Lenge kan det svakeste leddet i nettverk, smarte enheter og lignende tilkoblede enheter snart bli tvunget til å styrke forsvaret sitt av EUs lov om cyberresiliens. Den foreslåtte loven vil påvirke alle produkter med “digitale elementer” i EU, og krever at produsenter både oppfyller grunnleggende standarder på designnivå og gir et middel til å oppdatere og lappe enheter etter hvert som sårbarheter utvikler seg.
Produsenter av tilkoblede enheter vil også bli pålagt å kommunisere viktige sikkerhetsfunksjoner til forbrukere ved kjøpsstedet, og for å sikre at de forstår hvordan de aktiverer og vedlikeholder alle disse funksjonene etter at enheten er konfigurert. Foreslåtte straffer er nær dem i den generelle databeskyttelsesforordningen (GDPR), med en maksimal bot på 2,5 % av den globale årlige omsetningen.
Cyber Resilience Act tar for seg store hull skapt av smarte enheter
Tilkoblede enheter er definert av EU Cyber Resilience Act som alt “direkte eller indirekte” koblet til andre enheter eller nettverk, som kaster et veldig bredt nett ment å adressere hele smartenhetsmarkedet. Det er noen produktkategorier unntatt fra de foreslåtte nye reglene, men bare de som allerede er underlagt deres egne unike regelverk: biler, fly og medisinsk utstyr som noen få eksempler.
Lovforslaget foreslår også den typen tenner som har tvunget selskaper som opererer i EU til å ta GDPR-overholdelse på alvor. Selskaper som ikke oppfyller lovforslagets «essensielle» nettsikkerhetskrav, ser på maksimale bøter på €15 millioner eller 2,5 % av den globale årlige omsetningen, men mindre feil reduserer ikke presset mye med maksimale bøter på €10 millioner eller 2 % av global omsetning. Produkter kan også bestilles for å bli trukket tilbake eller tilbakekalt. Rapportering av villedende eller ufullstendig informasjon til myndighetene kan koste bedrifter 5 millioner euro eller 1 % av den globale omsetningen.
Smarte og tilkoblede enheter er stort sett uregulert rundt om i verden og har relativt sjelden blitt sendt med langsiktig sikkerhet i tankene. Markedet er spekket med enheter som ikke har passordbeskyttelse, standardpassord som ikke kan endres, ingen midler for å oppdatere fastvare eller programvare når sårbarheter utvikler seg, og andre alvorlige sikkerhetshull som viser en fullstendig mangel på interesse for emnet ved de grunnleggende designnivå.
Denne tidlige formen for EUs Cyber Resilience Act går ennå ikke inn på detaljer om hvordan designprosesser vil bli regulert, men indikerer at det vil bli fastsatt regler som gjelder ikke bare for utvikling, men for hele produktets livssyklus. Produsenter vil også bli pålagt å rapportere sårbarheter som utvikler seg hvis de blir aktivt utnyttet.
Hvor stramme ville disse nye reglene være? Selv om de ennå ikke er utviklet, er den tidlige indikasjonen at mindre kritiske produkter (estimert til å være omtrent 90 % av markedet) kan komme unna med en grunnleggende tredjepartsvurdering eller til og med en egenvurdering. Konforme produkter vil kunne vise EUs CE-merke, som allerede brukes til elektrisk sikkerhet og andre applikasjoner. Noe egensertifisering er allerede tilgjengelig for noen av disse applikasjonene.
Stor justering for tilkoblede enheter kan gi fordeler til andre markeder
EU Agency for Cybersecurity (ENISA) siterer den eksplosive veksten av løsepengevare de siste årene som en av hoveddriverne bak EUs Cyber Resilience Act, og noterer statistikk som viser at et selskap ble rammet av et angrep hvert 11. sekund i 2021 og at den globale årlige skadene er nå på 20 milliarder euro. Denne angrepsfrekvensen er i stor grad drevet av automatiserte roboter, og kjente sårbarheter i tilkoblede enheter er en av de viktigste tingene som disse ondsinnede systemene søker etter.
Hvis EUs Cyber Resilience Act kommer gjennom Europaparlamentet og rådet, kan fordelene sees i andre deler av verden ettersom produsenter skreddersyr sin globale produktlinje for å samsvare med de nødvendige EU-standardene. Selv om det ikke er den første lovgivningen som spesifikt tar for seg tilkoblede enheter, ville EUs Cyber Resilience Act være den sterkeste og mest omfattende hvis den ble vedtatt; tidligere lovgivning, for eksempel en California-lov fra 2018 som krever at smartenheter skal aktivere sikre passordhar en tendens til å adressere spesifikke sårbarheter i stedet for en “security by design”-tilnærming som starter når skjemaer er utarbeidet.
Eventuelle endringer vil imidlertid ta litt tid å rippe ut til butikkhyllene. Hvis EUs Cyber Resilience Act ender opp med å bli vedtatt, vil produsentene ha to år på seg til å få de tilkoblede enhetene sine i samsvar. Kravet om å rapportere aktivt utnyttede sårbarheter kan implementeres på bare ett år.
David Dumont og Sarah Pearce, partnere ved Hunton Andrews Kurth LLP, føler at vedtakelse av EUs Cyber Resilience Act er langt fra en sikker ting gitt den uforholdsmessige belastningen reglene kan påføre mindre virksomheter og virkningen det kan ha på teknologisk innovasjon: «EU-lovgivers valg om å pålegge cybersikkerhetskrav for all maskinvare og programvareprodukter som er koblet til en annen enhet eller nettverk på EU-markedet, gjennom en regulering som vil være direkte gjeldende i alle EU-medlemsstater, virker logisk, ettersom effektiviteten av EUs forsvar mot nettangrep kan bli påvirket hvis ett digitalt produkt i kjeden har ineffektive sikkerhetsfunksjoner … Selv om det er en generell konsensus om behovet for sterke og konsistente cybersikkerhetsstandarder for å redusere sårbarheter i digitale produkter, er det en risiko for at etterlevelseskostnader knyttet til de strenge betingelsene som må oppfylles for å introdusere digitale produkter på marked, som må overvåkes gjennom de digitale produktenes livssyklus kan gjøre det vanskelig for små og mellomstore bedrifter for å konkurrere på det digitale markedet. Det er også en risiko for at det kan hindre teknologiske fremskritt. Lovgivere må etablere en fornuftig balanse mellom tilstrekkelig regulering for å sikre sikkerhet mot trusler, samtidig som de tillater og oppmuntrer utviklingen av nye og utviklende digitale produkter.»