Подобно на Закона за ИТ сигурност 2

Новият законопроект е да въведе етикет за сигурност, който показва на потребителите до кои ИТ продукти могат да получат безопасен достъп.

закона

Дълго време беше вярно, че колко добре или лошо са защитени ИТ системите, зависи от оператора. Политиката до голяма степен остана настрана. Едва през 2015 г. Законът за ИТ сигурността започва да се фокусира върху „критични инфраструктури“, т.е. системи с важно обществено значение. Преразглеждането на този закон (IT-SiG 2.0) отива много по-далеч, както показва министерски проект на федералното правителство, който е на разположение от май 2020 г.: Законовите изисквания сега засягат голям брой компании. ИТ пазарът за потребители също трябва да бъде регулиран, но засега на доброволна основа.

Федералното правителство иска да създаде „единен етикет за ИТ сигурност“, за да защити гражданите, „който прави ИТ сигурността на продуктите видима за първи път“. Това трябва да даде възможност за „информирано решение за покупка“. Важният етикет се прилага върху продуктите или тяхната опаковка. Той съдържа QR код, който се използва за извикване на актуална информация за сигурността на продукта на уебсайта на Федералната служба за информационна сигурност (BSI).

Защита на потребителите чрез етикетиране?

Все още не е ясно как такъв етикет трябва да бъде изпълнен в детайли. Що се отнася до много други регламенти, проектът също се позовава на законова наредба, която тепърва трябва да бъде изготвена. Ясно е обаче, че производителите на устройства трябва да подадат заявлението за използване на етикета до BSI. Във всеки случай този офис трябва да бъде опорна точка за регулиране на ИТ сектора в Германия в бъдеще. Защитата на потребителите е една от новите му задачи.

За да получат етикета, кандидатите трябва да представят документи с доказателства за обещаните свойства за ИТ сигурност на продукта. Ако BSI одобри заявлението, продуктите могат да носят етикета за ИТ сигурност. Дори и след това, офисът трябва да провери чрез проверки на място дали производителят или вносителят продължава да спазва законовите изисквания.

Тези планове срещат критики от страна на Bitkom e. V. Въпреки че по принцип приветства етикета за ИТ сигурност, той счита, че поне европейският подход е по-разумен от чисто националния регламент на международния пазар. В допълнение, според асоциацията, съществува риск потребителите да се чувстват в безопасност в дългосрочен план само чрез закупуване на устройство, етикетирано по този начин. Потребителите обаче трябва да са наясно, че това зависи и от това как да ги използвате правилно, като например инсталиране на актуализации.

Държавен контрол на производителя

В бъдеще ИТ производителите трябва да бъдат подпомагани от държавата като цяло. И тук, както и при много други мерки, BSI играе централна роля: В случай на значителни смущения в областта на критичните инфраструктури ("KRITIS"), офисът трябва да може да изиска информация за технически подробности от производителите на продуктите.

Тогава BSI може не само да използва това и знанията, получени от него, но и да ги предаде на други органи и отдели, доколкото това е необходимо за изпълнение на неговите задачи. Проектозаконът не взема предвид, че може да бъде засегната и силно чувствителна бизнес информация.

Операторите на "KRITIS" трябва да представят списък на всички основни ИТ продукти на BSI. Офисът може да използва тази информация за изграждане на база данни - това е изключително чувствително, защото също така предоставя списък на всички потенциални уязвимости и подходящи вектори на атака. Проектът стига още по-далеч: той забранява използването на такива критични компоненти, които идват от "ненадеждни производители". (Забранената) експлоатация на такива компоненти трябва да бъде докладвана на Федералното министерство на вътрешните работи (BMI). Производителят се счита за надежден, ако е издал „гаранция“. Той трябва да предостави достатъчно доказателства, че продуктът е безопасен. Все още е напълно отворен начинът, по който това трябва да се направи, както и въпросът дали такова доказателство може дори да бъде недвусмислено възможно по време на доставчици с отворен код и международни доставчици.

Проектозаконът също така предвижда сравними разпоредби за телекомуникационния сектор. Този подход получи прякора „Lex Huawei“ в дискусията. Това намеква за дебата за ролята на китайския доставчик при създаването на 5G клетъчни мрежи. Посочените изисквания за операторите "KRITIS" не се отнасят до ИТ оборудване, използвано от частни лица, а само до фирмената инфраструктура. Точно тук се крие основната задача на IT-SiG 2.0.

Повече разпоредби за най-важното

Той е предназначен предимно да регулира ИТ на компаниите и услугите по-силно от преди, от което зависи функционирането на общността. Законът за BSI определя точно кои институции засяга това. Съгласно това изискванията за "KRITIS" се прилагат само за "съоръжения, системи или части от тях", които принадлежат към енергетиката, информационните технологии и телекомуникациите, транспорта и трафика, здравеопазването, водата, храненето и финансите и застраховането. Освен това, „ако се провалят или ако са обезценени, трябва да има заплаха от значителни тесни места в доставките или заплахи за обществената безопасност“.

