Минатата година во септември, Европската унија најави носење на нов закон за сајбер безбедност. Целта на законот е да им помогне на корисниците и на компаниите да се заштитат од дигитални производи со недоволна безбедност. Ако, или кога ќе биде донесе законот ќе воведе сет на минимални барања кои треба да се исполнат за онлајн сервиси, софтвер, но и за хардвер.
Проценките се дека глобално, онлајн криминалот во 2021 предизвикал штета од 5,5 трилиони евра годишно. До 2025 година оваа бројка би можела да рипне на 10,5 трилиони.
Предлог Законот за сајбер отпорност (Cyber Resilience Act) ќе постави минимум стандарди кои треба да се исполнат за софтвер, интернет на нештата, уреди кои се поврзуваат на интернет и разни онлајн услуги. Сите компании кои продаваат производи и услуги со дигитални елементи во Европа ќе мора да ги исполнат условите од новиот закон.
„Од бебешки монитори до паметни часовници, производите и софтверот што содржат дигитална компонента се сеприсутни во нашиот секојдневен живот. Mногу корисници не го гледаат безбедносниот ризик што може да го претставуваат овие производи и софтвер“, вели Европската комисија.
Законот треба да помогне да се надминат два проблеми. Првиот – недоволна заштита за многу производи. Тука е вклучено и незадоволителното ниво на безбедносни надградби за производите и софтверот. Вториот проблем кој ќе биде надминат е што потрошувачите и компаниите ќе знаат кои производи се безбедни. Ова ќе им помогне на купувачите да одберат безбедни уреди кои ќе можат да ги користат за да ја зголемат својата безбедност.
Законот треба да обезбеди и:
- усогласени правила при издавање на пазарот, без разлика дали станува збор за производи или софтвер со дигитална компонента;
- сајбер-безбедносна рамка која го опфаќа планирањето, дизајнот, развојот и одржувањето на таквите производи, со обврски што треба да се исполнат во секоја фаза;
- обврска да се обезбеди одржување за целиот животен циклус на таквите производи.
Законот ќе ги подели производите и услугите во 3 категории: основна, критична класа 1 и критична класа 2. Најголем број од производите и услугите ќе бидат во основната класа – пример за овие производи се софтвер за уредување на слики, текст процесори, паметни звучници, дискови и видеоигри. Производите во класа-1 претставуваат помал ризик за сајбер-безбедноста. Тука спаѓаат софтвер за идентификација и управување со привилегии; прелистувачи и интегрирани прелистувачи; менаџери на лозинки; управување со ресурси во мрежа; firewall; микропроцесори кои не се во класа-2; микроконтролери и слично. Класата 2 се најчувствителни дигитални елементи. Тука се вклучени оперативни системи; firewall за индустриска употреба; системи за детектирање на упад во индустриски системи; рутери и модеми за индустриска употреба; безбедносни криптопроцесори; паметни картички, читачи и токени…
Предлог законот има неколку интересни одредби кои се однесуваат на зголемена безбедност. Кога хардверот е во прашање, барем оној кој се поврзува на интернет сите уреди кој се продаваат ќе мора да доаѓаат со безбедна конфигурација. Ова за уредите како камери ќе значи дека нема да може да се продаваат со стандардни лозинки или лозинки од типот „admin“/„аdmin“.
Предлогот во „член 32“ предвидува дека ниту еден производ со „дигитален елемент“ нема да може да се испорачува со познат безбедносен пропуст кој може да биде злоупотребен. Законот сѐ уште се доработува, но овој член ако остане непроменет или недоволно објаснет би можел да значи „стоп“ за продажбата на секој уред или софтвер штом биде објавен пропуст. Продажбата ќе треба да биде запрена иако можеби веќе постои безбедносна закрпа.
Во моментов, на законот работат Европскиот парламент и Советот на Европа. Законот ќе стапи на сила две години по неговото прифаќање во државите членки.
Ако ве интересираат некои од реакциите за најавениот закон, голем дел се достапни на блогот на Opensource.org.