Како Акт за безбедност на ИТ 2

Нов нацрт-закон е да се воведе безбедносна ознака која на корисниците им покажува на кои ИТ производи можат да пристапат без грижа.

канцеларијата треба

Долго време беше вистина дека колку добро или слабо се обезбедени ИТ системите зависи од операторот. Политиката во голема мера остана надвор. Дури во 2015 година, законот за ИТ безбедност ги погледна „критичните инфраструктури“, т.е. системи со важно јавно значење. Ревизијата на овој закон (IT-SiG 2.0) оди многу подалеку, како што покажува министерскиот нацрт на федералната влада што е достапен од мај 2020 година: Законските барања сега влијаат на голем број компании. Исто така, треба да се регулира ИТ пазарот за потрошувачи - но засега на доброволна основа.

За да ги заштити граѓаните, федералната влада сака да создаде „униформа етикета за ИТ безбедност“ што „за прв пат ја прави ИТ безбедноста на производите“. Ова треба да овозможи „информирана одлука за набавка“. Важната етикета се става на производите или на нивното пакување. Содржи QR-код што се користи за повикување на тековните безбедносни информации за производот на веб-страницата на Федералната канцеларија за безбедност на информации (БСИ).

Заштита на потрошувачите преку обележување?

Сè уште е нејасно како детално треба да се спроведе таквата ознака. Што се однесува до многу други прописи, нацртот исто така се однесува на законска регулатива што допрва треба да се изготви. Јасно е, сепак, дека производителите на уреди мора да ја достават апликацијата за употреба на етикетата до БСИ. Во секој случај, оваа канцеларија треба да биде потпора за регулирање на ИТ-секторот во Германија во иднина. Заштитата на потрошувачите е една од неговите ново додадени задачи.

За да ја добијат етикетата, апликантите треба да достават документи со докази за ветените својства на ИТ безбедност на производот. Доколку BSI ја одобри апликацијата, производите може да носат ознака за ИТ безбедност. Дури и после тоа, канцеларијата треба да провери со случајни примероци дали производителот или увозникот продолжува да ги почитува законските барања.

Овие планови наидуваат на критики од Битком е. V. Иако во принцип ја поздравува ознаката за ИТ безбедност, тој смета дека барем европскиот пристап е поразумен од чисто националната регулатива на меѓународен пазар. Покрај тоа, според здружението, постои ризик потрошувачите да се чувствуваат безбедно на долг рок, едноставно со набавка на уред означен на овој начин. Сепак, корисниците треба да бидат свесни дека зависи од тоа како правилно да ги користат, како што се инсталирање ажурирања.

Државна контрола на производителот

Во иднина, производителите на ИТ треба да бидат помогнати од државата како целина. И тука, како и со многу други мерки, БСИ игра централна улога: Во случај на значителни нарушувања во областа на критичните инфраструктури („КРИТИС“), канцеларијата треба да може да бара информации за техничките детали од производителите на производи.

Тогаш БСИ не само што може да го искористи ова и знаењето стекнато од него, туку и да го пренесе на други органи и оддели, доколку е тоа потребно за да ги исполни своите задачи. Нацрт-законот не зема предвид дека може да бидат засегнати и многу чувствителни деловни информации.

Операторите „КРИТИС“ мора да достават список со сите нивни основни ИТ производи до БСИ. Канцеларијата може да ги искористи овие информации за да изгради база на податоци - ова е исклучително чувствително затоа што исто така обезбедува список на сите потенцијални ранливости и соодветни вектори на напади. Нацртот оди уште подалеку: тој забранува употреба на вакви критични компоненти што доаѓаат од „недоверливи производители“. (Забранетата) работа на таквите компоненти мора да се пријави во Сојузното Министерство за внатрешни работи (БМИ). Производителот се смета за доверлив ако издал „гаранција“. Треба да обезбеди доволно докази дека производот е безбеден. Како треба да се направи ова детално, сè уште е целосно отворено - како што е прашањето дали ваквите докази можат да бидат недвосмислено можни во време на отворен извор и меѓународни добавувачи.

Нацрт-законот, исто така, предвидува споредливи регулативи за телекомуникацискиот сектор. Овој пристап беше наречен „Лекс Хуавеи“ во дискусијата. Ова алудира на дебатата за улогата на кинескиот провајдер во поставувањето 5G мобилни мрежи. Наведените барања за операторите „KRITIS“ не се однесуваат на ИТ опрема што ја користат приватни лица, туку само на инфраструктурата на компанијата. Токму тука лежи основната задача на IT-SiG 2.0.

Повеќе регулативи за најважните работи

Првенствено е наменето да се регулира ИТ на компаниите и услугите посилно отколку порано, од што зависи функционирањето на заедницата. Законот за БСИ дефинира на кои институции ова влијае точно. Според ова, условите "КРИТИС" се однесуваат само на "објектите, системите или нивните делови" кои припаѓаат на енергетиката, информатичката технологија и телекомуникациите, транспортот и сообраќајот, здравството, водата, исхраната и финансиите и осигурувањето. Покрај тоа, „ако не успеат или се оштетени, мора да постои закана од значителни тесни грла за снабдување или закани за јавната безбедност“.