В споменатите области има законови наредби, които обясняват по-подробно за кого се прилагат изискванията. Степента на покритие се определя въз основа на праговите стойности за всяка категория система. Обикновено прагът е 500 000 души.

Доставчиците на критична инфраструктура вече са задължени да експлоатират своите ИТ системи в съответствие с текущото състояние на техниката и редовно да ги проверяват и модернизират. Тук решаваща роля играят стандартите за безопасност. Това се отнася например за основната ИТ защита и стандартите ISO, като 27001, дефинирани от BSI, но също така и за специфични индустриални изисквания. Целта е да се предотврати неоторизиран достъп до техническо оборудване и данни, както и неизправности. Инциденти със сигурността трябва да бъдат докладвани на BSI. Службата предоставя знанията, получени от докладите, на разположение на операторите и по този начин създава условия за предварителни мерки за предупреждение.

Нови "критични" области

Сега IT-SiG 2.0 определя напълно нови категории съоръжения и компании. За тях следва да се прилагат подобни задължения като за вече съществуващите оператори "KRITIS". Поради това много компании се сблъскват със значителни нови ИТ изисквания, което в крайна сметка означава високи разходи.

Проектозаконът включва термина „компания в специален обществен интерес“ в германския закон за ИТ сигурност. Такива компании не са оператори на "KRITIS" по смисъла на предходното определение. Те обаче разработват или произвеждат продукти, които са от значение за военните или за държавната сигурност. Или те са на фокус поради тяхното икономическо значение и добавената стойност, която генерират. Това може да засегне например големи DAX корпорации, чиито правилни бизнес операции зависят от хиляди работни места и много вериги за доставки. Фирмите, които подлежат на регулиране в съответствие с Наредбата за защита срещу опасни вещества, също попадат в новите категории.

Освен това нарушенията на сигурността трябва да струват много пари: IT-SiG 2.0 адаптира рамката на глобите към тази на GDPR. Това означава, че ако законът бъде нарушен, се дължат максимум 20 милиона евро или до четири процента от общите продажби на компанията през предходната финансова година.

Проектът обаче в никакъв случай не показва ясно какво точно представлява „компания в специален обществен интерес“. Подобно на твърде много въпроси, и този засега остава отворен - на него трябва да отговори законова наредба на Федералното министерство на вътрешните работи (ИТМ). От съображения за актуалност е напълно логично да не се регулира всяко цифрово или техническо изискване от закона. Ако обаче въпросите, които спешно трябва да бъдат уточнени, бъдат изтласкани във фаза в даден момент след приемането на закона, това има последици за индустриалните сектори и компаниите, които отговарят на условията за регулиране. Нуждаете се от правна сигурност на ранен етап по отношение на кого точно новите разпоредби влияят и какво трябва да се направи.

Дори тези, които преди са били считани за оператори на "KRITIS", трябва да очакват значителни усилия за прилагане на нови разпоредби. Проектът задължава тези компании да въведат процеси за проверка на надеждността на служителите в особено чувствителни към сигурността области.

Освен това, според „състоянието на техниката“, ИТ сигурността в бъдеще трябва да включва задължението да се използват „системи за откриване на атаки“. Според проекта става дума за „процеси, поддържани от технически инструменти и организационна интеграция за откриване на атаки срещу ИТ системи“. Относно начина, по който работи, се казва: „Атаката се открива чрез сравняване на данните, обработени в ИТ система, с информационни и технически модели, които показват атаки“. BSI трябва да може да разработи съответни технически насоки (BSI-TR) в този контекст. Каква връзка трябва да съществува с други технически норми и стандарти, свързани с безопасността, като например спецификациите на ISO, остава неясно.

Дори от гледна точка на защитата на данните, задължителното използване на системи за откриване на атаки не е никак малък въпрос. Всъщност проектът позволява на компаниите да запазят своето съхранение на лични данни: Данните във връзка с такива системи могат да се съхраняват от операторите до десет години и в отделни случаи могат да се предават и на правоприлагащите органи.

Повече мощност за BSI

IT-SiG 2.0 отново допринася за превръщането на BSI в един вид супер агенция за ИТ сигурност. Усилието на правителството да разбере тази област по-цялостно от преди, доведе до значително увеличаване на правомощията и персонала на BSI. Промените, предизвикани само от IT-SiG 2.0, трябва да бъдат свързани със създаването на 583 нови длъжности в органа със седалище в Бон.

