Ca și legea de securitate IT 2

Un nou proiect de lege este să introducă o etichetă de securitate care să le arate utilizatorilor ce produse IT pot accesa fără griji.

securitate

Pentru o lungă perioadă de timp a fost adevărat că cât de bine sau slab sunt securizate sistemele IT depinde de operator. Politica a rămas în mare măsură în afara. Abia din 2015, Legea securității IT a aruncat o privire asupra „infrastructurilor critice”, adică a sistemelor cu semnificație publică importantă. Revizuirea acestei legi (IT-SiG 2.0) merge mult mai departe, după cum arată un proiect ministerial al guvernului federal disponibil din mai 2020: Cerințele statutare afectează acum un număr mare de companii. Piața IT pentru consumatori trebuie, de asemenea, să fie reglementată - dar pentru moment, în mod voluntar.

Guvernul federal dorește să creeze o „etichetă uniformă de securitate IT” pentru a proteja cetățenii, „care face ca securitatea IT a produselor să fie vizibilă pentru prima dată”. Aceasta ar trebui să permită o „decizie de cumpărare în cunoștință de cauză”. Eticheta importantă se aplică produselor sau ambalajelor acestora. Acesta conține un cod QR care este utilizat pentru a apela informații actuale de securitate despre produs pe site-ul web al Oficiului Federal pentru Securitatea Informațiilor (BSI).

Protecția consumatorilor prin etichetare?

Încă nu este clar cum ar trebui implementată în detaliu o astfel de etichetă. În ceea ce privește multe alte reglementări, proiectul se referă, de asemenea, la o ordonanță legală care nu a fost încă elaborată. Este clar, însă, că producătorii de dispozitive trebuie să depună cererea de utilizare a etichetei către BSI. În orice caz, acest birou va fi punctul de sprijin pentru reglementarea sectorului IT din Germania în viitor. Protecția consumatorilor este una dintre sarcinile sale adăugate recent.

Pentru a obține eticheta, solicitanții trebuie să prezinte documente cu dovezi ale proprietăților de securitate IT promise ale produsului. Dacă BSI aprobă cererea, produsele pot purta eticheta de securitate IT. Chiar și după aceasta, biroul ar trebui să verifice prin eșantioane aleatorii dacă producătorul sau importatorul continuă să respecte cerințele legale.

Aceste planuri se întâlnesc cu critici din partea Bitkom e. V. Deși, în principiu, salută o etichetă de securitate IT, consideră că cel puțin o abordare europeană este mai sensibilă decât o reglementare pur națională pe o piață internațională. În plus, potrivit asociației, există riscul ca consumatorii să se simtă în siguranță pe termen lung prin simpla achiziționare a unui dispozitiv etichetat în acest fel. Cu toate acestea, utilizatorii trebuie să fie conștienți de faptul că depinde de modul de utilizare corectă, cum ar fi instalarea actualizărilor.

Controlul producătorului de stat

În viitor, producătorii IT vor fi luați de mână de către stat. Și aici, ca și în cazul multor alte măsuri, BSI joacă un rol central: în cazul unor perturbări semnificative în zona infrastructurilor critice („KRITIS”), biroul ar trebui să poată solicita producătorilor de produse informații despre detalii tehnice.

BSI poate utiliza nu numai acest lucru și cunoștințele dobândite din el însuși, ci îl poate transmite și altor autorități și departamente, în măsura în care acest lucru este necesar pentru îndeplinirea sarcinilor sale. Proiectul de lege nu ia în considerare faptul că pot fi afectate și informații comerciale extrem de sensibile.

Operatorii „KRITIS” trebuie să trimită o listă cu toate produsele IT esențiale către BSI. Biroul poate folosi aceste informații pentru a construi o bază de date - aceasta este extrem de sensibilă, deoarece oferă, de asemenea, o listă a tuturor vulnerabilităților potențiale și a vectorilor de atac corespunzători. Proiectul merge și mai departe: interzice utilizarea unor astfel de componente critice care provin de la „producători care nu sunt de încredere”. Funcționarea (interzisă) a acestor componente trebuie raportată Ministerului Federal de Interne (IMC). Un producător este considerat de încredere dacă a emis o „garanție”. Trebuie să furnizeze suficiente dovezi că produsul este sigur. Modul în care ar trebui făcut acest lucru în detaliu este încă complet deschis - precum și întrebarea dacă o astfel de dovadă poate fi chiar neechivoc posibilă în vremea furnizorilor open source și internaționali.

