Як і Закон про ІТ-безпеку 2
Новий законопроект передбачає введення знака безпеки, який показує користувачам, до яких ІТ-продуктів вони можуть отримати доступ без турботи.
Довгий час було правдою, що наскільки добре чи погано захищені ІТ-системи, залежить від оператора. Політика в основному залишалася осторонь. Лише в 2015 році Закон про безпеку ІТ почав зосереджувати свою увагу на “критичних інфраструктурах”, тобто системах, що мають важливе суспільне значення. Перегляд цього закону (IT-SiG 2.0) йде набагато далі, як показує міністерський проект федерального уряду, який доступний з травня 2020 року: законодавчі вимоги зараз зачіпають велику кількість компаній. Ринок ІТ для споживачів також повинен регулюватися - але поки що на добровільній основі.
Для захисту громадян федеральний уряд хоче створити "єдиний ярлик ІТ-безпеки", який "робить ІТ-безпеку продуктів видимою вперше". Це має дозволити "зважене рішення про придбання". Важливий ярлик наноситься на товари або їх упаковку. Він містить QR-код, який використовується для виклику поточної інформації про безпеку продукту на веб-сайті Федерального управління з інформаційної безпеки (BSI).
Захист споживачів шляхом маркування?
Досі незрозуміло, як слід детально впроваджувати такий ярлик. Як і для багатьох інших нормативних актів, проект також посилається на законодавчу постанову, яка ще не була розроблена. Однак очевидно, що виробники пристроїв повинні подати заявку на використання етикетки до BSI. У будь-якому випадку, цей офіс повинен стати точкою опори для регулювання ІТ-сектору в Німеччині в майбутньому. Захист споживачів - одне з нових завдань, які він додав.
Для отримання ярлика заявники повинні подати документи із підтвердженням обіцяних властивостей ІТ-безпеки продукту. Якщо BSI схвалить заявку, продукція може мати маркування ІТ-безпеки. Навіть після цього відомство має перевірити за допомогою випадкових зразків, чи виробник чи імпортер продовжує дотримуватися законодавчих вимог.
Ці плани зустрічають критику з боку Bitkom e. V. Незважаючи на те, що він вітає маркування ІТ-безпеки в принципі, він вважає принаймні європейський підхід більш розумним, ніж суто національне регулювання на міжнародному ринку. Крім того, на думку асоціації, існує ризик того, що споживачі в довгостроковій перспективі почуватимуться в безпеці, просто придбавши пристрій, маркований таким чином. Однак користувачі повинні знати, що це залежить від того, як правильно ними користуватися, наприклад, від встановлення оновлень.
Державний контроль виробника
У майбутньому виробникам ІТ повинен допомагати держава в цілому. Тут також, як і для багатьох інших заходів, BSI відіграє центральну роль: у разі значних збоїв у сфері критичної інфраструктури ("KRITIS"), офіс повинен мати можливість запитувати інформацію про технічні деталі у виробників продукції, серед іншого.
Тоді BSI може не тільки використовувати це та знання, отримані від нього самого, але і передавати їх іншим органам влади та відомствам, наскільки це необхідно для виконання своїх завдань. Законопроект не враховує, що також може впливати високочутлива ділова інформація.
Оператори "KRITIS" повинні подати BSI перелік усіх своїх важливих ІТ-продуктів. Офіс може використовувати цю інформацію для побудови бази даних - це надзвичайно чутливо, оскільки вона також містить список усіх потенційних вразливостей та відповідних векторів атак. Проект йде ще далі: він забороняє використовувати такі важливі компоненти, що надходять від "неблагонадійних виробників". Про (заборонену) експлуатацію таких компонентів слід повідомляти Федеральне міністерство внутрішніх справ (ІМТ). Виробник вважається надійним, якщо він видав "гарантію". Він повинен надати достатньо доказів того, що продукт безпечний. Як це слід робити детально, досі залишається повністю відкритим - як і питання, чи може таке підтвердження бути однозначно можливим у часи відкритих джерел та міжнародних постачальників.
Законопроект також передбачає порівняння нормативних актів для телекомунікаційного сектору. Цей підхід в дискусії отримав прізвисько “Lex Huawei”. Це натякає на дискусію про роль китайського провайдера у створенні мобільних мереж 5G. Вказані вимоги до операторів "KRITIS" стосуються не ІТ-обладнання, що використовується приватними особами, а лише інфраструктури компанії. Саме в цьому полягає основне завдання IT-SiG 2.0.
Більше регулювання найнеобхіднішого
Це в першу чергу призначене для регулювання ІТ компаній та послуг сильніше, ніж раніше, від чого залежить функціонування громади. Закон BSI визначає, на які саме установи це впливає. Відповідно до цього вимоги "KRITIS" поширюються лише на "об'єкти, системи або їх частини", які належать до енергетики, інформаційних технологій та телекомунікацій, транспорту та транспорту, охорони здоров'я, води, харчування, фінансів та страхування. Крім того, "якщо вони зазнають невдачі або якщо їм порушено, повинна існувати загроза значних вузьких місць у постачанні або загрози громадській безпеці".
