Czy w obliczu rosnącego zaniepokojenia rządów bezpieczeństwem urządzeń IoT, szczególnie w krytycznej infrastrukturze krajowej, możesz wyjaśnić znaczenie unijnej ustawy o cyberodporności (CRA)?
Martin Nord: Unijna ustawa CRA jest przełomowym aktem prawnym. Ma ogromne konsekwencje dla całego społeczeństwa, dla różnego rodzaju firm z większości branż korzystających z IoT i oczywiście dla użytkowników końcowych. Dotyczy rosnących zagrożeń dla cyberbezpieczeństwa wynikających z połączenia większej liczby złośliwych podmiotów o zaawansowanych możliwościach i zwiększonej liczby urządzeń IoT. Niestety, wiele z tych urządzeń było w przeszłości niezabezpieczonych, co czyniło je głównymi celami cyberprzestępców.
CRA jest naprawdę istotna, ponieważ nakłada na producentów, twórców oprogramowania i dystrybutorów znaczną odpowiedzialność za sprostanie tym wyzwaniom związanym z bezpieczeństwem, aby móc obsługiwać jednolity rynek europejski. Podmioty te muszą poświadczyć, że urządzenia IoT są "bezpieczne już w fazie projektowania". Bezpieczeństwo powinno być wbudowane w urządzenie od podstaw, a nie dodawane po fakcie. Co więcej, musi to być udokumentowane i certyfikowane.
W jaki sposób agencja ratingowa proponuje egzekwować podejście "bezpieczeństwo już na etapie projektowania"?
Martin Nord: CRA egzekwuje to poprzez nałożenie odpowiedzialności za bezpieczeństwo na cały łańcuch dostaw urządzeń IoT, od producentów po dystrybutorów i importerów. Po zatwierdzeniu przez Radę niezgodność z tymi przepisami uniemożliwi firmom uzyskanie znaków CE dla ich produktów, które są niezbędne do uzyskania dostępu do rynku. Wycofanie i wycofanie produktów to środki naprawcze, które mogą być konieczne w niektórych przypadkach, jeśli podmiot posiada informacje, że produkt nie jest zgodny. Ponadto, firmy niespełniające wymogów mogą zostać ukarane kilkoma rodzajami grzywien za naruszenia. Najsurowsza z nich wynosi do 15 milionów euro lub 2,5% globalnego obrotu, w zależności od tego, która z tych kwot jest wyższa, za nieprzestrzeganie podstawowych wymogów cyberbezpieczeństwa.
Gwarantuje to, że wszystkie zainteresowane strony zaangażowane w rozwój i dostawę urządzeń IoT priorytetowo traktują środki bezpieczeństwa. Strony te powinny wdrożyć kluczowe funkcje bezpieczeństwa zwiększające bezpieczeństwo w praktyce, takie jak wprowadzanie na rynek wyłącznie bezpiecznych produktów wraz z odpowiednią dokumentacją. Ich obowiązek obejmuje również cały okres życia produktu, z wymogiem przeprowadzania dokładnych analiz, udostępniania luk w zabezpieczeniach, zapewniania wsparcia i dostarczania aktualizacji zabezpieczeń w celu wyeliminowania wszelkich potencjalnych luk.
Jaki wpływ będą miały te przepisy na globalną branżę IoT?
Martin Nord: Chociaż CRA wpływa przede wszystkim na rynek UE, jego wpływ wykracza daleko poza ten rynek ze względu na jego wielkość i cel branży, jakim jest uproszczenie wariantów produktów. Spodziewam się, że globalna branża IoT nie zignoruje tych przepisów, koncentrując się na rynkach spoza UE. Co więcej, wiele innych krajów debatuje nad podobnymi przepisami dotyczącymi bezpieczeństwa IoT, zmniejszając rynek niezabezpieczonych urządzeń. Na przykład Stany Zjednoczone pracują nad ustawą o poprawie cyberbezpieczeństwa, która jest zgodna z ustawą CRA. Prowadzone są nawet dyskusje na temat wzajemnego uznawania standardów zgodności między UE a USA. Oznacza to, że jeśli firma spełnia standardy CRA, prawdopodobnie będzie również przestrzegać przepisów amerykańskich, usprawniając współpracę międzynarodową i wysiłki w zakresie zgodności.
