Закон Європейської комісії про кіберстійкість (CRA) спрямований на те, щоб закрити цифрову мозаїку пристроїв і систем із підключенням до мережі. Промислові мережі та критична інфраструктура потребують особливого захисту. Регламент ЄС щодо кіберстійкості може означати мільйонні штрафи для виробників, дистриб’юторів та імпортерів.
За даними Європейського Союзу, наразі кожні одинадцять секунд відбувається атака програм-вимагачів; Лише за останні кілька тижнів він вразив провідного виробника дитячого харчування та глобального постачальника автомобілів рівня 1 зі штаб-квартирою в Німеччині, причому останній став жертвою масової атаки програм-вимагачів. Така атака навіть призвела до банкрутства виробника Prophete у січні 2023 року.
Навмисні прогалини в безпеці караються
Щоб притягнути виробників, дистриб’юторів та імпортерів до відповідальності, загрожують суворі штрафи, якщо будуть виявлені прогалини в безпеці пристроїв, про які не буде повідомлено та не усунено належним чином. «Тиск на галузь – виробників, дистриб’юторів та імпортерів – надзвичайно зростає. ЄС впроваджуватиме цей регламент без компромісів, навіть якщо залишилося виконати кілька робочих кроків, наприклад, з місцевими державними органами», – говорить Ян Венденбург, керуючий директор компанії з кібербезпеки ONEKEY.
Штрафи: 15 мільйонів євро або 2,5 відсотка річних продажів
Тому штрафи для постраждалих виробників і дистриб’юторів високі: до 15 мільйонів євро або 2,5 відсотка світових річних продажів за минулий фінансовий рік – більша цифра має значення. «Це безпомилково дає зрозуміти: якщо специфікації не будуть виконані, виробникам загрожує суворе покарання», – продовжив Венденбург.
Виробники, дистриб’ютори та імпортери зобов’язані повідомляти ENISA – Агентство Європейського Союзу з кібербезпеки – протягом 24 годин, якщо в будь-якому з їхніх продуктів використовується вразливе місце. Перевищення строків подання звітності штрафується.
Виробники повинні відповідати Закону про кібер-стійкість
Пропозиція Комісії передбачає застосування нових вимог через 24 місяці після набрання чинності регламентом. Окремі елементи, такі як зобов’язання повідомляти про інциденти безпеки, мають застосовуватися через 12 місяців. «Горизонт обмежений, враховуючи, що замовлення на ІТ-продукти від виробників OEM уже розміщуються цього року на наступні 12-18 місяців. Тому ситуацію з термінами необхідно розглянути та вирішити зараз, перш ніж продукт не буде випущено на ринок через дефекти або затримка на ринку», — пояснює Ян Венденбург з ONEKEY.
Компанія керує платформою аналізу вбудованого програмного забезпечення для пошуку вразливостей безпеки в розумних і мережевих пристроях - від роботів-пилососів до промислових засобів керування вартістю мільйони доларів. Завдяки оцінці готовності до кібер-стійкості ONEKEY пропонує виробникам, дистриб’юторам та імпортерам можливість уже перевірити свої продукти на відповідність основним вимогам Закону про кібер-стійкість, а також перевірити прогалини в безпеці, а також SBOM (програмне забезпечення) можна наповнити змістом.
Більше на ONEKEY.com
Про ONEKEY ONEKEY (раніше IoT Inspector) є провідною європейською платформою для автоматичного аналізу безпеки та відповідності для пристроїв у промисловості (IIoT), виробництві (OT) та Інтернеті речей (IoT). Використовуючи автоматично створені «цифрові близнюки» та «програмне забезпечення (SBOM)» пристроїв, ONEKEY незалежно аналізує прошивку на критичні прогалини в безпеці та порушення відповідності без будь-якого вихідного коду, доступу до пристрою чи мережі.