Uredba o cyber sigurnosti: više akcija EU
Sada daleko u 2018. regulatori EU mislili su da će poboljšati stanje cyber sigurnosti rješavanjem jednog ishoda: kršenja ličnih podataka. Uvođenjem strogih kazni i pretvaranjem privatnosti podataka u opsesiju, smatralo se da će Opća uredba o zaštiti podataka (GDPR) dovesti organizacije u red i da će ozbiljnije shvatiti cyber sigurnost. Međutim, čini se da je stvarnost prestigla regulatore, jer su cyber napadi sada sve češći i destruktivniji, zajedno sa kršenjem ličnih podataka.
Evropska komisija se sada priprema do kraja 2022. da usvoji novi propis pod nazivom "Akt o cyber otpornosti". Uvešće obavezne zahtjeve cyber sigurnosti za proizvode koji imaju "digitalne elemente" i koji se prodaju širom EU, sa zahtevima koji se primenjuju tokom njihovog životnog ciklusa - što znači dobavljači će morati osigurati stalnu sigurnosnu podršku i ažuriranja zakrpa za ranjivosti u nastajanju.
Nova uredba će se odnositi na širok spektar proizvoda: od kućanskih aparata i povezanih igračaka do računara i softvera. Među uključenim proizvodima su sistemi za upravljanje identitetom, serverski operativni sistemi, desktop i mobilni uređaji, zaštitni zidovi, ruteri, softver za upravljanje mobilnim uređajima, VPN proizvodi i još mnogo, mnogo više. Ukratko, skoro svaki dobavljač IT tehnologije koja se koristi u modernim organizacijama moraće da se pridržava toga.
Osim što dodaje još jedno regulatorno opterećenje, da li je regulacija već pogrešno usmjerena i zaostaje za stvarnošću u smislu stvarne vrijednosti za sve zainteresirane strane?
Prvo, uzmite razloge za novu uredbu: prijedlog navodi bugove poput onog u MS Windowsima koji je omogućio širenje crva Wannacry još 2017. ili softverski bug Kaseya koji je izložio mnoge svoje korisnike hakiranju 2021. Iako ranjivosti poput ove mogu uzrokovati poremećaje, današnji hakeri su više zabrinuti kompromitiranjem legitimnih repozitorija koda, i to se vidi u napadu Solarwinds Sunburst ili kompromitovanju dobavljača računovodstvenog softvera ME Doc iz Kijeva, koji je doveo do napada visokog profila (poput onog protiv Maerska).
Ovi napadi se u suštini ne odnose na ranjivosti, već na podmetanje autentifikacije kroz taktiku društvenog inženjeringa i ubacivanja koda u inače legitimna spremišta koda. Jednostavno rečeno, propis ignoriše slona u prostoriji: većina napada danas zasnovana je na tehnikama krađe identiteta, odnosno prevari zaposlenika ili programera da dozvole pristup privatnim sistemima.
Drugo, "wormable" eksploatacije koje omogućuju nekontrolisano širenje bez interakcije korisnika su zapravo manje destruktivne u smislu krađe ili uništenja podataka. Posljednji značajan bio je onaj koji je omogućio Wannacryju da se proširi 2017., a čak je i taj napad bio manje uspješan u smislu širenja od ranijih crva kao što je bio Conficker 2008. Danas, crvi koji se automatski šire ciljaju uglavnom uređaje koji se isporučuju u zadanom nesigurnom stanju (zadane lozinke) i manje ih "pokreću" ranjivosti. Primjer su popularni roboti kao što je crv Mirai koji inficiraju razne mrežno priključene uređaje - od Linux servera do rutera, zaštitnog zida i IoT uređaja.
Treće, obavezne zakrpe mogu imati neželjene posljedice: pritisak da se izdaju zakrpe smanjit će kvalitetu. Zero Day Initiative (ZDI) već ističe da se 10% do 20% ranjivosti ponovno razmatra i popravlja. Administratori koji postavljaju sigurnosne zakrpe otkrivaju da je sve teže odrediti vrijeme ažuriranja i odrediti utjecaj zakrpa na njihove organizacije. Više krpanja znači više rizika od zastoja i prekida. Sigurno će rasti, što je upravo suprotno navedenim ciljevima uredbe.
Moglo bi se nabrajati još mnogo neželjenih posljedica ovakvih propisa, ali već sada zabrinjava činjenica da prijedlog izgleda zastarjelo i prije njegovog usvajanja (krajem 2022. godine).