網路資安威脅
歐盟資安韌性法(EU Cyber Resilience Act,CRA)對製造商有何影響?
歐盟的資安韌性法 (EU Cyber Resilience Act,CRA)) 呼籲廠商擁抱「安全始於設計」的觀念,建立全球化的技術準則。
歐盟 (EU) 最近發布了一項新的法案:資安韌性法案 (Cyber Resilience Act),宣稱是史上第一個要求製造商為其在歐盟境內銷售的軟、硬體產品提供更多消費者保障的法案。這項法案之所以開創前例,是因為確保軟、硬體產品安全的責任一直都在消費者方,也就是透過修補更新與正確的組態設定。儘管未來這些仍舊是必要的措施,但製造商有責任在開發過程當中加入良好的資安措施,否則將面臨禁售或罰鍰。該法案有四項明確目標:
- 確保製造商改善產品整體生命週期的網路資安。
- 為歐盟地區建立單一連貫的網路資安框架。
- 提升產品及其製造商的網路資安作為及性質的透明度。
- 為消費者及企業提供立即安全可用的產品。
以下讓我們來逐一檢視這每一項目標。
- 許多時候,製造商都專注於讓產品能夠盡快上市,因此資安措施通常是事後考量。有時候,廠商在產品上市之後就人間蒸發,例如消費性 IoT 裝置,此時萬一其軟體出現了問題就可能「永遠無解」,變成一個永遠沒辦法修補的零時差漏洞。這項新的法案將要求製造商必須在產品生命週期當中融入安全性 (也就是安全始於設計的概念),並確定產品已經盡可能做到安全之後才能上市。如此一來,有可能迫使製造商必須比以往更早在產品生命週期當中加入更多資安措施,而這正是網路資安產業長久以來所一直呼籲的。
- 這套框架將有助於製造商了解並遵循這項法案。為了遵循這項法案,廠商必須宣告其產品符合這項法案,並提供技術文件,附上檢測標章,並提供一份書面的符合歐盟法規宣告。除此之外,萬一廠商的產品被發現有漏洞正在遭受攻擊,廠商也必須在 24 小時內立即揭露。
- 網路資安實務越透明,製造商就越容易遵守。這在過去一直都是一項難以達成的目標,因為企業已經有各種的框架、法律、認證及其它規範必須遵守。
- 該法案的終極目標,就是要確保歐盟居民和企業在購買產品時能獲得最安全的產品。
這項法案在製造商身上加諸了許多負擔,因此未來到底有多少廠商會願意遵守還是乾脆放棄該市場,將是個有趣的觀察點。對許多企業來說,要一開始就將安全融入設計當中肯定需要花費大量成本,但我們希望他們可以看到這麼做的長期效益。有些漏洞是在程式開發過程當中可經由滲透測試和其他措施來發現的,未來需要修補這類漏洞的情況肯定會減少。不過如果企業心存僥倖,想要省下這些功夫,可能會面臨嚴重的禁售與罰鍰。對某些企業來說,違反這項法案可能面臨最高 1,500 萬歐元或其前一會計年度全球營收 2.5% 的行政罰鍰 (取其大者)。至於其他企業,也可能面臨高達 1,000 萬歐元或前一會計年度全球營收 2% 的罰鍰 (取其大者)。最後,如果使用不正確、不完整或經過篡改的資訊來誤導市場監理機關,將面臨 500 萬歐元或前一會計年度營收 5% 的罰鍰 (取其大者)。由於違反法規可能帶來巨大罰鍰,所以應該可以說服大多數廠商遵守。
這項法案對歐盟來說是一大進步,而且未來也可能成為世界其他地區仿效的藍本。任何目前正在歐盟地區銷售產品或打算進入該市場的製造商,都應該仔細研究一下該法案來看看自己是否受到影響,因為法案當中還是有許多除外的情況。如需該法案的各語言版本,請點選此處。