У зазначених областях існують законодавчі постанови, які детальніше пояснюють, до кого застосовуються вимоги. Ступінь пропозиції визначається на основі порогових значень для кожної категорії системи. Зазвичай поріг становить 500 000 чоловік.
Постачальники критично важливих інфраструктур вже зобов'язані експлуатувати свої ІТ-системи відповідно до сучасного стану та регулярно перевіряти та модернізувати їх. Тут вирішальну роль відіграють стандарти безпеки. Це стосується, наприклад, базового захисту ІТ та стандартів ISO, таких як 27001, визначених BSI, а також специфічних галузевих вимог. Метою є запобігання несанкціонованому доступу до технічного обладнання та даних, а також несправностей. Про випадки безпеки слід повідомляти BSI. Офіс надає операторам знання, отримані із звітів, і таким чином створює умови для попередніх заходів попередження.
Нові "критичні" сфери
Зараз IT-SiG 2.0 визначає абсолютно нові категорії об'єктів та компаній. Для них повинні застосовуватись такі ж зобов’язання, як для вже існуючих операторів "KRITIS". Тому багато компаній стикаються зі значними новими ІТ-вимогами, що в кінцевому рахунку означає великі витрати.
Законопроект враховує термін "компанія в особливих суспільних інтересах" у німецькому законодавстві про ІТ-безпеку. Такі компанії не є операторами "KRITIS" у значенні попереднього визначення. Однак вони розробляють або виробляють продукцію, яка має значення для військових або державної безпеки. Або вони зважають на їх економічну важливість та додану вартість, яку вони створюють. Наприклад, це може вплинути на великі компанії DAX, чиї належні ділові операції залежать від тисяч робочих місць та багатьох ланцюгів поставок. Компанії, на які поширюється регулювання відповідно до Постанови про захист від небезпечних речовин, також підпадають під нові категорії.
Крім того, порушення безпеки повинно коштувати чималих грошей: IT-SiG 2.0 адаптує систему штрафу до рамки GDPR. Це означає, що при порушенні закону сплачується максимум 20 мільйонів євро або до чотирьох відсотків від загального обсягу продажів компанії у попередньому фінансовому році.
Однак проект ні в якому разі не дає зрозуміти, що саме являє собою "компанія, що представляє особливий суспільний інтерес". Як і занадто багато питань, це також поки що залишається відкритим - на нього повинен відповісти нормативний указ Федерального міністерства внутрішніх справ (ІМТ). З точки зору актуальності цілком логічно не регулювати кожну чисельну чи технічну вимогу законом. Однак якщо питання, які необхідно терміново уточнити, переходять у фазу в якийсь момент після прийняття закону, це має наслідки для промислових секторів та компаній, які мають право на регулювання. Вам потрібна юридична впевненість на ранньому етапі щодо того, на кого саме впливають нові норми та що потрібно зробити.
Навіть тим, кого раніше вважали операторами "KRITIS", доведеться з великими зусиллями розраховувати на впровадження нових норм. Законопроект зобов'язує ці компанії запровадити процеси перевірки надійності працівників у особливо чутливих до безпеки сферах.
Крім того, згідно з "сучасною технікою", ІТ-безпека в майбутньому повинна включати зобов'язання використовувати "системи виявлення атак". Згідно з проектом, йдеться про "процеси, підтримувані технічними інструментами та організаційну інтеграцію для виявлення атак на ІТ-системи". Щодо того, як це працює, в ньому сказано: "Атака виявляється шляхом порівняння даних, оброблених в ІТ-системі, з інформаційно-технічними моделями, що вказують на атаки". BSI повинен мати можливість розробляти відповідні технічні вказівки (BSI-TR) у цьому контексті. Який взаємозв'язок повинен існувати з іншими технічними нормами та стандартами, що стосуються безпеки, такими як специфікації ISO, залишається незрозумілим.
Крім того, з точки зору захисту даних, обов'язкове використання систем виявлення атак є не малою справою. Проект де-факто дозволяє компаніям зберігати свої приватні дані: дані у зв'язку з такими системами можуть зберігатися операторами до десяти років, а в окремих випадках також можуть передаватися правоохоронним органам.
Більше потужності для BSI
IT-SiG 2.0 знову сприяє перетворенню BSI на своєрідну супер агенцію з ІТ-безпеки. Намагання уряду охопити цю сферу більш цілісно, ніж раніше, призвело до значного збільшення повноважень та персоналу BSI. Зміни, спричинені лише системою IT-SiG 2.0, повинні бути пов’язані із створенням 583 нових посад у владі Бонна.
BSI буде не лише пунктом звітності щодо питань "KRITIS". Попереднє німецьке та європейське законодавство вже передбачає, що обмін інформацією для запобігання, виявлення та захисту кібератак є скоординованим та транснаціональним. Завданням BSI як центрального пункту збору є отримання та оцінка інформації про ризики ІТ-безпеки з якомога більшої кількості різних джерел для розробки загального плану ситуації з ІТ-безпекою - так званого звіту про ситуацію. Спираючись на це, наприклад, компанії або широку громадськість можна попередити про прогалини в безпеці та зловмисне програмне забезпечення.