Proiectul de lege prevede, de asemenea, reglementări comparabile pentru sectorul telecomunicațiilor. Această abordare a fost poreclită „Lex Huawei” în discuție. Aceasta face aluzie la dezbaterea despre rolul furnizorului chinez în înființarea rețelelor celulare 5G. Specificațiile specificate pentru operatorii „KRITIS” nu se referă la echipamentele IT utilizate de persoane fizice, ci doar la infrastructura companiei. Exact aici se află sarcina principală a IT-SiG 2.0.

Mai multe reglementări pentru elementele esențiale

Este destinat în primul rând să reglementeze IT-ul companiilor și serviciilor mai puternic decât înainte, de care depinde funcționarea comunității. Legea BSI definește instituțiile care afectează exact acest lucru. În conformitate cu aceasta, cerințele „KRITIS” se aplică numai „instalațiilor, sistemelor sau părților acestora” care aparțin sectoarelor energiei, tehnologiei informației și telecomunicațiilor, transportului și traficului, sănătății, apei, nutriției și finanțelor și asigurărilor. În plus, „dacă eșuează sau sunt afectate, trebuie să existe o amenințare cu blocaje considerabile în aprovizionare sau amenințări la adresa siguranței publice”.

Există ordonanțe legale în domeniile menționate care explică mai detaliat cui se aplică cerințele. Gradul de aprovizionare este determinat pe baza valorilor prag pentru fiecare categorie de sistem. De obicei pragul este de 500.000 de persoane.

Furnizorii de infrastructuri critice sunt deja obligați să își opereze sistemele IT în conformitate cu „stadiul tehnicii” actual, să le verifice în mod regulat și să le modernizeze. Standardele de siguranță joacă un rol decisiv aici. Acest lucru se aplică, de exemplu, protecției IT de bază și standardelor ISO, cum ar fi 27001 definite de BSI, dar și cerințelor specifice industriei. Scopul este de a preveni accesul neautorizat la echipamente și date tehnice, precum și disfuncționalități. Incidentele de securitate trebuie raportate către BSI. Biroul pune la dispoziția operatorilor cunoștințele acumulate din rapoarte și creează astfel condițiile pentru măsuri de avertizare prealabilă.

Noi zone „critice”

IT-SiG 2.0 definește acum categorii complet noi de facilități și companii. Pentru acestea, atunci ar trebui să se aplice obligații similare cu cele ale operatorilor „KRITIS” deja existenți. Multe companii se confruntă, prin urmare, cu noi cerințe IT considerabile, ceea ce înseamnă nu în ultimul rând costuri ridicate.

Proiectul de lege include termenul „companie în interes public special” în legislația germană de securitate IT. Astfel de companii nu sunt operatori „KRITIS” în sensul definiției anterioare. Cu toate acestea, dezvoltă sau produc produse relevante pentru armată sau pentru securitatea statului. Sau se concentrează datorită importanței lor economice și a valorii adăugate pe care o generează. Acest lucru ar putea afecta companiile mari DAX, de exemplu, ale căror operațiuni normale de afaceri depind de mii de locuri de muncă și de multe lanțuri de aprovizionare. Companiile care fac obiectul reglementării în conformitate cu Ordonanța privind protecția împotriva substanțelor periculoase intră, de asemenea, în noile categorii.

În plus, încălcările securității ar trebui să coste mulți bani: IT-SiG 2.0 adaptează cadrul amenzilor la cel al GDPR. Asta înseamnă: în cazul încălcării legii, se datorează maximum 20 de milioane de euro sau până la patru la sută din cifra de afaceri totală a companiei globale din exercițiul financiar anterior.

