Κυβερνοασφάλεια: Η πρόταση της Κομισιόν για τα κενά ασφαλείας

Περίπου 20 δισεκατομμύρια ευρώ κόστισαν μόνο το 2021 οι κυβερνοεπιθέσεις μέσω ransomware όπου ο χάκερ «κλειδώνει» ένα σύστημα, ζητώντας λύτρα πολλών χιλιάδων εάν όχι εκατοντάδων χιλιάδων ευρώ, προκειμένου αυτό να καταστεί ξανά λειτουργικό. Το μέγεθος αυτό γίνεται, ίσως, αντιληπτό, εάν ληφθεί υπόψη ότι αυτού του είδους οι επιθέσεις εκδηλώνονται ανά 11 δευτερόλεπτα. Υπολογίζεται ακόμη (σύμφωνα με στοιχεία για την ίδια χρονιά) ότι, ετησίως, το κόστος που προκαλεί, παγκοσμίως, το κυβερνοέγκλημα διαμορφώνεται στο αστρονομικό ποσό των 5,5 τρισεκατομμυρίων ευρώ.

Πίσω από τους αριθμούς αυτούς που ζαλίζουν δεν κρύβεται μόνο η ευρηματικότητα των κυβερνοεγκληματιών, αλλά και «τρύπες» ασφαλείας των ηλεκτρονικών προϊόντων που βρίσκονται διαθέσιμα στο εμπόριο. Δούρειοι Ίπποι, δηλαδή, που διευκολύνουν το έργο των χάκερ ενδέχεται να υπάρχουν σε κάθε είδους ηλεκτρονικό προϊόν, από «έξυπνα» ρολόγια μέχρι σκληρούς δίσκους και λογισμικά επεξεργασίας κειμένου ή φωτογραφίας. Τα κενά αυτά ασφαλείας επιδιώκει να σφραγίσει η Ευρωπαϊκή Επιτροπή που προτείνει τη θέσπιση νέων ενιαίων κανόνων με αντικείμενο την ανθεκτικότητα στον κυβερνοχώρο που είναι γνωστοί ως Cyber Resilience Act.

Τι επιδιώκεται

Στόχος της συγκεκριμένης πρωτοβουλίας είναι κάθε είδους ψηφιακό προϊόν που διατίθεται στην αγορά της Ευρωπαϊκής Ένωσης να εμφανίζει όσο το δυνατόν λιγότερα τρωτά σημεία. Για το σκοπό αυτό, ο νέος κανονισμός που προτείνει η Κομισιόν καθιστά υπεύθυνες τις κατασκευάστριες εταιρείες για τη διασφάλιση υψηλών προδιαγραφών ασφαλείας για το σύνολο του κύκλου ζωής ενός προϊόντος.

Οι προσωπικοί υπολογιστές, τα κινητά, οι οικιακές συσκευές, τα αυτοκίνητα, όπως και άλλες διασυνδεδεμένες συσκευές που χρησιμοποιούνται κάθε μέρα μπορούν δυνητικά να λειτουργήσουν ως Δούρειος Ίππος για τους χάκερ. Ως εκ τούτου, ο νέος κανονισμός που προτείνει η Κομισιόν έχει ως απόλυτο σκοπό τη διασφάλιση της ασφάλειας των ηλεκτρονικών συσκευών.

«Πρόκειται για το λεγόμενο security by design, για την εφοδιαστική αλυσίδα των προϊόντων με ψηφιακά στοιχεία», σημειώνει στο Money Review ο διευθύνων σύμβουλος της Neurosoft Νώντας Πασχαλίδης. «Εισάγει ενιαίους και υποχρεωτικούς κανόνες κυβερνοασφάλειας για κατασκευαστές, προγραμματιστές και εταιρείες διανομής προϊόντων, καλύπτοντας τόσο το hardware (φυσικά εξαρτήματα των υπολογιστών) όσο και το software (λογισμικό), ώστε να διασφαλιστεί ένα περισσότερο ασφαλές ψηφιακό περιβάλλον. Στην τριλογία της κυβερνοασφάλειας, δηλαδή της πρόληψης, του εντοπισμού και της αντίδρασης, το CRA, προσδιορίζει το πλαίσιο και τις υποχρεώσεις, σε επίπεδο πρόληψης, τις προδιαγραφές ασφαλείας για το σύνολο του κύκλου ζωής των προϊόντων», προσθέτει.

