Евросоюз разработал законопроект, который должен повысить уровень кибербезопасности устройств, подключённых к интернету. В случае принятия закона производители различной электроники, от смартфонов до умной бытовой техники будут обязаны привести свои решение с принятым стандартам кибербезопасности. В противном случае их могут заставить платить крупные штрафы или полностью убрать товары с рынка.
Судя по тексту проекта Закона о киберустойчивости (Cyber Resilience Act), разработанного Еврокомиссией и готовящегося к публикации на следующей неделе, целью новых мер является защита от растущего числа онлайн-атак. Как сообщает Bloomberg, только в прошлом году ущерб от связанных со взломом железа и ПО киберпреступлений составил примерно $6 трлн в глобальном масштабе.
Бытовая техника и другие домашние устройства всё активнее оснащаются сенсорами и модулями связи, формируя Интернет вещей. Согласно законопроекту, такие продукты могут отличаться низким уровнем кибербезопасности из-за большого числа уязвимостей и отсутствия своевременных обновлений для их устранения. Кроме того, производители могут предоставлять пользователю недостоверную информацию об уровне защиты устройств.
В сетевой среде инцидент безопасности с участием одного продукта может поставить под угрозу безопасность целой организации или целой цепочки поставщиков буквально в течение минут. Это может привести к серьёзным перебоям в экономических и/или общественных процессах или даже угрожать здоровью и жизням людей. В соответствии с предлагаемыми ЕС правилами продукты должны будут соответствовать ряду стандартов для получения разрешительной маркировки для продажи в регионе. Новые правила не будут касаться т. н. открытого аппаратного обеспечения до тех пор, пока оно не предназначено для продажи.
Европейское агентство по кибербезопасности (ENISA) или страны ЕС по запросу Еврокомиссии смогут исследовать любое устройство на его соответствие принимаемым стандартам. Даже если оно будет формально соответствовать нормам, специалисты могут признать его «представляющим значительную угрозу кибербезопасности» и ставящим под угрозу здоровье и безопасность людей, а также несовместимыми с их фундаментальными правами. Дополнительно ENISA составит базу уязвимостей для помощи в оценке трансграничных атак. Если устройство не соответствует новым стандартам, национальные регуляторы могут объявить о его отзыве или полном запрете на рынке. В исключительных случаях это сможет делать и Еврокомиссия. Штрафы за нарушения закона могут достигать 15 млн евро или 2,5 % от годового глобального дохода компании — зависит от того, какой показатель окажется выше. Менее серьёзные нарушения могут наказываться штрафами до 10 млн евро или 2 % от дохода.
Если выяснится, что компания предоставляет неполную или вводящую в заблуждение информацию, её могут оштрафовать на 5 млн евро или 1 % годового дохода.
В Еврокомиссии прогнозируют, что в случае принятия закон позволит экономить 180-290 млрд евро ежегодно. Впрочем, компании и власти должны будут потратить порядка 29 млрд евро для приведения электроники в соответствие новым правилам и упорядочивания нормативно-правовой базы.