Cu toate acestea, proiectul nu indică în niciun caz clar ce este exact o „companie în interes public special”. Ca și prea multe întrebări, aceasta rămâne deschisă deocamdată - o ordonanță legală a Ministerului Federal de Interne (IMC) ar trebui să răspundă. Este perfect logic, chiar dacă numai din motive valutare, să nu reglementăm fiecare cerință numerică sau tehnică prin lege. Cu toate acestea, dacă întrebările care trebuie urgent specificate sunt introduse într-o fază la un moment dat după adoptarea legii, acest lucru are consecințe pentru sectoarele industriale și companiile care sunt eligibile pentru reglementare. Aveți nevoie de securitate juridică într-un stadiu incipient cu privire la cine afectează exact noile reglementări și ce trebuie făcut.

Chiar și cei care anterior au fost considerați operatori „KRITIS” vor trebui să ia în calcul un efort considerabil în implementarea noilor reglementări. Proiectul obligă aceste companii să introducă procese pentru a verifica încrederea angajaților în domenii deosebit de sensibile la securitate.

În plus, în conformitate cu „stadiul tehnicii”, securitatea IT ar trebui să includă în viitor obligația de a utiliza „sisteme de detectare a atacurilor”. Potrivit proiectului, aceasta implică „procese susținute de instrumente tehnice și integrare organizațională pentru detectarea atacurilor asupra sistemelor IT”. În ceea ce privește modul în care funcționează, scrie: „Atacul este detectat prin compararea datelor procesate într-un sistem IT cu informații și tipare tehnice care indică atacuri”. BSI ar trebui să fie capabil să elaboreze orientări tehnice relevante (BSI-TR) în acest context. Ce relație ar trebui să existe cu alte norme tehnice și standardizări relevante pentru siguranță, cum ar fi specificațiile ISO, rămâne neclară.

De asemenea, din punct de vedere al protecției datelor, utilizarea obligatorie a sistemelor de detectare a atacurilor nu este o problemă mică. De facto, proiectul permite companiilor să-și păstreze păstrarea datelor private: datele legate de astfel de sisteme pot fi stocate de către operatori până la zece ani și, în cazuri individuale, pot fi transmise și autorităților de aplicare a legii.

Mai multă putere pentru BSI

IT-SiG 2.0 contribuie din nou la transformarea BSI într-un fel de super agenție pentru securitatea IT. Efortul guvernului de a înțelege acest domeniu mai holistic decât înainte a dus la o creștere considerabilă a puterilor și a personalului BSI. Schimbările aduse doar de IT-SiG 2.0 ar trebui să fie legate de crearea a 583 de posturi noi la autoritatea de la Bonn.

BSI nu va fi doar un punct de raportare pentru problemele „KRITIS”. Legislația germană și europeană anterioară prevede deja că schimbul de informații pentru prevenirea, detectarea și apărarea atacurilor cibernetice este coordonat și transnațional. Sarcina BSI ca punct central de colectare este de a primi și evalua informații despre riscurile de securitate IT din cât mai multe surse posibile pentru a dezvolta un plan general pentru situația de securitate IT - așa-numitul raport de situație. Pe baza acestora, companiile sau publicul larg pot fi avertizate cu privire la lacunele de securitate și malware, de exemplu.

„Noua lege adaptează gama de amenzi pentru încălcări de securitate la cea a GDPR."

Criticii se plâng că datele stocate de autoritate sunt extrem de sensibile. Cât de sigure sunt datele personale ale celor care transmit informații către BSI? Preocupările cu privire la protecția datelor sunt din ce în ce mai mari, deoarece BSI urmează să primească propriile sale competențe în domeniul telecomunicațiilor în viitor. De exemplu, poate accesa datele despre clienți stocate de furnizorii de servicii de telecomunicații. Aceasta include numere de telefon, ID-uri de conexiune, nume și adrese ale participanților, precum și „Identitatea echipamentului mobil internațional” (IMEI) pentru contractele de telefonie mobilă. Până în prezent, astfel de drepturi extinse la informație erau limitate la poliție și agențiile de aplicare a legii.

