Cyber Resilience Act (CRA) još je jedan u nizu digitalnih propisa kojima Europska unija nastoji ojačati obranu od sve učestalijih kibernetičkih napada.
Riječ je o zakonu koji treba jamčiti višu razinu sigurnosti za sve žičane i bežične uređaje koji su spojeni na internet, kao i softver koji je dostupan na jedinstvenom europskom tržištu, a istovremeno propisuje da proizvođači snose odgovornost za kibernetičku sigurnost tijekom cijelog životnog vijeka proizvoda.
Prijetnje stoljećima iste
Propis je donesen krajem 2024., u punoj će primjeni biti od kraja 2027., a neke obaveze za države članice počinju već ove godine. EU ostavlja dovoljno vremena za prihvaćanje tog propisa na nacionalnim razinama iako postoji bojazan da ih događaji preteknu. Jer, europske organizacije i institucije najviše su u svijetu pod udarom kibernetičkih napada, procjena je da su štete već 2024. iznosile oko 10,5 milijardi dolara te da rastu po stopi od 15 posto godišnje.
Kibernetičke prijetnje koje kao svoj eter za prijenos koriste internet jednostavno su nešto s čime moramo živjeti kao s prijetnjom.
Bruno Banelli, tvrtka Sartura
Pritom, samo je dio tih napada motiviran ratom u Ukrajini (iako bi se prema vijestima moglo suditi drukčije) jer znanstveni radovi, kako nam kaže Bruno Banelli iz tvrtke Sartura, kao što je, primjerice, rad “Exploring the global geography of cybercrime and its driving forces”, objavljen u cijenjenoj publikaciji Nature, otkrivaju kako većina kibernetičkog kriminala ima ishodište, utvrđeno temeljem IP adresa, u Sjevernoj Americi, središnjoj i istočnoj Europi, istočnoj Aziji, Indiji te istočnoj Australiji. Nesporno je da postoji ne samo prijetnja nego i konkretne akcije koje se događaju upravo zbog rusko-ukrajinskog sukoba, ali moramo biti svjesni da globalni geopolitički sukobi uvijek zgodno koincidiraju s raznim mirnodopskim interesnim skupinama.
Posao im olakšava tradicionalna inercija prema sigurnosti općenito, a posebno ona vezana za kibernetičku sigurnost. Na kraju krajeva, jedan od eklatantnih primjera recentna je situacija s pariškim Louvreom, u kojem su sigurnosne lozinke bile trivijalne, a operativni sustavi kao podrška fizičkim sustavima sigurnosti stariji od 41 posto posjetitelja Louvrea 2024. godine pa je glasoviti muzej bilo lako opljačkati – kaže Banelli.
Sarturini djelatnici sudjelovali su u pisanju vertikala Cyber Security Acta koje će biti integralni dio njegove primjene. O tome će se upravo ovoga mjeseca, 20. siječnja, početi održavati i radionice u Sveučilištu Algebra Bernays. I to, kaže Banelli, nije nimalo prerano.
Unatoč činjenici da puna primjena CRA dolazi tek 2027. godine, ni jedan proizvođač koji na današnji dan ili prije pet godina nije imao osnovne tehničko-sigurnosne pretpostavke koje će ubuduće biti i obvezujuće nije ni trebao biti u mogućnosti sudjelovati na tržištu. Način na koji smo trenutačno povezani digitalizacijom više se ne čini zgodnim i praktičnim dodatnim alatom, nego jednostavno realnošću bez koje se više ne može. Kibernetičke prijetnje koje kao svoj eter za prijenos koriste internet jednostavno su nešto s čime moramo živjeti kao s perpetuiranom prijetnjom.
