A nova diretiva de segurança cibernética da UE traz vários desafios para as empresas, incluindo obrigações de relatórios, a criação de letras de materiais de software program e a mudança para produtos “seguros por design”. No entanto, o relatório de segurança cibernética da IoT & OT OneKeyrevela que a economia alemã não está priorizando a Lei de Resiliência Cibernética da UE (CRA).
O CRA impõe obrigações a fabricantes, importadores e distribuidores de dispositivos, máquinas e sistemas em rede. O relatório afirma em conclusão: “Em cerca de um ano, os requisitos de relatório estabelecidos no CRA terão efeito whole”. O CEO da OneKey, Jan Wendenburg, diz: “Estamos entrando no trecho remaining. O relatório mostra que atualmente há poucas evidências disso na economia”.
Trezentos empresas industriais alemãs foram pesquisadas para o relatóriocom perguntas sobre os planos das empresas sobre a segurança dos sistemas de controle industrial (normalmente tecnologia operacional, ou OT) e IoT, que são o foco da regulamentação da segurança cibernética da UE.
A pesquisa constatou que menos de uma em cada três empresas (32%) estão totalmente familiarizadas com os requisitos da Lei de Resiliência Cibernética da UE, enquanto outros 36% começaram pelo menos a revisá -los. Mais de um quarto (27%), no entanto, não se envolveram com o tópico. Isso se reflete no ritmo lento da implementação, com apenas 14% dos entrevistados tomando medidas extensas para garantir a conformidade com seus dispositivos, máquinas e sistemas conectados. Pelo menos 38% iniciaram as primeiras etapas, enquanto uma participação igual ainda não tomou nenhuma ação, revela o relatório.
O CRA impõe obrigações abrangentes
Considerando os extensos requisitos da Lei de Resiliência Cibernética da UE, o relatório OneKey descreve essas obrigações como “surpreendentes”. Os autores do relatório acham que os fabricantes devem desenvolver produtos seguros desde o início (segurança por design) e garantir a conformidade com o CRA nos ciclos de vida de seus produtos. Isso inclui proteção contra acesso não autorizado, proteção da integridade e confidencialidade dos dados e garantia de operações em andamento. Agora, os fabricantes precisam relatar vulnerabilidades ativamente e incidentes graves que comprometem a segurança de seus produtos à Autoridade Europeia de Segurança Cibernética (ENISA) e à equipe de resposta a incidentes de segurança nacional relevante (CSIRT) em 24 horas.
Os fornecedores devem fornecer atualizações regulares de segurança para abordar vulnerabilidades conhecidas e proteger seus produtos. Eles também devem fornecer documentação abrangente para todos os produtos – incluindo uma lista de materiais de software program (SBOM) – para garantir whole transparência e rastreabilidade dos componentes. Como Jan Wendenburg disse: “Não basta simplesmente atender a esses requisitos; a conformidade com o CRA também deve ser documentada e comprovada comprovadamente”.
Desafios na prática operacional
Para entender melhor os desafios que as empresas enfrentam com a conformidade da Cyber Resilience Act, o OneKey pediu aos entrevistados que identificassem as áreas que consideram mais exigentes. Segundo a pesquisa, 37% das empresas veem o requisito de relatar incidentes relacionados à segurança em 24 horas como o principal desafio. Emblem atrás, 35% citam atingindo os critérios “Seguro por design” e “seguro por padrão”. Por 29%, a criação de uma lista de materiais de software program (SBOM) representa a maior dificuldade, enquanto uma participação semelhante destaca o gerenciamento contínuo de vulnerabilidades de software program como uma grande preocupação.
Jan Wendenburg, de Onekey, explicou os antecedentes dos problemas. “Muitos fabricantes de dispositivos, máquinas e sistemas digitais se concentraram principalmente na funcionalidade de seus produtos, prestando menos atenção à sua vulnerabilidade aos ataques cibernéticos. A Lei de Resiliência Cibernética agora exige que eles tratem os dois aspectos como igualmente importantes. Algumas empresas ainda estão achando esse desafio de duplo foco”.
Ele disse que o novo regulamento da UE abrange uma “gama extremamente ampla de produtos”, que inclui uma variedade de {hardware} que inclui, mas não se limita a, brinquedos digitais, dispositivos domésticos inteligentes, terminais de pagamento, estações de carregamento, câmeras de IP, dispositivos médicos, sistemas de automação de construção, controles industriais, máquinas CNC, robôs industriais e instalações de produção com manutenção de remetentes remetentes.
Mudança na mentalidade dos executivos
Wendenburg disse: “Em muitos desses segmentos de mercado, a cibersegurança tem sido principalmente proteger a própria empresa contra ataques, em vez de proteger produtos contra ataques cibernéticos”. Ele reconhece que uma mudança de mentalidade entre os executivos começou, mas observa que a mudança, naturalmente, levará tempo. Ele apontou as consequências potencialmente abrangentes se as empresas não priorizam a Lei de Resiliência Cibernética (CRA). “Dispositivos, máquinas e sistemas em rede que não atendem aos requisitos de CRA não serão mais permitidos para venda ou operação no tempo de desenvolvimento da UE de dois a três anos, é imperativo agir com a máxima urgência”.
As violações do regulamento da UE podem resultar em multas de até 15 milhões de euros ou 2,5% do faturamento world anual de uma empresa, o que for maior. Os conselhos de administração, gerenciamento e/ou outras partes responsáveis também podem enfrentar responsabilidade pessoal.
A situação de segurança é alarmante, mas o OT é negligenciado
Para proteger a si e a seus clientes da crescente ameaça de crime cibernético e atender aos requisitos regulatórios, as empresas devem aderir ao CRA. O Escritório Federal de Segurança da Informação (BSI) e o Escritório Federal de Polícia Penal (BKA) antecipam que a ameaça continuará a aumentar nos próximos anos. Somente em 2024, o cibercrime causou cerca de € 178,6 bilhões em danos totais na Alemanha, marcando um aumento de € 30,4 bilhões em relação ao ano anterior.
“Muitas empresas se concentram em proteger sistemas e redes de computadores, mas os sistemas de controle industrial em máquinas e plantas geralmente recebem muito pouca atenção quando se trata de problemas de segurança”, disse Wendenburg. No entanto, dada a transformação dos processos industriais, as ameaças cibernéticas no chão da loja estão aumentando. Fábricas e centros de logística devem aplicar os mesmos padrões de alta segurança que os knowledge facilities.
O OneKey desenvolveu uma plataforma que suporta funções principais da Web das Coisas (IoT) e Tecnologia Operacional (OT) de segurança cibernética, incluindo detecção de vulnerabilidades, validação da Lei de Materiais de Software program (SBOM) e conformidade regulatória para empresas.
Autor: Jan Wendenburg, CEO, OneKey