Drepturile cetățenilor și ale companiilor sunt afectate în mod special de autoritatea BSI de a salva datele din jurnal care apar în timpul funcționării tehnologiei de comunicații federale. Aceste date pot fi deja colectate și evaluate automat dacă acest lucru este necesar în scopuri de securitate IT. Cu IT-SiG 2.0 este în discuție o extindere a acestei autorități: datele jurnalului nu ar trebui să fie permise doar să fie salvate atât timp cât este necesar pentru evaluarea lor, ci pentru maximum 18 luni. Aceste date pot include cu siguranță date cu caracter personal. Pseudonimizarea cerută de lege nu schimbă acest lucru.

Pentru a-și îndeplini sarcinile, conform proiectului de lege, BSI ar trebui să poată „implementa în viitor măsuri de detectare a malware-ului, a lacunelor de securitate și a altor riscuri de securitate în sistemele IT accesibile publicului”. Condiția prealabilă pentru aceasta este că „faptele justifică presupunerea că sunt neprotejate și că securitatea sau funcționalitatea lor poate fi pusă în pericol”. Un sistem IT ar trebui considerat „neprotejat” dacă are fie lacune de securitate cunoscute public, fie dacă măsurile de securitate luate sunt în mod evident inadecvate, astfel încât părțile rău intenționate să poată accesa.

În căutarea sa oficială de risc, BSI poate „utiliza sisteme și procese care simulează un atac reușit pentru un atacator pentru a colecta și evalua malware și alte metode de atac”. Aceasta înseamnă că biroul nu ar trebui să efectueze doar scanări portuare, ci să opereze și meleaguri și doline. La urma urmei, intruziunea activă în sistemele IT nu este încă planificată. Dacă punctele slabe sunt de fapt detectate utilizând procedurile tehnice menționate, BSI ar trebui să informeze persoana responsabilă pentru sistemul IT sau operatorul responsabil.

Nu o autoritate independentă

Una dintre sarcinile pe care urmează să le primească biroul în viitor este acordarea de competențe pentru a acționa ca un organism de evaluare a conformității în domeniul securității IT. În plus, guvernul federal va numi foarte probabil BSI drept autoritatea națională pentru certificarea securității cibernetice în conformitate cu Legea UE privind securitatea cibernetică (CSA). Biroul, care este atât de important, nu este independent, ci este subordonat Ministerului Federal de Interne. Cu toate acestea, acest minister direcționează și autorități precum Oficiul Federal pentru Protecția Constituției, Oficiul Federal de Poliție Penală și sediul poliției federale. Dacă cineva dorește cu adevărat să ia în serios tema securității IT, un BSI care este independent de IMC ar trebui să fie cerut ca cea mai înaltă autoritate federală de rang egal. Acest lucru este încă în curs de dezbatere. Cu toate acestea, este destul de clar că cel puțin IT-SiG 2.0 nu va aduce încă o astfel de independență.

La nivel european, se poate prevedea că gruparea enormă de puteri pentru BSI va duce la conflicte cu GDPR și cu reglementarea UE privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă (eIDAS-VO). Ar putea exista chiar conflicte de interese interne: Cum poate BSI, pe de o parte, să fie o autoritate de investigație IT care descoperă activ punctele slabe și, pe de altă parte, să fi certificat în prealabil sistemele în cauză?

Mult material pentru argumente

Proiectul de lege privind IT-SiG 2.0 arată ce direcție ar trebui să ia securitatea IT în Germania și Europa în următorii ani, conform voinței politicienilor. Calea duce în direcția securității impuse de stat conform rețetelor birocratice. Reglementările ar trebui să reglementeze condițiile tehnice până la ultimul detaliu. Consumatorii simt acum și efectele acestui lucru: noul sigiliu de securitate care va fi acordat va juca un rol important, în special pe piața IT pentru persoanele private. Nu în ultimul rând, această cale afectează suveranitatea asupra propriei infrastructuri IT. Va duce într-adevăr la obiectivul unei securități IT cuprinzătoare și mai bune? Sunt permise îndoieli. (juke)