Закон Європейської комісії про кіберстійкість, найповніший закон, що регулює кібербезпеку продуктів у Європі, незабаром набуде чинності. Нещодавно було внесено низку змін, які уточнюють сферу дії закону. Формальне усиновлення в експертних колах вважається безпечним.
«З точки зору нашого аналізу безпеки, специфікація Закону про кіберстійкість дуже вітається, особливо ще більший рівень безпеки для кінцевих користувачів. Класи пристроїв було переосмислено: стаття 6 запровадила два додаткових класи ризику кібербезпеки для критично важливих апаратних і програмних продуктів, основні функції яких перелічені в Додатку III Регламенту. Клас пристроїв включає особливо критичні системи та пристрої. Усі розумні домашні пристрої та інтерактивні іграшки тепер явно включені.
Автоматичний аналіз
Під час наших тестів ми виявили, що такі пристрої часто мають значні прогалини в безпеці, які можна легко виявити за допомогою автоматичного аналізу важливих частин і, таким чином, швидше усунути. Область промислових продуктів і маршрутизаторів, яка не була включена в попередній проект, у поточній версії, можливо, потребуватиме доопрацювання», — говорить Ян Венденбург, генеральний директор Onekey. Компанія з Дюссельдорфа керує платформою аналізу кібербезпеки та відповідності продукту, яка аналізує програмне забезпечення, що міститься на всіх пристроях із доступом до мережі, і, на додаток до точного списку у вигляді списку частин програмного забезпечення (SBOM), також забезпечує детальний аналіз безпеки з оцінкою ризиків. можливих уразливостей. Onekey автоматично перевіряє та визначає критичні вразливості безпеки та порушення відповідності у вбудованому програмному забезпеченні, особливо в пристроях Інтернету речей, а також відстежує та керує ними протягом усього життєвого циклу продукту. Виробники тепер можуть легше створювати самодекларацію відповідності, яка буде потрібна в майбутньому, використовуючи новий Onekey Compliance Wizard, тобто віртуального помічника, і, якщо необхідно, передавати її зовнішнім сертифікаторам через експорт.
Кінцеві терміни в Законі про захист від кібернетичної активності
Для багатьох виробників 36-місячний перехідний період, наданий ЄС, уже короткий – розробка нових продуктів і програмного забезпечення зазвичай займає роки – тому всі виробники повинні негайно розпочати впровадження. Платформа автоматизованого аналізу ONEKEY виявляє вразливості та порушення відповідності за лічені хвилини, заощаджуючи значний час розробки та витрати виробників підключених пристроїв. Кінцеві терміни звітування про виявлені вразливості безпеки скорочені в останньому проекті Закону про кіберстійкість: «Про нові вразливості безпеки необхідно повідомляти протягом 24 годин національним наглядовим органам і Європейському органу безпеки мереж і інформації ENISA. Для компаній, які виробляють або продають пристрої з доступом до Інтернету або мережі, своєчасне управління ризиками та ретельний аналіз їхніх власних продуктів стають ще більш важливими для усунення можливих серйозних прогалин нульового дня задовго до того, як Закон про кіберстійкість нарешті набуде чинності». ідентифікувати та закрити», – продовжує Ян Венденбург з ONEKEY. Важливим компонентом є перелік матеріалів програмного забезпечення – SBOM (перелік матеріалів програмного забезпечення), який, на думку ЄС та таких органів, як Федеральне відомство з інформаційної безпеки Німеччини (BSI), відіграватиме центральну роль у майбутній архітектурі безпеки. .
SBOM одним клацанням миші
Питання відповідальності за програмне забезпечення з відкритим кодом також було по-новому врегульовано: у попередніх проектах Закону про кібернетійкість обов’язок дотримуватись вимог покладався на творців програмного забезпечення. Однак поточна версія чітко звільняє організації з відкритим кодом і фізичних осіб як учасників проектів з відкритим кодом від відповідальності. «Це означає, що відповідальність за відповідність нормам ЄС лежить виключно на компаніях, які комерційно використовують відкритий код або продають його як частину своїх продуктів.
Для цієї мети BSI сформулював власні рекомендації SBOM. Onekey вже може задовольнити вимоги щодо прозорого аналізу та представлення компонентів, що використовуються в усьому ланцюжку постачання програмного забезпечення. Для цього платформа Onekey Product Cybersecurity & Compliance повністю аналізує програмне забезпечення та мікропрограми, що містяться в пристроях, і, окрім переліку всіх включених компонентів, також виконує аналіз ризиків на наявність вразливостей. «Наша технологія дозволяє проводити глибокий аналіз програмного забезпечення пристроїв усіх класів пристроїв, визначених ЄС», — пояснює генеральний директор Венденбург. За допомогою вбудованої перевірки відповідності поточні та майбутні законодавчі технічні вимоги відповідності, такі як IEC 62443-4-2, ETSI 303 645 або Закон ЄС про захист від кібернетичної інформації та багато інших, можна перевіряти автоматично. У майбутньому обов’язкова самодекларація відповідності буде створюватися набагато швидше та простіше за допомогою нового майстра відповідності, який очікує на патент, за допомогою віртуального помічника, а для зовнішніх сертифікацій усі дані можна буде експортувати до сертифікатора лише одним клацанням миші.
Більше на OneKey.com
Про ONEKEY ONEKEY (раніше IoT Inspector) є провідною європейською платформою для автоматичного аналізу безпеки та відповідності для пристроїв у промисловості (IIoT), виробництві (OT) та Інтернеті речей (IoT). Використовуючи автоматично створені «цифрові близнюки» та «програмне забезпечення (SBOM)» пристроїв, ONEKEY незалежно аналізує прошивку на критичні прогалини в безпеці та порушення відповідності без будь-якого вихідного коду, доступу до пристрою чи мережі.
Статті по темі