Президент Европейской комиссии Урсула фон дер Ляйен объявила в среду, 15 сентября, о Законе киберустойчивости (Cyber Resilience Act), направленного на установление общих стандартов кибербезопасности для подключенных устройств.
«Мы не можем говорить о защите, не говоря о киберпространстве», — заявила Урсула фон дер Ляйен в своей ежегодной речи о положении Союза в парламенте.
«Если что-то подключено к сети, то это можно взломать», — добавила она, отметив, что растущее количество подключенных устройств также увеличивает уязвимость для кибератак.
По словам фон дер Лейен, быстрое распространение цифровых технологий «стало большим уравнителем в том, как власть может быть использована сегодня государствами-изгоями или негосударственными группами» для нарушения критически важных инфраструктур, таких как государственное управление и больницы.
«А учитывая, что ресурсов мало, мы должны объединить наши силы. И мы не должны довольствоваться только устранением киберугроз, мы также должны стремиться стать лидером в области кибербезопасности», — сказала президент Комиссии.
Инициатива Комиссии дополняет существующее предложение по Директиве о безопасности сети и информационных систем, широко известной как Директива NIS2. NIS2 расширяет сферу действия предыдущей директивы, повышая требования к кибербезопасности для цифровых услуг, используемых в важнейших секторах экономики и общества.
Барт Гроотуис, законодатель, возглавляющий работу над директивой NIS2 в Европейском парламенте, подчеркивает взаимодополняемость двух законов ЕС. В то время как NIS2 касается безопасности критически важных цепочек поставок, он говорит, что подключенные устройства являются слепым пятном в арсенале кибербезопасности ЕС.
«Интернет вещей приведет к появлению большого количества незащищенных продуктов, потому что безопасность часто не является приоритетом для производителей таких машин. И на данный момент нет европейского стандарта, которого нужно придерживаться. Приятно иметь на кухне машину для приготовления свинины или умную кофеварку, но это также способ проникновения хакеров в домашние ИТ-системы», — сказал Грутуис в интервью для EURACTIV.
Именно это было показано в проекте Hackable Home, возглавляемом группой под названием Euroconsumers, который продемонстрировал с помощью этического взлома, что большинству устройств умного дома не хватает даже базовых стандартов кибербезопасности.
«Мы давно выступаем за это, чтобы гарантировать безопасность потребителей во всем ЕС, — сказала Эльс Брюггеман, глава отдела политики и правоприменения Euroconsumers. — Если Комиссия хочет стать лидером в области кибербезопасности, она должна работать над общим подходом ЕС к киберугрозам, который позволит потребителям доверять Интернету вещей», — добавил Брюггеман.
Аналогичные опасения по поводу необходимости определения базовых требований к кибербезопасности были также высказаны Digital Europe, лидером европейской цифровой индустрии. В недавнем отчете торговая ассоциация предупредила, что существующие правила безопасности продукции не устанавливают обязательства по кибербезопасности для подключенных устройств.
Приветствуя Закон о киберустойчивости, генеральный директор Digital Europe Сесилия Бонефельд-Даль предупредила о росте числа предложений ЕС по регулированию киберсреды.
Помимо директивы NIS2, на рассмотрении находятся несколько предложений, включая директиву об устойчивости критически важных объектов, более секторальную директиву об устойчивости цифровых операций, а также несколько нормативных актов по безопасности продукции, отметила она.
«Нам нужны более согласованные цели и легко реализуемые правила, если мы хотим добиться правильной защиты для европейцев и помочь европейской промышленности создать потенциал кибербезопасности в масштабе», — сказал Бонефельд-Дал.
Евродепутат Грутуис, в свою очередь, призвал к созданию системы доменных имен (DNS) в масштабах всего ЕС. DNS является критически важной инфраструктурой для глобального управления интернетом и управляется горсткой неевропейских организаций, что затрудняет для стран ЕС борьбу с крупномасштабными кибератаками или делает их уязвимыми для геополитической напряженности.
«Когда я работал в Министерстве обороны Нидерландов в качестве главы отдела кибербезопасности, мне пришлось иметь дело с разрушительными атаками NotPetya из России и червя Wannacary из Северной Кореи, которые нанесли миллиардные убытки европейским предприятиям», — сказал Грутуис.
По его словам, голландские власти в то время не смогли остановить эти атаки, хотя им были известны домены и серверы, используемые хакерами.
По мнению голландского законодателя, альтернатива в виде европейского DNS — «единственный способ создать такой щит и защитить Европу». В своей стратегии кибербезопасности Комиссия заявила о намерении разработать европейскую службу DNS-резолвера, DNS4EU, однако это предложение еще не сформулировано.
Перевод статьи EURACTIV «EU chief announces cybersecurity law for connected devices»