W ostatecznym rozrachunku uważam, że producenci urządzeń IoT mają również nieodłączny interes w zapewnieniu najwyższych standardów bezpieczeństwa swoich produktów. Dzięki zharmonizowanemu prawodawstwu w wielu branżach realizacja tych ambicji stała się teraz bardziej praktyczna, również w bardziej wrażliwych cenowo segmentach rynku IoT.
.jpg?quality=high&width=720&height=376&name=2%20(1).jpg)
Jakie wyzwania przewidujesz dla producentów, importerów i dystrybutorów w zakresie spełnienia tych nowych standardów?
Martin Nord: Podstawowym wyzwaniem jest harmonogram zapewnienia zgodności. Producenci mają 36 miesięcy na dostosowanie się do nowych przepisów, z 21-miesięcznym okresem karencji na zgłaszanie incydentów. Biorąc pod uwagę, że typowy cykl rozwoju urządzeń IoT wynosi około 18 miesięcy, firmy muszą natychmiast rozpocząć dostosowywanie swoich procesów. Odpowiedzialność finansowa i sama liczba urządzeń wymagających zgodności również będą stanowić poważne wyzwania. Wdrożenie tych zmian wymaga znacznych inwestycji w środki bezpieczeństwa i ciągłe aktualizacje, co może nadwyrężyć zasoby, zwłaszcza w przypadku mniejszych firm. Mimo to, pozytywnym aspektem dla tych, którzy są już przygotowani lub robią szybkie postępy, powinny być zwiększone zyski, ponieważ rynek nagrodzi tych, którzy mogą zaoferować urządzenia, które są już zgodne z przepisami.
W jaki sposób producenci IoT mogą najlepiej przygotować się do wdrożenia CRA?
Martin Nord: Przygotowanie ma kluczowe znaczenie dla uniknięcia kar finansowych wynikających z nieprzestrzegania przepisów. Producenci powinni od samego początku zasięgać porad ekspertów, aby skutecznie poruszać się po tych przepisach.
Po pierwsze, należy ustalić, czy produkty są objęte tymi przepisami, a wymogiem numer jeden jest faktyczne udostępnienie produktu na rynku. Przepisy obejmują również wyłącznie "produkty z elementami cyfrowymi" ("PDE"), zdefiniowane jako "dowolny produkt programowy lub sprzętowy i jego rozwiązania do zdalnego przetwarzania danych, w tym komponenty programowe lub sprzętowe, które mają być wprowadzane na rynek oddzielnie". Szczegółowe przeanalizowanie definicji i interpretacji może być konieczne np. w celu wyciągnięcia wniosków dotyczących oprogramowania i oprogramowania typu open source.
Należy również zauważyć, że istnieją pewne wyłączenia dla urządzeń, takie jak np. niektóre części zamienne przeznaczone do zastąpienia identycznych komponentów. Inne wyłączenia dotyczą sektorów obecnie uznawanych za wystarczająco objęte innymi przepisami, takich jak wyroby medyczne, pojazdy samochodowe, produkty lotnicze, sprzęt wojskowy i wyposażenie morskie. Mogą one jednak zostać uwzględnione w przyszłości, dlatego należy rozważyć zaplanowanie sposobu zapewnienia zgodności niezależnie od tego.
Należy pamiętać, że nawet jeśli produkt nie powinien podlegać CRA, należy pamiętać, że inne przepisy mogą nadal mieć zastosowanie, takie jak dyrektywa NIS2.
Wdrożenie CRA zależy od konkretnego produktu, jego klasyfikacji i kategorii. Pełną listę wymogów można znaleźć w samym tekście CRA lub można znaleźć partnera, który specjalizuje się w pomaganiu firmom w tym zakresie. Oczywiście należy upewnić się, że uwzględniono wszystkie aspekty przepisów. Nie wystarczy np. wprowadzić na rynek produktu, który został przetestowany pod kątem braku luk w zabezpieczeniach, jeśli nie jest to udokumentowane, ani jeśli informacje nie są dostępne dla użytkownika.
Wyjście poza minimalne wymagania CRA może być również korzystne. W miarę jak cyberprzestępcy rozwijają swoje taktyki, proaktywne ulepszanie środków bezpieczeństwa pomoże firmom wyprzedzić zmiany regulacyjne i zapewnić, że ich produkty pozostaną bezpieczne i godne zaufania.
