Киберсигурност на енергийните компании

Нови регулации в Европейския съюз ускорено преминават през ключовите етапи на изготвяне и одобрение, за да затегнат изискванията за киберсигурност по всички направления – особено що се касае до критични инфраструктури като енергийните мрежи. Директивата NIS-2 задължава всички оператори на съществени инфраструктури и системи да спазват безпощадни правила за виртуална защита. Европейският закон за киберустойчивостта пък изисква създателите на потребителски уреди с функции за уеб-свързаност и IoT възможности да отговарят на критерии, свързани с намаляването на рисковете. Регулаторната рамка се променя и за отразяване на най-новото развитие при изкуствения интелект.

Текст: списание Енергия

Увеличаването на кибератаките през последните години е това, което при нуждава държавите-членки на ЕС датърсят как да повишат своите нива на сигурност, за да защитят гражданите, местните и регионалните власти и бизнеса. За да отговори на това предизвикателство, ЕС се зае с модернизиране на директивата NIS, регулиране на „умните“ IoT устройства и на елементите на изкуствен интелект. Най-съществената промяна засега е NIS-2. Според Тиери Бретон, европейския комисар по вътрешната търговия, тази реформа трябва да даде сигурност за важни услуги за обществото и икономиката.

NIS-2

През последните години, от края на октомври 2021 насам, вече е налице общоевропейската директива NIS-2 за минималните изисквания за киберустойчивостта на организациите, управляващи важни и съществени инфраструктури в държавите-членки и целия ЕС. Тя е продължение на NIS, приета през 2016г. Сега обаче е разширен нейният обхват. Директивата все още е в процес на транспониране в националните законодателства на страните. Изградена върху три основни „стълба“, директивата NIS-2 се съсредоточава върху подобряване на киберсигурността на държавите-членки, разработване на методи за управление на рисковете за киберсигурността на вътрешния пазар и насърчаване на споделянето на информация.

Една от основните промени в рамките на NIS-2 касае разширяването на изискванията за киберсигурност в нови сектори. В частност, въвеждат се и изисквания за размера, за да се подчертае включването на средни и големи организации. Междувременно участието на по-малки структури е оставено на преценката на държавите-членки, които могат да решат дали дадени по-малки организации принадлежат към операторите на критична инфраструктура или не.

Мащаб

Като част от мерките за укрепване на сигурността е налице разширяване на засегнатите сектори. Включването на пощенските услуги, управлението на отпадъците, производството и разпространението на химикали и хранително-вкусовата промишленост ще увеличи броя на индустриите, обхванати от NIS-2, от 19 на 35. Отсега нататък обхватът на регулираните оператори ще бъде разделен на два типа играчи: основни субекти (ОС) и важни субекти (ВС), които ще бъдат диференцирани според критичността на свързаните сектори. За „основни“ се смятат такива като енергийни и транспортни предприятия, организации от сферата на здравеопазването, водоснабдяването, публичната администрация, цифровата инфраструктура и банковите и финансовите пазари.

За „важни“ субекти ще се считат пощенските услуги, производството, хранително-вкусовата промишленост. Местните и регионалните власти също са включени в новия текст. Преработената NIS сега предоставя възможност за регулиране на местните власти и за налагане на правила за киберсигурност и върху тях. Трябва да се отбележи, че това е само вариант, тъй като всяка държава-членка има право да разшири обхвата на новата директива до своите местни администрации.

Подизпълнителите

Подизпълнителите и доставчиците на услуги с достъп до критична инфраструктура също са обект на регулации в NIS-2. Това е така, защото пропуските в инфраструктурата на доставчика могат да застрашат сигурността на големия оператор, за който работи. Кибератаката срещу Kaseya през юли 2021г. е показателен пример за подобни атаки по веригата на доставката. С NIS-2 това се променя. Така например в енергетиката мерките за сигурност вече няма да се налагат само на производители, преносители и разпределители на електроенергия.

Всички подизпълнители на критичната инфраструктура също ще бъдат засегнати. По-специално, доставчиците на услуги и други компании за дигитални услуги ще бъдат задължени да докладват всеки инцидент със сигурността, за да може навреме да се ограничи разпространението на атаката. Като следствие от мярката се очаква малки и средни компании да ангажират свои главни експерти по ИТ сигурността. Това обаче ще добави допълнително напрежение към пазара на труда, тъй като и в момента експертите от този вид са труднодостъпни и скъпоплатени.

Отговорност, докладване и глоби

Идеята на подобрената директива е да осигурява по-голяма сигурност за предприятията „чрез прилагане на система от задължения и санкции“. Едно от най-важните неща в нея е задължението за деклариране на кибер-инцидент в рамките на 24 часа. Досега срокът беше 72 часа. Това дава възможност за възможно най-бърза реакция и ограничаване на киберзаплахата. Все пак първоначалното докладване може и да не е всеобхватно – то може да е кратка нотификация, която да бъде разширена и допълнена с подробности.