BSI ще бъде не само точка за отчитане на въпроси, свързани с „KRITIS“. Предишното германско и европейско законодателство вече предвижда обменът на информация за предотвратяване, откриване и защита на кибератаки да се извършва по координиран и транснационален начин. Задачата на BSI като централен пункт за събиране е да получава и оценява информация за рисковете за ИТ сигурността от възможно най-много различни източници, за да разработи цялостен план за ситуацията на ИТ сигурност - така нареченият доклад за ситуацията. Въз основа на това, компаниите или широката общественост могат да бъдат предупредени например за пропуски в сигурността и злонамерен софтуер.

„Новият закон адаптира диапазона от глоби за нарушения на сигурността към този на GDPR."

Критиците се оплакват, че данните, съхранявани от органа, са изключително чувствителни. Доколко сигурни са евентуалните лични данни на тези, които предават информация на BSI? Загрижеността относно защитата на данните все още нараства, тъй като в бъдеще BSI ще получи своите правомощия в областта на телекомуникационното законодателство. Той може например да осъществява достъп до данните на клиента, съхранявани от доставчиците на телекомуникационни услуги. Това включва телефонни номера, идентификатори на връзки, имена и адреси на участниците, както и „Международна идентификация на мобилното оборудване“ (IMEI) за договори за мобилни телефони. Досега толкова широки права на информация бяха ограничени до полицията и наказателното преследване.

Правата на гражданите и компаниите са особено засегнати от правомощията на BSI да запазва регистрационни данни, генерирани при експлоатация на федерални комуникационни технологии. Тези данни може вече да бъдат събрани и автоматично оценени, ако това е необходимо за целите на ИТ сигурността. С IT-SiG 2.0 се обсъжда разширение на този орган: Данните от дневника не трябва да могат да се съхраняват толкова дълго, колкото е необходимо за тяхната оценка, но за максимум 18 месеца. Тези данни със сигурност могат да включват лични данни. Изискваната от закона псевдонимизация не променя това.

За да изпълни задачите си, съгласно законопроекта, на BSI в бъдеще трябва да бъде позволено да „прилага мерки за откриване на злонамерен софтуер, пропуски в сигурността и други рискове за сигурността в публично достъпни ИТ системи“. Предпоставката за това е, че „фактите оправдават предположението, че те са незащитени и че тяхната сигурност или функционалност може да са изложени на риск“. ИТ системата трябва да се счита за „незащитена“, ако има публично известни пропуски в сигурността или ако взетите мерки за сигурност са очевидно неадекватни, така че злонамерените страни да имат достъп до нея.

При официалното си търсене на риск BSI може да „използва системи и процеси, които симулират успешна атака за нападател, за да събира и оценява зловреден софтуер и други методи за атака“. Това означава, че офисът трябва не само да извършва сканиране на портове, но също така да експлоатира медни съдове и дупки. В крайна сметка активното навлизане в ИТ системите все още не се планира. Ако всъщност са идентифицирани слаби места със споменатите технически процедури, BSI трябва да информира лицето, отговорно за ИТ системата или отговорния оператор.

Не е независим орган

Една от задачите, които службата трябва да получи в бъдеще, е предоставянето на правомощия да действа като орган за оценка на съответствието в областта на ИТ сигурността. Освен това федералното правителство много вероятно ще посочи BSI като национален орган за сертифициране на киберсигурността в съответствие със Закона на ЕС за киберсигурност (CSA). Службата, която е толкова важна, не е независима, а е подчинена на Федералното министерство на вътрешните работи. Това министерство обаче ръководи и органи като Федералната служба за защита на конституцията, Федералната служба за криминална полиция и Федералната полицейска централа. Ако човек наистина иска да приеме темата за ИТ сигурността сериозно, BSI, която е независима от Федералното министерство на вътрешните работи, трябва да се изисква като най-висшия федерален орган с еднакъв ранг. В момента това все още се обсъжда. Съвсем ясно е обаче, че поне IT-SiG 2.0 все още няма да донесе такава независимост.

На европейско ниво може да се предвиди, че огромното обединяване на правомощия за BSI ще доведе до конфликти с GDPR и регламента на ЕС за електронна идентификация и доверителни услуги за електронни транзакции на вътрешния пазар (eIDAS-VO). Възможно е дори да има вътрешни конфликти на интереси: Как BSI, от една страна, може да бъде ИТ разследващ орган, който активно открива слабости и, от друга страна, може да е сертифицирал въпросните системи предварително?

Много материали за аргументи

Проектозаконът за IT-SiG 2.0 показва в каква посока трябва да се насочи ИТ сигурността в Германия и Европа през следващите години според волята на политиката. Пътят води в посока наложената от държавата сигурност по бюрократични рецепти. Регламентите трябва да регламентират техническите условия до последния детайл. Потребителите сега също усещат ефектите от това: Новият печат за сигурност, който ще бъде присъден, ще играе важна роля, особено на ИТ пазара за частни лица. Не на последно място, този път засяга суверенитета върху собствената ИТ инфраструктура. Дали наистина ще доведе до целта за цялостна, по-добра ИТ сигурност? Съмненията са позволени. (джук)