Постојат законски уредби во споменатите области кои подетално објаснуваат за кого се однесуваат на барањата. Степенот на снабдување се одредува врз основа на вредностите на прагот за секоја категорија на систем. Обично прагот е 500 000 луѓе.

Давателите на критични инфраструктури се веќе обврзани да работат со своите ИТ системи во согласност со моменталната состојба и редовно да ги проверуваат и модернизираат. Стандардите за безбедност овде играат одлучувачка улога. Ова се однесува, на пример, на основните ИТ-стандарди за заштита и ИСО-стандарди, како што е 27001 дефинирани од БСИ, но исто така и на специфични барања за индустријата. Целта е да се спречи неовластен пристап до техничка опрема и податоци, како и дефекти. Безбедносните инциденти мора да бидат пријавени во БСИ. Канцеларијата го става на располагање на операторите знаењето добиено од извештаите и со тоа создава услови за претходни мерки за предупредување.

Нови „критични“ области

IT-SiG 2.0 сега дефинира целосно нови категории на капацитети и компании. За овие, треба да важат слични обврски како и за веќе постојните оператори "KRITIS". Затоа, многу компании се соочуваат со значителни нови ИТ-побарувања, што не само што значи и високи трошоци.

Нацрт-законот го зема терминот „компанија од посебен јавен интерес“ во германскиот закон за ИТ безбедност. Таквите компании не се оператори „КРИТИС“ во смисла на претходната дефиниција. Сепак, тие развиваат или произведуваат производи што се релевантни за војската или за безбедноста на државата. Или тие се во фокусот поради нивната економска важност и додадената вредност што ја создаваат. Ова може да влијае на големите компании DAX, на пример, чие правилно деловно работење зависи од илјадници работни места и многу ланци на снабдување. Компаниите кои се предмет на регулатива во согласност со Уредбата за заштита од опасни материи, исто така спаѓаат во новите категории.

Покрај тоа, безбедносните нарушувања треба да чинат многу пари: IT-SiG 2.0 ја прилагодува рамката на казните на онаа на GDPR. Ова значи дека ако се прекрши законот, треба да се платат максимум 20 милиони евра или до четири проценти од вкупната глобална продажба на компанијата во претходната финансиска година.

Сепак, во нацртот во никој случај не станува јасно што точно станува збор за „компанија од посебен јавен интерес“. Како и сите премногу прашања, и ова засега останува отворено - законска уредба на Сојузното Министерство за внатрешни работи (БМИ) треба да одговори на тоа. Совршено е логично, од причини на моменталноста, да не се регулираат секое нумеричко или техничко барање со закон. Меѓутоа, ако прашањата што треба итно да се прецизираат, во одреден момент по донесувањето на законот, се втурнат во фаза, ова има последици за индустриските сектори и компаниите кои се квалификувани за регулирање. Потребна ви е правна сигурност во рана фаза за тоа на кого влијаат точно новите регулативи и што треба да се направи.

Дури и оние кои претходно се сметаа за оператори „КРИТИС“ ќе мора да направат сметка со значителен напор во спроведувањето на новите регулативи. Нацртот ги обврзува овие компании да воведат процеси за проверка на доверливоста на вработените во особено областите чувствителни на безбедноста.

Покрај тоа, според „најсовремената состојба“, ИТ безбедноста треба во иднина да вклучува и обврска за користење „системи за откривање напади“. Според нацртот, станува збор за „процеси поддржани со технички алатки и организациска интеграција за откривање на напади врз ИТ системите“. Во врска со начинот на работа, тој вели: „Нападот е откриен со споредување на податоците обработени во ИТ-системот со информации и технички обрасци што укажуваат на напади“. BSI треба да биде во можност да развива релевантни технички упатства (BSI-TR) во овој контекст. Каква врска треба да постои со другите безбедносни релевантни технички норми и стандардизации, како што се ISO спецификациите, останува нејасно.

Исто така, од гледна точка на заштита на податоците, задолжителната употреба на системите за откривање напади не е мала работа. Де факто, нацртот им овозможува на компаниите да го задржат задржувањето на нивните приватни податоци: Податоците во врска со ваквите системи операторите можат да ги чуваат до десет години, а во поединечни случаи, исто така, можат да бидат пренесени до органите за спроведување на законот.

Повеќе моќ за BSI

IT-SiG 2.0 уште еднаш придонесува за претворање на BSI во своевидна супер агенција за ИТ безбедност. Настојувањето на владата да ја сфати оваа област похолистично отколку порано резултираше со значително зголемување на овластувањата и персоналот на БСИ. Само промените што ги донесе IT-SiG 2.0 треба да бидат поврзани со создавање на 583 нови места во органот со седиште во Бон.

БСИ не само што ќе биде точка за известување за прашањата на „КРИТИС“. Претходното германско и европско законодавство веќе предвидува размена на информации за спречување, откривање и одбрана на сајбер напади е координирана и транснационална. Задачата на БСИ како централна точка за собирање е да прима и проценува информации за ризиците за ИТ безбедност од што повеќе различни извори со цел да се развие целокупниот план за состојбата со ИТ безбедноста - т.н. извештај за состојбата. Врз основа на ова, компаниите или пошироката јавност може да бидат предупредени за безбедносни празнини и малициозен софтвер, на пример.

