Unia Europejska planuje wprowadzić surowe zasady dotyczące zabezpieczeń dla twórców produktów cyfrowych. Firmy będą musiały udowodnić, że spełniają podstawowe wymagania w zakresie cyberbezpieczeństwa.
Projekt ustawy wymaga od producentów prowadzących działalność na obszarze Unii Europejskiej dostarczania poprawek bezpieczeństwa i aktualizacji produktów przez cały okres ich użytkowania lub pięć lat po wejściu na rynek, w zależności od tego co jest krótsze. Firmy łamiące zasady będą podlegać karom w wysokości do 15 milionów euro lub 2,5 proc, globalnych przychodów. Lista obejmuje szeroką gamę produktów, od sprzętu AGD i innych domowych sprzętów podłączonych do Internetu, aż po oprogramowanie i komputery.
Kiedy kupujesz produkt, ważne jest, aby produkt nie posiadał luk w zabezpieczeniach. Obecnie tak się nie dzieje. To przełomowe przepisy, bowiem Europa jest pierwszym kontynentem, który wprowadza tak surowe wymagania wobec dostawców produktów cyfrowych – powiedział Thierry Breton, komisarz UE ds. rynku wewnętrznego.
Nowy pomysł Unii Europejskiej budzi kontrowersję wśród dostawców. Według ZVEI (stowarzyszenie niemieckich firm elektrycznych i cyfrowych), wprowadzenie nowych zasad dotyczących cyberbezpieczeństwa wydłuży czas i podniesie koszty opracowywania nowych rozwiązań.
Produkty z komponentami cyfrowymi będą musiały wyświetlać etykiety informujące, że są zgodne z nowymi przepisami i informujące jak długo będzie udzielane wsparcie cybernetyczne. Propozycja nie obejmuje urządzeń medycznych i samochodów, bowiem są one regulowane innymi przepisami.
Firmy będą również musiały ujawnić tzw. wykaz materiałów oprogramowania, zawierający listę składników każdego produktu, co może pomóc producentom monitorować ich łańcuchy dostaw i śledzić luki w zabezpieczeniach. Projekt przepisów zawiera listę 38 krytycznych produktów technologicznych wymaganych do uzyskania ocen cyberbezpieczeństwa od niezależnego organu. Do tej grupy należą menedżery haseł i zapory ogniowe, mikrokontrolery, przemysłowe urządzenia Internetu rzeczy i inteligentne liczniki. Jednak według urzędników przygotowujących nowe przepisy około 90 proc. firm będzie w stanie dokonać certyfikacji we własnym zakresie.
W mieszkaniach pracuje wiele inteligentnych urządzeń podłączonych do Internetu. Według danych zebranych przez systemy telemetryczne Bitdefender, produkty z autorskimi zamkniętymi systemami operacyjnymi, obsługują 34 proc. inteligentnych urządzeń pracujących w domach. Niestety, odpowiadają one za 96 procent wszystkich wykrytych luk w zabezpieczeniach. Pozostałe 4 proc. przypada na sprzęt obsługiwany przez Androida, Windowsa oraz iOS.
Uważam, że projekt UE jest bardzo dobrą, idącą z duchem czasu decyzją. Bardzo często spotykamy się z sytuacjami, że producenci urządzeń łączących się z Internetem po dwóch latach, a nawet wcześniej nie wydają żadnych poprawek, uaktualnień. Użytkownicy nadal korzystają z tych produktów, nie zdając sobie sprawy, że często są one furtką dla hakerów – mówi Mariusz Politowicz z firmy Marken, dystrybutor rozwiązań Bitdefender w Polsce.
Warto dodać, iż w ubiegłym roku belgijska organizacja konsumencka Test-Achats przetestowała 16 połączonych urządzeń, w tym elektroniczne nianie, inteligentne odkurzacze i inteligentne telewizory. Aż dziesięć miało poważne luki w zabezpieczeniach, w tym słabe domyślne hasła i brak szyfrowania danych, co sprawiało, że można je było łatwo zhakować.