"Новий закон адаптує діапазон штрафів за порушення безпеки до рівня GDPR."
Критики скаржаться, що дані, що зберігаються владою, надзвичайно конфіденційні. Наскільки безпечними є, можливо, особисті дані тих, хто передає інформацію BSI? Занепокоєння щодо захисту даних зростає, оскільки в майбутньому BSI має наділити власні повноваження у законодавстві про телекомунікації. Наприклад, він може отримати доступ до даних клієнта, що зберігаються постачальниками послуг зв'язку. Це включає номери телефонів, ідентифікатори з'єднань, імена та адреси учасників, а також "Міжнародну ідентифікацію мобільного обладнання" (IMEI) для договорів стільникових телефонів. Наразі такі широкі права на інформацію обмежувались лише поліцією та кримінальним переслідуванням.
Права громадян та компаній особливо зачіпаються повноваженнями BSI зберігати журнальні дані, що виникають під час роботи федеральних комунікаційних технологій. Ці дані вже можуть бути зібрані та автоматично оцінені, якщо це необхідно для цілей ІТ-безпеки. З IT-SiG 2.0 обговорюється розширення цього повноваження: Дані журналу слід зберігати не лише стільки, скільки потрібно для їх оцінки, але максимум на 18 місяців. Ці дані, безумовно, можуть містити особисті дані. Псевдонімізація, передбачена законом, цього не змінює.
Для виконання своїх завдань, згідно із законопроектом, BSI в майбутньому має бути дозволено «здійснювати заходи щодо виявлення шкідливого програмного забезпечення, прогалин у безпеці та інших ризиків безпеки в загальнодоступних ІТ-системах». Передумовою цього є те, що "факти обгрунтовують припущення про те, що вони не захищені і що їх безпека або функціональність можуть бути загрожені". ІТ-систему слід вважати "незахищеною", якщо вона або має загальновідомі прогалини в безпеці, або якщо вжиті заходи безпеки є явно неадекватними, щоб шкідливі сторони могли отримати до неї доступ.
При офіційному пошуку ризиків BSI може "використовувати системи та процеси, що імітують успішну атаку для зловмисника, з метою збору та оцінки шкідливого програмного забезпечення та інших методів атаки". Це означає, що офіс повинен не тільки виконувати сканування портів, а й експлуатувати медоносні каструлі та поглиблення. Адже активне вторгнення в ІТ-системи все ще не планується. Якщо фактично виявляються слабкі місця за допомогою згаданих технічних процедур, BSI повинен повідомити особу, відповідальну за ІТ-систему, або відповідального оператора.
Не незалежний орган
Одним із завдань, яке офіс повинен отримати в майбутньому, є надання повноважень виступати в якості органу з оцінки відповідності у сфері ІТ-безпеки. Крім того, федеральний уряд, швидше за все, буде називати BSI національним органом з питань сертифікації кібербезпеки відповідно до Закону ЄС про кібербезпеку (CSA). Це важливе управління не є незалежним, а підпорядковується Федеральному міністерству внутрішніх справ. Однак це міністерство також керує такими органами влади, як Федеральне управління захисту конституції, Федеральне управління кримінальної поліції та Федеральний штаб поліції. Якщо до теми ІТ-безпеки слід ставитись серйозно, BSI, який не залежить від ІМТ, повинен бути вищим федеральним органом рівного рангу. Наразі це все ще обговорюється. Однак цілком зрозуміло, що принаймні IT-SiG 2.0 ще не принесе такої незалежності.
На європейському рівні можна передбачити, що величезне поєднання повноважень BSI призведе до конфліктів з GDPR та положеннями ЄС щодо електронної ідентифікації та довірчих послуг для електронних транзакцій на внутрішньому ринку (eIDAS-VO). Можуть бути навіть внутрішні конфлікти інтересів: як BSI, з одного боку, може бути ІТ-слідчим органом, який активно виявляє слабкі місця, а з іншого боку, можливо, заздалегідь сертифікував дану систему?
Багато матеріалів для аргументів
Законопроект про IT-SiG 2.0 показує, яким напрямком ІТ-безпеки в Німеччині та Європі слід рухатись у найближчі роки згідно з волею політиків. Шлях веде у напрямку нав'язаної державою безпеки за бюрократичними рецептами. Нормативні акти повинні регулювати технічні умови до дрібниць. Тепер споживачі також відчувають на собі наслідки цього: нова печатка безпеки, яку буде вручено, зіграє важливу роль, особливо на ІТ-ринку для приватних осіб. Не в останню чергу, цей шлях впливає на суверенітет над власною ІТ-інфраструктурою. Чи справді це призведе до цілі всебічної, кращої ІТ-безпеки? Сумніви дозволені. (джук)