Jako MVNO specjalizujący się w łączności komórkowej IoT, w Com4 rozumiemy również, jak ważne jest, aby producenci wzięli pod uwagę sposób, w jaki zapewniają, że aktualizacje zabezpieczeń docierają do urządzeń użytkowników końcowych. Należy pamiętać, że uzyskanie wysokiego wskaźnika powodzenia tych obowiązkowych obecnie aktualizacji może być bardziej pilne niż tradycyjne aktualizacje bezprzewodowe, takie jak oprogramowanie układowe (FOTA), które mogą być bardziej "przyjemne do posiadania".
- Zasięg, cena danych, technologia dostępu radiowego stają się ważnymi parametrami przy wyborze rozwiązań łączności w sieci rozległej (WAN). Powinno to być częścią dialogu z dostawcą łączności.
- Kluczowe jest również posiadanie zaufanego partnera w solidnej kondycji finansowej, aby uniknąć niedostępności usługi w przyszłości. Niezdolność do aktualizacji produktu za pomocą aktualizacji bezpieczeństwa może prowadzić do uciążliwych i kosztownych procesów wymiany lub wycofania produktu z rynku, jeśli taka aktualizacja bezpieczeństwa jest konieczna jako działanie naprawcze w celu zapewnienia zgodności, np. z powodu nowo odkrytej luki w zabezpieczeniach.
- Chciałbym również podkreślić, że projekt łączności IoT jest integralną częścią projektu produktu, w tym aspektów bezpieczeństwa. Przykłady obejmują czynniki kształtu karty SIM wpływające na odporność na manipulacje (tradycyjne plastikowe warianty, wbudowane karty SIM i zintegrowane karty SIM), wykorzystanie w pełni certyfikowanych rozwiązań GSMA, które w coraz większym stopniu będą wymagane do uzyskania dostępu do sieci komórkowych, a także dodatkowe produkty zabezpieczające komunikację aplikacji z urządzenia do zaplecza lub chmury.
- Dostawca łączności może również dysponować innymi narzędziami do monitorowania i kontroli bezpieczeństwa, które mogą poprawić bezpieczeństwo. Ponownie, ważne jest, aby omówić te i inne tematy z dostawcą łączności, ponieważ każdy przypadek użycia wiąże się z własnymi wyzwaniami.
Jakie długoterminowe korzyści wynikają z CRA zarówno dla firm, jak i konsumentów?
Martin Nord: Długoterminowe korzyści z CRA są znaczące. Dla firm oznacza to tworzenie bezpieczniejszych produktów, które mogą poprawić ich reputację i zaufanie klientów. Zmniejsza również ryzyko finansowe utraty reputacji i usług w wyniku udanych ataków na ich usługi. Wspiera również bardziej odporne środowisko cyfrowe, zmniejszając ryzyko kosztownych cyberataków. Zarówno konsumentom, jak i obywatelom, CRA obiecuje większą przejrzystość i spokój ducha, wiedząc, że podłączone urządzenia, z których korzystają na co dzień, podlegają rygorystycznym standardom bezpieczeństwa. Przepisy te stanowią krytyczny krok w kierunku bezpieczniejszego i bardziej niezawodnego ekosystemu IoT oraz społeczeństwa jako całości.
Jakieś końcowe przemyślenia na temat przyszłości bezpieczeństwa IoT w świetle CRA?
Martin Nord: CRA to dopiero początek. W miarę jak krajobraz cyberzagrożeń zmienia się i przekształca, przepisy będą się dostosowywać i ewoluować, aby skutecznie im przeciwdziałać. Istotne jest, aby branża IoT pozostała elastyczna i myślała przyszłościowo, stale ulepszając środki bezpieczeństwa i wspierając kulturę świadomości cyberbezpieczeństwa. W ten sposób możemy zbudować bezpieczniejszą cyfrową przyszłość dla wszystkich.
W przypadku jakichkolwiek pytań lub dalszych informacji na temat zgodności z ustawą o cyberodporności, prosimy o kontakt z Com4. Nasi eksperci IoT są gotowi pomóc Ci w poruszaniu się po tym nowym krajobrazie regulacyjnym i zapewnieniu, że Twoje urządzenia IoT spełniają najwyższe standardy bezpieczeństwa.