Ο κ. Πασχαλίδης συμμετείχε, πρόσφατα, σε roundtable για το Cyber Resilience Act στις Βρυξέλλες. Στην εν λόγω εκδήλωση συμμετείχαν επίσης, η επικεφαλής του γραφείου του αντιπροέδρου της Κομισιόν Μαργαρίτη Σχοινά, Δέσποινα Σπανού, ο Εκτελεστικός Διευθυντής του Ευρωπαϊκού Οργανισμού για την Κυβερνοασφάλεια ENISA Γιόχαν Λεπασάρ, ο  ανώτατος αντιπρόεδρος και επικεφαλής κυβερνητικής στρατηγικής της Cisco Τζεφ Καμπελ, και o σύμβουλος πολιτικής για την τεχνολογία Άνταμ Σέντζγουικ του αμερικανικού φορέα NIST.

Όπως κατέστη σαφές, η μεγάλη διείσδυση των διασυνδεδεμένων συσκευών των οποίων ο αριθμός εκτιμάται ότι θα ξεπεράσει τις 41 δισ. έως το 2025, εκτοξεύει το ρίσκο των κυβερνοεπιθέσεων. Σύμφωνα, μάλιστα με την έκθεση της Microsoft για τη ψηφιακή άμυνα, τουλάχιστον το 80% των περιστατικών χάκινγκ σχετίζονται με κενά ασφαλείας που είναι δυνατόν να κλείσουν.  

Το κόστος

Ωστόσο, η υποχρέωση για υιοθέτηση αυστηρότερων προδιαγραφών ασφαλείας δεν θα αυξήσει το κόστος για τις εταιρείες;

«Δίχως αμφισβήτηση, η πρόταση της Κομισιόν επαναπροσδιορίζει τις σχέσεις των κατασκευαστών με τους εταίρους τους. Ωστόσο, είναι κοινός τόπος ότι για τη συντριπτική πλειονότητα των προϊόντων, οι απαραίτητες απαιτήσεις κυβερνοασφάλειας απλώς αντανακλούν τις καλές πρακτικές που ήδη εφαρμόζονται. Επομένως, για τις περισσότερες εταιρείες η υιοθέτηση αυστηρότερων προδιαγραφών δεν συνεπάγεται την ανάληψη επιπρόσθετου κόστους. Επίσης, θεωρούμε δεδομένο ότι στα προϊόντα κρίσιμης σημασίας, οι κατασκευαστές υιοθετούν, ήδη, τις προδιαγραφές ασφαλείας που προβλέπει ο νέος κανονισμός» σχολιάζει ο κ. Πασχαλίδης. Ως αποτέλεσμα, κατά τον ίδιο, οι αλλαγές που ενδέχεται να προκαλέσει το νέο καθεστώς επικεντρώνονται στα εισαγόμενα προϊόντα και στο οικοσύστημα και τα λογισμικά ανοιχτού κώδικα (σ.: όπου ο πηγαίος κώδικας είναι προσβάσιμος για τροποποίηση ή αναβάθμιση.

Ποια είναι τα βήματα εφαρμογής του Cyber Resilience Act, των προτεινόμενων νέων ενιαίων κανόνων για την ανθεκτικότητα στον κυβερνοχώρο;

Από τη στιγμή που θα θεσπιστεί, οι εταιρείες (κατασκευαστές, εισαγωγείς, διανομείς και πιστοποιημένοι αντιπρόσωποι) και τα κράτη – μέλη διαθέτουν δύο χρόνια για να συμμορφωθούν με τις νέες προδιαγραφές. Κατά τον τρίτο χρόνο ισχύος του κανονισμού, οι εταιρείες θα πρέπει να αναφέρουν τυχόν κενά ή και περιστατικά κυβερνοασφάλειας που εντοπίζουν. Αφότου πωληθεί ένα ψηφιακό προϊόν (π.χ. «έξυπνο» ρολόι), οι κατασκευαστές υποχρεούνται να είναι σε θέση να αντιμετωπίζουν κάθε είδους προβλήματα καθ’ όλη τη προσδοκώμενη διάρκεια ζωής του είτε για μία πενταετία. Κατά το ίδιο χρονικό διάστημα, θα πρέπει να μεριμνούν για τη δημιουργία των νέων εκδόσεων των λογισμικών των ψηφιακών προϊόντων.

Ακολουθήστε το Money Review στο Google News