Je nový evropský zákon o kybernetické odolnosti skutečným krokem vpřed pro kyberbezpečnost?

Evropská komise předložila 15. září 2022 návrh nového zákona nazvaného „Akt o kybernetické odolnosti“. Tento právní předpis prosazuje plošný evropský přístup ke kybernetické bezpečnosti a týká se konkrétně výrobců hardwaru a softwaru, neboť právě ti nesou největší odpovědnost za vývoj (bezpečnějších) technologických prostředků.

Evropská unie má v souvislosti s tímto zákonem o kybernetické bezpečnosti velké ambice. Věří například, že se zavedením jasnějších pravidel pro výrobce technologií podaří snížit počet kybernetických útoků, a tím i celkové náklady na kyberkriminalitu o 290 miliard eur ročně. Nakolik jsou však tyto ambice reálné?

Posílení technologických produktů i znalostí uživatelů

Osnova návrhu zákona spočívá v identifikaci hlavních překážek v oblasti kybernetické bezpečnosti. Prvním zjištěným strukturálním problémem je obecně nízká úroveň zabezpečení technologií, protože každý čtvrtý ICT produkt na trhu má „nízký“ nebo „velmi nízký“ stupeň zabezpečení. Někteří výrobci dokonce někdy zabezpečení záměrně omezují, aby své produkty uvedli na trh rychleji. Pokud je úvodní nízká úroveň zabezpečení později opravena prostřednictvím aktualizací, dochází k nim obvykle až ve chvíli, kdy je jejich zranitelnost odhalena. I když to představuje nákladnou investici, faktor bezpečnosti by měl být součástí výrobku již od fáze návrhu a společnosti by měly být podporovány v tom, aby své produkty chránily co nejlépe.

Druhým zjištěným strukturálním problémem je nedostatek znalostí o odpovědném zacházení s ICT produkty. Sedm z deseti evropských uživatelů přiznává, že si dostatečně neuvědomuje rizika spojená s kybernetickými útoky. Kromě toho koncoví uživatelé při nákupu výrobků nepovažují bezpečnost za hlavní kritérium, protože jednoduše předpokládají, že produkt byl již jako bezpečný navržen. Tento nedostatek ale může mít i opačný účinek a může vyvolat obezřetnost kupujících, a tím přispět ke zpomalení zavádění inovtivních technologií. Výrobci jsou proto odpovědní za to, že uživatelům poskytnou nezbytné informace o úrovni bezpečnosti svých výrobků.

Složitá jurisdikce

Každý, kdo by se začetl do kodexu evropského práva, by objevil nejméně 33 právních předpisů týkajících se oblasti kybernetické bezpečnosti (a čtyři další, které se teprve připravují) a položil by si otázku, nikoli bez lítosti ke studentům evropského práva: „Proč bychom tedy potřebovali v této věci další zákon?“

Odpověď je jednoduchá: nový zákon o kybernetické odolnosti navazuje na zákon předchozí, který vstoupil v platnost v roce 2019 a který byl prvním pokusem o zavedení pravidel určených k regulaci celého evropského trhu s informačními a komunikačními technologiemi. Cílem tohoto nového zákona je proto zaplnit mezery v tom předchozím a stanovit přísná pravidla, která budou dodržována všemi subjekty v Evropské unii. Ta doufá, že se jí podaří vyřešit roztříštěnost trhu, kde má každá země svá vlastní – často příliš vágní – pravidla v oblasti kybernetické bezpečnosti a kde jsou produkty nedostatečně kontrolovány.

Odpovědnost výrobců

Podle zákona o kybernetické odolnosti jsou za kybernetickou bezpečnost svých produktů, tedy hardwaru i softwaru, odpovědní především výrobci. Podle oficiálního znění se zákon vztahuje na výrobce „jakéhokoli produktu, jehož zamýšlené použití vyžaduje přímé nebo nepřímé digitální nebo fyzické připojení k zařízení nebo síti“.

Konkrétně se tato odpovědnost týká tří povinností. Za prvé, produkty musí být vyvíjeny, navrhovány a vráběny v souladu s dlouhým seznamem „základních bezpečnostních pravidel“ pro ochranu před neoprávněným přístupem, bezpečné ukládání citlivých dat a poskytování aktualizací. Kromě toho musí být výrobci schopni poskytnout uživatelům dostatečnou dokumentaci týkající se bezpečné instalace a používání jejich produktů.

Třetí, ale nikoli poslední povinností je testování. S ohledem na transparentnosti vůči svým zákazníkům budou muset výrobci pověřit třetí strany prováděním bezpečnostních testů a nově budou povinni hlásit zranitelnosti objevené ve výrobku po jeho uvedení na trh. V případech, kdy tato povinnost nebude dodržována, budou uplatňovány příslušné sankce. Výrobky, které nesplní bezpečnostní požadavky, budou stahovány z trhu a výrobci, kteří nechtějí zlepšit úroveň bezpečnosti svých produktů, mohou být rovněž vystaveni vysokým finančním sankcím.

Účinek GDPR

Je na místě vyjádřit určité výhrady i k účinnosti dalších částí návrhu zákona o kybernetické bezpečnosti. Například povinnost upozornit uživatele na rizika spojená s nedostatečným zabezpečením může mít smíšené dopady a vyvolává „GDPR efekt“, před kterým je třeba mít se na pozoru. Toto nařízení, které vstoupilo v platnost před více než pěti lety, se v mnoha podnicích stále neuplatňuje správně. Dnes lidi obtěžují zejména všechna oznámení o cookies, kterými musí procházet při každé návštěvě webových stránek. Přestože je Evropská unie chce povzbudit k rozumnému využívání technologií a dat, neustálé varování před nebezpečím je může stejně dobře zmást, nebo dokonce způsobit jejich lhostejnost.

Zákon o kybernetické odolnosti má před sebou ještě dlouhou cestu, než bude plně přijat, protože se zdá být příliš ambiciózní. Výrobci navíc nebudou mít jinou možnost než zásadně investovat do bezpečnosti svých produktů, aby splňovaly nové požadavky. Je nepochybné, že se nátlakové skupiny budou snažit vyjednávat o určitých úpravách.

I když se cíle Evropské unie zdají být dosažitelné, je jisté, že si budeme muset počkat několik let, než se ukáže, zda tento zákon skutečně může přinést v oblasti kybernetické bezpečnosti významné změny.

Chester Wisniewski, technický ředitel pro aplikovaný výzkum ve společnosti Sophos