Prijetnje su gotovo iste kao što su bile otkad su Egipćani izumili papirus ili otkad je Guttenberg izumio tiskarski stroj, samo su se vektori promijenili. Plastično, danas će vam novac prije otuđiti putem interneta nego da budete fizički napadnuti. Stoga se rađa kompletno nova generacija kriminalaca, kojima se katkada čak romaneskno tepa kao “cyberkriminalcima”. No treba biti vrlo jasan i rezolutan – pravno ne postoji razlika u tome je li vas netko presreo na cesti i otuđio vam gotovinu ili ste na to bili navedeni putem internetske prijevare – objašnjava Banelli.
CRA će omogućiti kupcima da dobiju točne i sveobuhvatne informacije o značajkama kibernetičke sigurnosti svojih digitalnih proizvoda. Stoga će se usklađivanjem regulatornog okruženja izbjeći preklapanje zahtjeva, što će proizvođačima uređaja olakšati usklađivanje s uredbom. Jasno, problem kibernetičke zaštite na nivou zajednice koja okuplja više od 400 milijuna ljudi ne može se riješiti jednim zakonom. “To ne bi bilo ni pošteno pretpostaviti. Pristup je uvijek polivalentan i interdisciplinaran te uključuje osviještenost, educiranost i, jasno, odgovarajuće zakonske i druge okvire kojima se takav tip sigurnosti može nedvojbeno mjeriti i pratiti.
No ono što će CRA pokušati uvesti jest kibernetička higijena, koja bi ionako trebala biti conditio sine qua non, baš kao što CE oznaka i pretpostavlja, te će biti proširena upravo za kibernetičku otpornost, uz već postojeće sigurnosne, zdravstvene i ekološke zahtjeve. Mislim da je odluka Europske komisije da povjeri stručan dio toga posla organizaciji poput Europskog instituta za komunikacijske standarde (ETSI) bila ispravan potez i da neće biti mjesta za razne interpretacije ili nedoumice vezane za kibernetičku otpornost”, smatra Bruno Banelli. Važno je napomenuti da CRA vrijedi samo za nove proizvode te se ne odnosi na one koji su trenutačno na tržištu prema aktualnim zakonima i pravilnicima.
Proizvođači će ubuduće morati promijeniti pristup razvoju proizvoda u smislu zadovoljavanja bitnih zahtjeva kibernetičke sigurnosti poput sigurne zadane konfiguracije (secure by default), zaštite od neovlaštenog pristupa kroz autentifikaciju i kontrolu pristupa, enkripcije pohranjenih i prenesenih podataka, minimizacije obrade osobnih podataka, otpornosti na DDoS napade, smanjenja napadne površine na minimum te automatske instalacije sigurnosnih ažuriranja kao zadane postavke. Tu je i segment obaveznih sigurnosnih ažuriranja kao dugoročna obveza te izrada odgovarajuće tehničke dokumentacije kao i stavljanje CE oznake na proizvod – napominje Banelli.
Provjeriti CE oznaku
Dodaje da se odgovornost proširuje i na uvoznike i distributere za proizvode iz trećih zemalja. Prije stavljanja proizvoda na tržište EU uvoznici moraju verificirati da je proizvođač proveo odgovarajuću ocjenu sukladnosti, izradio tehničku dokumentaciju, stavio CE oznaku te uspostavio procese upravljanja ranjivostima.
Uvoznik mora na proizvod staviti vlastite kontakt-podatke i čuvati kopiju EU izjave o sukladnosti minimalno 10 godina. Ako uvoznik sumnja da proizvod nije sukladan, ne smije ga staviti na tržište dok se sukladnost ne osigura. U slučaju da proizvod predstavlja kibernetički rizik, mora odmah obavijestiti proizvođača i tijela za nadzor tržišta.
Distributeri pak moraju provjeriti da proizvod nosi CE oznaku, da su proizvođač i uvoznik ispunili svoje obveze te da su osigurani svi potrebni dokumenti uključujući informacije o periodu podrške. Također moraju osigurati da uvjeti skladištenja i transporta ne ugrožavaju sukladnost proizvoda, rekao nam je Banelli. Smatra kako je važno napomenuti i da će to neizbježno povećati troškove za cijeli opskrbni lanac.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu