5.5 טריליון יורו בשנה. האחרון הוא למעלה מרבע מסך התמ"ג של האיחוד האירופי.
לפי מיקרוסופט, המגמות הללו מתכנסות. באחרונה שלו דו"ח הגנה דיגיטלית 2024, הזהירה ענקית הטכנולוגיה כי הקווים בין פעילות מדינת הלאום לפשעי סייבר הולכים ומטשטשים. המשמעות היא יותר שחקנים ממלכתיים מונעים מרווח כספי, לפי צפון קוריאה ואיראן. וקבוצות בחסות המדינה המשתמשות בטקטיקות, טכניקות ונהלים של פשעי סייבר (TTP). אולי הכי מדאיג, המשמעות היא גם שהאקרים הנתמכים על ידי המדינה מוציאים פעולות למיקור חוץ לקבוצות פשעי סייבר, ככל הנראה לצורך הכחשה סבירה. מיקרוסופט כבר צפתה בהאקרים מהקרמלין נעזרים ב-Storm-0593 כדי לכוון לארגונים אוקראינים.
ככל שנוף האיומים הופך נזיל ואטום יותר ככל שהמתח הגיאופוליטי עולה, זה רק נכון שהאיחוד האירופי מחפש לבנות תגובת תקריות ברחבי האזור ומנגנון חוסן סייבר.
מה יחייב החוק?
ישנם שלושה יסודות עיקריים במעשה. הוא מבקש להציג:
מגן אבטחת סייבר אירופי: הידועה גם כמערכת ההתראות האירופית לאבטחת סייבר, היא תכלול סדרה של מרכזי מבצעי אבטחה לאומיים ובינלאומיים (SOCs) ברחבי הגוש, שנועדו לנצל את הכוח של AI ואנליטיקה כדי לזהות ולשתף אזהרות איומים.
מנגנון חירום סייבר: נועד לשפר את המוכנות והתגובה לאירועים, בעיקר באמצעות שמורת אבטחת סייבר של האיחוד האירופי. זה יורכב מ"ספקים מהימנים" שנבחרו מראש מהמגזר הפרטי שניתן לפרוס לפי בקשת האיחוד האירופי או המדינות החברות כדי לסייע באירועי אבטחה גדולים.
מנגנון החירום הסייבר גם מבטיח לתמוך ברעיון של סיוע הדדי בין מדינות חברות שנפגעו מתקריות. וגם הבחירה ובדיקות הפגיעות התקופתיות של מגזרי תשתית קריטיים כמו בריאות ופיננסים. המגזרים לבדיקה ייבחרו על פי הערכת סיכונים משותפת ברמת האיחוד האירופי.
מנגנון סקירת אירועי אבטחת סייבר: נועד להעריך ולסקור אירועים חמורים לפי בקשת הנציבות האירופית או הרשויות הלאומיות. סוכנות הביטחון ENISA תערוך את הסקירה ותעביר מסמך הפקת לקחים המכיל המלצות לשיפור העמדה הביטחונית של הגוש.
ג'ף לה, סמנכ"ל לענייני ממשל גלובליים ומדיניות ציבורית בפלטפורמת הסיכונים של צד שלישי SecurityScorecard, אומר ל-ISMS.online שייתכן שהיוזמה תזדקק ליותר מ-1.1 מיליארד יורו (920 מיליון ליש"ט) המוקצה לה כעת.
"בארה"ב, מערכת העזרה ההדדית בוגרת יותר וראויה להתייחסות משמעותית באיחוד האירופי במקרה של תקרית קטסטרופלית המשתקת את המדינות החברות", הוא מוסיף.
"ENISA צריכה לקחת תפקיד שמתחזק מעבר לתוכניות ולחפש להגדיל את חלקה במנהיגות המחשבתית. בפרט, יש צורך בשותפויות עמוקות יותר עם NIST וגופי תקן גלובליים אחרים כדי להתמקד במדדי חוסן של שרשרת אספקה, תקנים ומסגרות אבטחה, כאשר דחיפה להרמוניה נכנסת למוקד."
Le מוסיף כי דיווח על תקריות באיחוד האירופי יכול להפיק תועלת גם מהתיאום הדוק יותר עם משטרי דיווח על תקריות תשתית קריטית גלובלית כמו תהליך CIRCIA האמריקאי.
"הדיווח צריך להיות מיושר יותר, ויש לציין התמקדות ברורה באיזה מידע חיוני עבור קובעי מדיניות ו-CISOs", הוא טוען. "בהתחשב בבעיות האחרונות עם וולט ומלח טייפון בתשתיות קריטיות, צריך להיות גם דגש עמוק יותר על הערכת טלקומוניקציה. בעוד שמגזרים אחרים מוזכרים, המרחב הפגיע הזה לא.
איך להתכונן לזה
המעשה ידרוש מעט מרוב החברות בבריטניה.
"בעקבות הברקזיט, בריטניה לא תהיה חלק ממנגנוני שיתוף הפעולה שהוכנסו על ידי חוק סולידריות הסייבר", אומרים שרה פירס ודיוויד דומונט, שותפים בהנטון אנדרוז קורת', ל-ISMS.online.
"החוק לא יחול על כל הארגונים, רק על אלה הפועלים במגזרים קריטיים ביותר. לכל הפחות, ארגונים צריכים להישאר מעודכנים בהתפתחויות ולהעריך אם הם נכנסים לתחום החקיקה או לא. אלה שנמצאים בהיקף עשויים להיות כפופים ל'בדיקות מוכנות מתואמות', כך שה-CISO וצוותים פנימיים רלוונטיים אחרים יצטרכו להכיל בדיקות כאלה במסגרת תוכניות הממשל שלהם".
עם זאת, ההבנה של ISMS.online היא שרק ארגוני תשתית קריטית עם פעילות באיחוד האירופי יכולים להיות כפופים לדרישות אלה.
אדוארד מאצ'ין, יועץ ב-Ropes & Grey, מזהיר גם הוא שאם בדיקות אלו יחשפו פגיעויות קריטיות לאיומי סייבר, ארגונים כאלה עלולים להיות חשופים ל"סיכוני אכיפה וסיכוני מוניטין רחבים יותר" הקשורים לאי ציות לחוקי סייבר אחרים של האיחוד האירופי.
"ארגוני CISO במגזרי תעשייה קריטיים שהתכוננו לחוקי הסייבר האחרים של האיחוד האירופי צריכים לגלות שההכנות הללו תורמות להם להיענות לבקשות בדיקה פוטנציאליות המבוצעות במסגרת חוק הסייבר סולידריות", הוא אומר ל-ISMS.online.
"בהתחשב בכך שחוקי סייבר אחרים של האיחוד האירופי משפיעים ותהיה להם השפעה רבה יותר על CISOs על בסיס יומיומי, הייתי מציע להתמקד בחוקים אלה לעת עתה תוך שמירה על תקציר צפייה על המעשה."
הפרלמנט והמועצה האירופי הגיעו להסכמה זמנית על החקיקה במרץ 2024, והטקסט הזמני פורסם באותו חודש. עם זאת, לא ברור מתי מחוקקים עשויים לאמץ זאת באופן רשמי. צפו לעוד הרבה שיגיעו ב-2025.
