האתגר האמיתי של המוכנות לדרישות CRA

חוק חוסן הסייבר החדש של האיחוד האירופי (CRA – Cyber Resilience Act) הוא רגולציית אבטחת סייבר, המגדירה דרישות מחמירות לתכנון, פיתוח ותחזוקה של מוצרי החומרה והתוכנה הכוללים רכיבים דיגיטליים הנמכרים באיחוד האירופי (EU). החוק מחייב ניהול פגיעויות, עדכוני אבטחה ושקיפות לאורך כל מחזור החיים של המוצר.

עבור יצרני רכיבים, כולל מישראל, הדאגה הגדולה ביותר אינה עוד השאלה האם קיימות אצלם בקרות אבטחת סייבר. השאלה היא מורכבת יותר: האם הם מסוגלים לנהל, לתעד ולהפעיל באופן רציף את בקרות האבטחה לאורך מחזור החיים של כל אחד ממוצריהם. יצרנים מודאגים יותר ויותר מהשאלה האם הארגון שלהם מסוגל לשמר את המשמעת המבצעית הנדרשת לניהול פגיעויות תחת הציפיות של ה-CRA.

טיפול בפגיעויות

עבור מוצרים מבוססי מחשב בתחומי התעשייה והטכנולוגיה התפעולית (OT), ניהול פגיעויות נוגע במספר נושאים ופונקציות, המטופלים בארגון על ידי מספר צוותים:

• צוות הנדסת המוצר חייב להבין לעומק את ארכיטקטורת המוצר, רכיבי התוכנה, הספריות ותלויות הדדיות
• צוות אבטחת הסייבר חייב להעריך באופן קבוע את פוטנציאל הפגיע בחומרה ותוכנה
• צוות התגובה לאירועי חייב להיות ממוקד לנושאי אבטחת סייבר וליטול אחריות על הפתרון של פגיעויות.
• צוותי התאימות לנהלים חייבים לשמר ראיות לכך שהתהליך מוגדר, מיושם, מתועד וניתן למעקב.
• צוות ניהול הספקי משנה חייב להשיג ראיות מספקי רכיבים, ספריות התוכנה, קושחה (firmware).

כאן בדיוק טמון האתגר. מוכנות ל-CRA דורשת תהליך פעיל, חזרתי ומבוסס ראיות, שניתן לבחון ולהוכיח אותו בשטח.

נדרש מידע מתועד

נושא זה רלוונטי למוצר המשווק, אשר לעיתים קרובות תלוי ברכיבים מובנים (embedded) כגון קושחה, מערכות הפעלה, ספריות קוד פתוח, תוכנות מסחריות ומודולים של צד שלישי. מצופה מהיצרנים לתת מענה לרמת אבטחת הסייבר של המוצר, אך לא תמיד יש להם מידע מלאה לגבי הרכיבים של כל ספק-משנה.

• האם יצרן המוצר יכול לקבל מידע על פגיעויות מספקי הרכיבים בהם משתמש?
• האם קיים מידע מנוהל של "רכיבי תוכנה" (SBOM – Software Bill of Materials)?
• האם תחומי האחריות של ספק המוצר המשווק מוגדרים בבירור ביחס לדרישות CRA?
• האם ניתן לקשר פגיעויות אצל הספקי הרכיבים להשפעה הישירה על המוצר המשווק?
• האם הסיכונים של הספקים נבחנים לפני השקת המוצר ובמהלך התמיכה שלאחר השיווק?

תיעוד הקשור ל-CRA

תחזוקה של התיעוד נותרה החלק המרכזי באתגר המוכנות ל-CRA, אך זמינות התיעוד לבדה אינה הדאגה העיקרית. היצרנים מודאגים יותר מהתהליכים הממשיים שמאחורי הקלעים, שהתיעוד אמור להוכיח. תיק טכני יכול לתאר מה היצרן עושה, אך הראיות חייבות להראות שהיצרן אכן מבצע זאת בפועל. המשמעות היא שיצרנים אינם צריכים להתייחס למוכנות ל-CRA כאל "תרגיל בחינת התיעוד", אלא כאל "תרגיל משילות לאורך מחזור החיים" (lifecycle governance exercise).

עבור יצרני מוצרים המתכוננים ל-CRA, המיקוד המעשי צריך להיות:

• הגדרת תחומי אחריות ברורים לטיפול בפגיעויות בין צוותי ההנדסה, אבטחת הסייבר וספקי משנה.
• תחזוקת מלאי אמין ומפורט של רכיבי המוצר, התוכנה, הקושחה, הספריות והתלויות בספקי משנה.
• ביסוס תהליך אמין ומתמשך לזיהוי פגיעויות והערכת סיכונים הקשורים למוצר ותיקונם.
• יצירת יכולת מעקב (traceability) בין פגיעויות, מוצרים מושפעים, פעולות מתקנות ותקשורת מול הלקוחות.
• הקפדה על דרישות הראיות מהספקים לפני שחרור ומשלוח של המוצר, ולא רק לאחר שמתגלה פגיעות.
• הבטחה שהתיעוד הטכני משקף פעולות מבצעיות אמיתיות, ולא רק נהלים מתוכננים וישימים עבור הארגון.

כדי לעמוד בתנאי ה-CRA לפני סוף שנת 2027, יצרנים נדרשים לשנות את ההתייחסות שלהם לשאלה: "אילו בקרות אבטחת סייבר אנו צריכים?" ולשאלה רחבה יותר: "האם אנו יכולים להוכיח שתהליכי אבטחת הסייבר וניהול הפגיעויות בארגון עובדים באופן רציף לאורך מחזור החיים של המוצר?".במעבר זה יצרני מוצרים צפויים לפגוש את האתגר שלהם.

סיכום

ניהול פגיעויות במוצרי מחשוב הוא שרשרת פעולות הכוללת משילות (governance), איסוף ראיות, התמודדות מול ספקי משנה ואתגרי ניהול לאורך מחזור החיים. כתוצאה מכך, יצרנים חייבים ליישם שינויים בתהליכים שלהם. זוהי אינה מטרה שניתן להשיג בן לילה; היא דורשת צוות ייעודי. ככל שתתחילו מוקדם יותר, כך תהיו מוכנים מהר יותר.

הכותב הוא יועץ ומרצה לאבטחת סייבר, SCCE.