Spalio 17 d. Vilniuje įvyko naujienų portalo Lrytas inicijuota didžiausia praktinė konferencija ir paroda Lietuvoje saugumo tema – „Saugumo kodas“. „Saugumo kodas“ – tai Lrytas iniciatyva, įgyvendinama kartu su Krašto apsaugos ministerija, VILNIUS TECH, Telia ir kitais partneriais.
Kibernetinio saugumo ekspertas bei „NRD Cyber Security“ vadovas dr. Vilius Benetis konferencijos metu kalbėjo apie kalbėjo apie naują nematomą ginklą – CRA (Cyber Resilience Act) bei pristatė pranešimą „Naujas ginklas – CRA (Cyber Resilience Act). Kas tai? Kaip jis veikia?“.
Prireikė patobulinimų
Turbūt kiekvienose namuose galime rasti įrenginį, turinti elektros prijungimą ar didžiules baterijas. Ant kiekvienos tokios įrangos galime rasti ženkliuką „CE“.
Ženkliukas, kurį galime išvysti itin dažnai, tačiau vargu, ar daugelis galėtų paaiškinti, ką jis reiškia.
„Pats „CE“ yra tarsi principas, kuris užtikrina, kad bet koks komponentas, kuris naudoja elektrą, jis mūsų „nenutrenks“, viskas veiks korektiškai, jis bus saugus. Tai yra apibrėžta tam tikrais teisės aktais.
Mums, kaip vartotojams, apie tai galvoti net nereikia“, – teigė V.Benetis.
Gamintojas privalo ženklinti gaminį „CE“ ženklu, jei jis nori, kad minėtasis gaminys būtų platinamas Europos Sąjungos teritorijoje. Tiesa, šiuo „CE“ ženklu naudojasi ne tik Europos Sąjungos šalys. Šį ženklą galime išvysti ir Turkijoje.
„Šis ženklas reiškia, kad įsigydamas kurį nors produktą, aš būsiu užtikrintas, kad jis bus saugus“, – pridūrė specialistas.
Tiesa, netrukus buvo suprasta, kad net ir „CE“ ženklas negali užtikrinti pilnaverčio saugumo.
Pavyzdžiui, atvykus į elektroninių prekių parduotuvę ir nusipirkus interneto maršrutizatorių mes galime ant jo išvysti „CE“ ženklą, bet jis neužtikrina, kad įrenginys nebus pažeidžiamas.
Taigi, specialistams nebeliko nieko kito, kaip pridėti papildomą prasmę „CE“ ženklui. Taip atsirado CRA (Cyber Resilience Act, Kibernetinio atsparumo aktas).
CRA – kokia ateitis mūsų laukia?
„Tai yra dokumentas, kuris buvo išleistas praėjusių metų gruodį, turintis 81 puslapį. Jis lemia tai, kad tie įrenginiai, kurie turėjo „CE“ ženklinimą, turės atitikti daugiau reikalavimų“, – pridūrė V.Benetis.
Kitaip tariant, CRA siekia stiprinti kibernetinį saugumą visoje Europos Sąjungoje, apsaugoti vartotojus ir užtikrinti skaitmeninių produktų atsparumą vidaus rinkoje.
Taigi, patvirtindami „CE“ ženklą, gamintojai prisiima atsakomybę už produkto atitikimą ir Europos Sąjungos kibernetinio saugumo standartams.
Pereinamasis laikotarpis šiam užtikrinimui – treji metai – iki 2027-ųjų gruodžio. Jei gamintojai nuspręstų nesilaikyti CRA nuostatų, jų lauktų 5–15 mln. eurų dydžio bauda.
Nors CRA yra teisės aktas, jį taip pat galima vadinti savotišku savigynos ginklu, kurio tikslas yra saugoti žmones bei įmones nuo nesaugių IT įrenginių, o jį jau įsigijęs pirkėjas galėtų įsitikinti kibernetinio saugumo savybėmis.
„Informacinio karo metu kibernetinis saugumas atlieka labai svarbų vaidmenį“, – kalbėjo V.Benetis.
Kokios esminės CRA ginkluotės pasekmės?
Jei gamintojai nuspręs neinvestuoti į CRA, įrenginiais nebebus galima prekiauti Europos Sąjungos teritorijoje, neatitikus reikalavimams jų lauks didžiulės baudos, o kilus įtarimams – patikros. Taigi, CRA, kaip ginklas, yra skirtas sustiprinti atsparumą, atgrasyti bei bausti sukčiaujančius.
Pagrindinę naudą iš šio akto gaus industrinių technologijų tiekimo grandinių naudotojai, darbinių kompiuterių sistemų naudotojai bei išmanėjančių namų šeimininkai.
Tuo metu gamintojams teks adaptuotis, įsipareigoti rūpintis savo įrenginių sauga kokybiškiau ir centralizuotai komunikuoti apie savo produktų saugumo spragas.
„NRD Cyber Security“ vadovas taip pat paragino visus nebijoti paklausti įrangos tiekėjų, kaip jiems sekasi eiti CRA keliu, ar jie žada atitikti šiuos reikalavimus.
„Dar yra dveji, treji metai, bet reikia apie tai galvoti jau dabar. Jūsų klausimas ar prašymas gali sulaukti didelės padėkos ateityje iš gamintojų, nes šiuo metu Lietuvoje dar apie tai plačiai nėra šnekama“, – samprotavo specialistas.