„Новиот закон го прилагодува опсегот на казни за нарушувања на безбедноста со оној на GDPR."

Критичарите се жалат дека податоците зачувани од органот се исклучително чувствителни. Колку се безбедни евентуално личните податоци на оние кои пренесуваат информации на БСИ? Загриженоста за заштита на податоците сè уште расте, бидејќи на БСИ треба да им се дадат свои овластувања во законот за телекомуникации во иднина. Може, на пример, да пристапи до податоците на клиентите складирани од даватели на телекомуникациски услуги. Ова вклучува телефонски броеви, легитимации за конекција, имиња и адреси на учесниците, како и „Меѓународен идентитет за мобилна опрема“ (IMEI) за договори за мобилни телефони. Досега, ваквите обемни права на информации беа ограничени на полицијата и агенциите за спроведување на законот.

Правата на граѓаните и компаниите особено влијаат на авторитетот на БСИ да зачувува податоци од дневници што се генерираат при управување со комуникациската технологија на сојузната влада. Овие податоци веќе може да се соберат и автоматски да се проценат ако тоа е потребно за ИТ безбедносни цели. Со IT-SiG 2.0, се дискутира за проширувањето на овој авторитет: Податоците за дневникот не само што треба да се чуваат се додека се потребни за нивна проценка, туку за најмногу 18 месеци. Овие податоци секако можат да вклучуваат лични податоци. Псевдонимизацијата што ја бара законот не го менува ова.

Со цел да ги исполнат своите задачи, според нацрт-законот, на БСИ треба во иднина да им се дозволи „да спроведува мерки за откривање на малициозен софтвер, безбедносни празнини и други безбедносни ризици во јавно достапните ИТ-системи“. Предуслов за ова е дека „фактите ја оправдуваат претпоставката дека тие се незаштитени и дека нивната безбедност или функционалност можат да бидат изложени на ризик“. ИТ-системот треба да се смета за „незаштитен“ доколку има јавно познати безбедносни празнини или ако се преземат безбедносни мерки на претпазливост несоодветни за да можат малициозни страни да пристапат до него.

Во своето официјално пребарување на ризик, БСИ може „да користи системи и процеси кои симулираат успешен напад за напаѓачот со цел да соберат и оценат малициозен софтвер и други методи на напад“. Ова значи дека канцеларијата не треба да врши само скенирање на пристаништа, туку и да работи со саќе и мијалници. На крајот на краиштата, активниот упад во ИТ системите сè уште не е планиран. Доколку всушност се идентификуваат слабите точки со споменатите технички процедури, БСИ треба да го информира лицето одговорно за ИТ системот или одговорниот оператор.

Не е независен орган

Една од задачите што канцеларијата треба да ја добие во иднина е доделување овластувања да дејствуваат како тело за проценка на сообразност во областа на ИТ безбедноста. Покрај тоа, федералната влада многу веројатно ќе го именува БСИ како национален орган за сертифицирање на сајбер безбедноста во согласност со Законот за сајбер безбедност на ЕУ (ССА). Канцеларијата, која е толку важна, не е независна, туку е подредена на Сојузното Министерство за внатрешни работи. Сепак, ова министерство ги насочува и надлежните органи како што се Федералниот завод за заштита на уставот, Федералната канцеларија за криминалистичка полиција и Главниот штаб на Сојузната полиција. Доколку темата за ИТ безбедност треба да се сфати сериозно, треба да се бара БСИ што е независен од БМИ како највисок федерален орган со еднаков ранг. За ова сè уште се расправа. Прилично е јасно дека барем IT-SiG 2.0 сè уште нема да донесе таква независност.

На европско ниво, може да се предвиди дека огромниот пакет на овластувања за BSI ќе резултира во конфликт со GDPR и регулативата на ЕУ за електронска идентификација и услуги за доверба за електронски трансакции на внатрешниот пазар (eIDAS-VO). Може дури да има и внатрешни судири на интереси: Како може БСИ, од една страна, да биде ИТ истражен орган кој активно открива слабости, а од друга страна, евентуално, претходно да ги има овластено предметните системи?

Многу материјал за аргументи

Нацрт-законот за IT-SiG 2.0 покажува кој правец треба да го презема ИТ безбедноста во Германија и Европа во наредните години според волјата на политичарите. Патеката води во насока на безбедноста наметната од државата според бирократските рецепти. Прописите треба да ги регулираат техничките услови до последниот детал. Потрошувачите сега исто така ги чувствуваат ефектите од ова: новиот безбедносен печат што ќе се додели ќе игра важна улога, особено на ИТ пазарот за приватни лица. На крај, но не и најважно, овој пат влијае на суверенитетот над сопствената ИТ-инфраструктура. Дали навистина ќе доведе до целта за сеопфатна, подобра ИТ-безбедност? Сомнежи се дозволени. (џук)