דעות וניתוחים

האם הארגון שלכם מוכן לחוק האירופי לחוסן לסייבר?

הרגולציה החדשה - EU-CRA שמה - מטילה על ספקי מוצרים עם רכיבי מחשוב את חובת נקיטת כל האמצעים למניעת תקיפות סייבר ויישום אבטחה מובנית, ומחייבת עמידה בדרישות עד דצמבר 2027 כדי לשווק מוצרים באיחוד האירופי

14:48
דניאל ארנרייך, יועץ אבטחת סייבר לתשתיות קריטיות.
דניאל ארנרייך, יועץ אבטחת סייבר לתשתיות קריטיות.צילום: ניב קנטור

כאשר מדברים על סיכוני סייבר עבור מערכות מידע (IT) וגם מערכות שליטה ובקרה (OT), נוהגים להתייחס לאירועים שעלולים לפגוע בתפקוד של המערכת ושל המשתמש, ומדברים פחות על המחויבות של ספקי המוצרים לנקוט בכל האמצעים כדי למנוע תקיפת סייבר. אלא שככל שמעמיק השימוש במוצרים שיש בהם אמצעי מחשוב, ספקים מתמודדים עם אתגרים חדשים ומורכבים הקשורים לאבטחת סייבר. המטרה היא, כמובן, הקטנת סיכונים לנזקים כספיים, וזאת בצד רצון להפחתת הסיכון לסודיות ולשלמות המידע במערכות IT וגם סיכונים למערכות OT. 

ספקי מוצרים ומהנדסי התוכנה והחומרה מרגישים לחץ רגולטורי גובר באמצעות דרישות חדשות, כמו חוק חוסן הסייבר,EU CRA (ר"ת Cyber Resilience Act) לפי המפורט במסמך EU 2024/2847, וכן תקן בינלאומי לאבטחת מערכות OT, המכונה ISA-IEC 62443.

פיתוח חוסן סייבר חזק במיוחד עבור מוצרים שכוללים רכיבי מחשוב יכול להיות תהליך מורכב וגם יקר. הצעד הראשון הוא לנתח את תהליכי הפיתוח הקיימים, לשפר את האבטחה וליישם את האוטומציה הקשורה לתהליך פיתוח מאובטח

יש להיערך לקראתו. חוק האירופי לחוסן לסייבר, ה-CRA.

יש להיערך לקראתו. חוק האירופי לחוסן לסייבר, ה-CRA. צילום: FrankHH, Shutterstock

אבטחת סייבר מובנית – מחויבת המציאות במוצרים בעלי רכיבי מחשוב

בכל מסמכי הרגולציה רואים דגש לגבי יישום של שיטות אבטחת סייבר מובנית (Secure-by-design practices) עבור כל רכיבי המחשוב שנמצאים במוצר: Software Bill of Material – SBOM.

התאימות לתקנות אלה משפיעה ישירות על צוותי פיתוח, גורמת לעלויות נוספות ומחייבת את ספקי המוצרים לאמץ תהליכי אבטחה מובנים ברמות שרבים מבין מהנדסי הפיתוח טרם הכירו.

פיתוח חוסן סייבר חזק במיוחד עבור מוצרים שכוללים רכיבי מחשוב יכול להיות תהליך מורכב וגם יקר. הצעד הראשון הוא לנתח את תהליכי הפיתוח הקיימים, לשפר את האבטחה וליישם את האוטומציה הקשורה לתהליך פיתוח מאובטח.

חוק החוסן לסייבר של האיחוד האירופי (CRA) מפרט את התהליכים וגם מגדיר את חובת הדיווח למשתמשים במקרה של גילוי פגם אבטחתי במוצר, וכך המשתמש ינקוט בפעולות נדרשות כדי שיהיה ערוך מראש.

מכיוון שכל רכיב מחשוב שחשוף לרשת חיצונית הוא שער חדירה פוטנציאלי לצורך תקיפת סייבר, תכנון מאובטח של המוצר מאפשר למזער את משטח התקיפה וגם להקטין את הסיכון של נזק פוטנציאלי למערכת. בהתאם לדרישות CRA, זהו תנאי הכרחי עבור כל סוגי המוצרים שיש בהם אמצעי מחשוב. הסיכון של הצלחה בתקיפת סייבר בגין שימוש ברכיבים שלא תוכננו ונבנו על פי דרישות CRA, מבוסס על שני גורמים קריטיים:

  • המאמץ הנדרש מצד התוקף ליצירת פגיעה במוצר ובארגון של המשתמש
  • התנאים להצלחת התקיפה, כגון תכנון מבנה מערכת ללא הגנה ראויה

ניתוח מפורט של סוגי האיומים על אמצעי מחשוב שמוטמעים במוצרים ומערכות, בשילוב עם הערכה לגבי רמת האיומים, TARA (ר"ת Threat Assessment & Remediation Analysis), מוביל לצורך להיצמד לתהליכי פיתוח וייצור מאובטחים ותחזוקה קפדנית לאורך השנים שבהן המוצר פועל (Secure Development Lifecycle – SDLC).

חשוב להדגיש שספק של מוצר או מערכת המבצע מכירות או מתכנן לבצע מכירות לשוק האירופי כבר נדרש לעמוד בתקנת ה-CRA שנכנסה לתוקף. אם לא יחול עיכוב, לאחר דצמבר 2027 ייתכן שלא תוכלו לספק למדינות האיחוד האירופי (EU) מוצרים שיש בהם רכיבי מחשוב ללא מסמך אישור תקף. ארגונים שלא יעמדו בדרישות המוגדרות בתקנה זו חשופים לקנס עד ל-15% ממחזור המכירות השנתי שלהם.

כותב המאמר הוא יועץ ומרצה לאבטחת סייבר, SCCE

האיחוד האירופיSDLCאבטחת סייברSCCESecure by DesignEU-CRACyber Resilience Actסיכוני סייבר במוצרSBOMTARAISA-IEC 62443

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים