Σε μία προσπάθεια να περιορίσει την αυξανόμενη απειλή των κυβερνοεπιθέσεων, η Ευρωπαϊκή Ένωση προχωρά στη λήψη μέτρων για την ενίσχυση της ανθεκτικότητας των προϊόντων hardware και software, εξασφαλίζοντας μεγαλύτερη προστασία απέναντι στις κακόβουλες επιθέσεις. Ο νόμος για την κυβερνοανθεκτικότητα – Cybersecurity Resilience Act (CRA) τέθηκε σε ισχύ στις 10 Δεκεμβρίου 2024 και υποχρεώνει πλέον κατασκευαστές, διανομείς και εισαγωγείς «έξυπνων» διασυνδεδεμένων συσκευών να τηρούν συγκεκριμένες προϋποθέσεις και προδιαγραφές για την ευρωπαϊκή αγορά. Πρόκειται για την πρώτη νομοθεσία της Ε.Ε. που θεσπίζει υποχρεωτικές απαιτήσεις κυβερνοασφάλειας για προϊόντα, τα οποία περιλαμβάνουν ψηφιακά στοιχεία.
Τα τελευταία χρόνια οι πολλαπλές αναφορές για χακαρισμένες συσκευές, κατέστησαν επιτακτική την ανάγκη δημιουργίας ενός αυστηρού κανονιστικού πλαισίου που θα εγγυάται την ασφάλεια των προϊόντων software και hardware καθ’ όλη τη διάρκεια του κύκλου ζωής τους. Η αυξανόμενη χρήση οικιακών συσκευών συνδεσιμότητας, γνωστών ως Internet of Things (IoT), όπως οι «έξυπνες» ηλεκτρικές σκούπες και τα βρεφικά monitor, έχει δώσει στους κυβερνοεγκληματίες τη δυνατότητα να εξαπολύουν επιθέσεις με στόχο την παραβίασή τους. Μέσω αυτών των επιθέσεων, κατάφεραν όχι μόνο να μολύνουν οικιακά δίκτυα αλλά και να αποκτούν πρόσβαση σε κάμερες μέσα στους οικιακούς χώρους.
Ταυτόχρονα, η στροφή μεγάλης μερίδας του καταναλωτικού κοινού σε αγορές οικονομικότερων αλλά αμφιβόλου ποιότητας προϊόντων, που δεν έχουν υποβληθεί στους απαραίτητους ελέγχους για να βγουν στην αγορά, αποτελεί πολύ σημαντικό παράγοντα για την αύξηση των κυβερνοεπιθέσεων. Είναι άλλωστε κοινό μυστικό, ότι τα εν λόγω προϊόντα, συχνά φέρουν πολλά τρωτά σημεία και ανεπαρκείς ενημερώσεις ασφαλείας, με αποτέλεσμα να γίνονται εύκολοι στόχοι για τους χάκερ.
Ο CRA θεσπίζεται με σκοπό να καλύψει το κενό που υπάρχει γύρω από αυτές τις συσκευές στο ευρωπαϊκό νομοθετικό πλαίσιο και πλήττει την ευρωπαϊκή οικονομία και ασφάλεια. Πιο συγκεκριμένα, η «Πράξη για την Κυβερνοανθετικότητα» στοχεύει στη δημιουργία ενός αυστηρού συνεκτικού πλαισίου που θα διασφαλίζει τη συμμόρφωση των παραγωγών hardware και software.
Παράλληλα, θέτει στους κατασκευαστές συγκεκριμένους όρους, υποχρεώνοντάς τους να βελτιώσουν το σχεδιασμό των προϊόντων αλλά και να πραγματοποιούν τους κατάλληλους ελέγχους πριν τα διαθέσουν στην αγορά. Μέσω της εφαρμογής του CRA, οι κατασκευαστές θα φέρουν πλέον μεγαλύτερες ευθύνες, όσον αφορά στην εγγύηση της ασφάλειας των προϊόντων αυτών και θα οφείλουν να αναφέρουν πιθανές ευπάθειες που θα προκύψουν στον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA). Από τη μεριά τους, οι εισαγωγείς και διανομείς, θα πρέπει να πραγματοποιούν επιπλέον ελέγχους και να ενημερώνουν τις Αρχές σε περίπτωση που διαπιστώσουν μη συμμόρφωση.
Η υιοθέτηση του CRA αποτελεί ένα αποφασιστικό βήμα προς την ενίσχυση της ασφάλειας στον σύγχρονο ψηφιακό κόσμο. Ωστόσο, η αποτελεσματική προστασία από κυβερνοαπειλές δεν εξαρτάται μόνο από τους κανονισμούς και τις υποχρεώσεις των κατασκευαστών.
Το Ελληνικό Ινστιτούτο Κυβερνοασφάλειας προτρέπει τους καταναλωτές να επιλέγουν αξιόπιστα προϊόντα, να ενημερώνουν τακτικά τα λογισμικά τους, να κάνουν χρήση ισχυρών κωδικών πρόσβασης και να αποφεύγουν να συνδέονται σε μη ασφαλή δίκτυα.