За компаниите, които не сътрудничат или нарушават разпоредбите, Директивата NIS-2 предвижда санкции. NIS-2 пристъпва към методи на глобяване, които заимстват модела на Общия регламент за защита на личните данни GDPR: глобата се формира като определена сума или процент от приходите на санкционираната организация. Сумата може да достигне между 1,4% и 2% от оборота или до 10 милиона евро. Успоредно с това NIS-2 предприема значителни стъпки към подобряване на управлението на сигурността, като поставя висшите мениджъри отговорни за устойчивостта на киберпространството. Надеждата е, че това задължение ще доведе до промяна в подхода „отгоре надолу“ в организациите. Следователно кибер-устойчивостта трябва да се счита за приоритет на ниво борд на директорите и висше ръководство, а не да се ограничава до компетентността на техническите екипи.

Технологии, време и пари

Според специалисти, в момента е налице разбиране, че всички нови мерки, които ще са нужни, изискват солидно финансиране. Затова на ниво ЕС се предвиждат и редица механизми за подпомагане на инвестициите. Един от инструментите, на които и България ще може да разчита, е създаденият наскоро в Букурещ европейски център за киберкомпетентност. Звеното ще има грижа за две програми за финансиране в периода до 2027г.: „Digital Europe” и „Horizon Europe”. Чрез тях центърът ще помага за реализацията на проекти в сферата на киберсигурността посредством звена в държавите-членки.

У нас пряко отговорен за тези дейности ще е Центърът за киберкомпетентност при наскоро сформираното Министерство на електронното управление. А кога? Отговорът на този въпрос не е толкова прост. Директивите се вплитат в националните законодателства по различен начин, например чрез нови закони или чрез ревизии на съществуващи. Като цяло очакванията са, че до края на настоящата година страните-членки ще са предприели необходимите стъпки за целта. Следователно прилагането на NIS-2, все още на национално ниво, навярно ще започне през 2023г. или началото на 2024г.

Регулиране на „Дивия запад“ при IoT

ЕС задейства и приемането на Закона за киберустойчивостта. Проектът бе огласен през май 2022г., представен в средата на септември и има за задача да намали уязвимостите на все по-многобройните устройства, които са постоянно свързани и носят в себе си слабости за кибер-безопасността. Законът за кибернетичната устойчивост (Cyber Resilience Act – CRA) ще въведе изисквания за киберсигурност за всички „продукти с цифрови елементи“, които биват пускани на вътрешния пазар на ЕС. Това касае „интелигентните“ роботи-прахосмукачки, климатици, бойлери, печки, осветителни тела – всичко, което може да се управлява дистанционно през интернет. Освен „умните“ домашни електроуреди, законът засяга и индустриалното оборудване, което е постоянно онлайн по линия на все по-популярните IoT проекти. Както хардуерът, така и софтуерът ще бъдат обхванати от нормата. Аргументът е, че когато всичко е свързано, всичко е уязвимо.

Промяната е съществена, тъй като голяма част от умните електроуреди биха могли, при потенциален пробив, да се използват като входна точка за други мрежи, включително и все по-дигитализираните и интелигентни електроразпределителни мрежи. Законът за кибернетичната устойчивост изисква производителят да уведоми Агенцията на ЕС за киберсигурност (ENISA) в рамките на 24 часа, ако научи за активно използвана уязвимост в продукта или друг тип инцидент с въздействие върху сигурността. Подобно положение може да звучи познато, тъй като директивата NIS-2 има същото изискване при установени успешни атаки. Както може да се очаква, новата норма може да доведе до нова генерация предизвикателства. По-рано тази година ръководството на ENISA посочи, че системата за докладване е твърде бюрократична. Сега агенцията ще трябва да бъде известявана за много повече „инциденти“, реални или предполагаеми, предупреждават експертите.

На хоризонта: регулации за изкуствения разум

През последните месеци в ЕС усилено се работи и по нови европейски регулации за приложението на изкуствения интелект. Тъй като съвременните „умни“ електрически мрежи ще разчитат на изкуствен разум за вземането на решения, касаещи крайните потребители, то разработването на новите норми заслужава да се следи със засилен интерес. Целта на Директивата за отговорността за ИИ – засега само проект – е да наложи единни правила за достъп до информация и облекчаване на тежестта на доказване във връзка с щети, причинени от системи с изкуствен разум. Предвижда се и „по-широка защита за жертвите“, било то физически лица или предприятия.

В сегашния си проектен вид директивата опростява и облекчава правния процес за жертвите, когато става въпрос за доказване на щети, произтичащи от използването на изкуствен разум. Едно от важните положения е доказването на съответната грешка и причинно-следствената връзка между нанесена вреда и работата на изкуствения разум. Наред с това жертвите ще имат повече инструменти за търсене на правно обезщетение. Сега предложеният текст, изготвен от Еврокомисията, ще трябва да бъде приет от Европейския парламент и Съвета на ЕС. При постигането на одобрение нормата ще придобие вид на директива, която да бъде транспонирана в националните законодателства.