گزارش جدیدی از شرکت امنیت سایبری ONEKEY نشان میدهد که در بخش صنعتی آلمان، فوریت لازم برای رسیدگی به «قانون تابآوری سایبری» (CRA) اتحادیه اروپا وجود ندارد. با نزدیک شدن به ضربالاجلهای حیاتی، به نظر میرسد بسیاری از شرکتها در آمادهسازی خود برای این مقررات گسترده جدید، عقب ماندهاند.
قانون CRA یک قانون مهم است که برای تقویت امنیت تمام دستگاهها، ماشینآلات و سیستمهای متصل به شبکه که در اتحادیه اروپا فروخته میشوند، طراحی شده است. این قانون تعهدات مستقیمی را بر عهده تولیدکنندگان، واردکنندگان و توزیعکنندگان قرار میدهد. به گفته یان وندنبرگ، مدیرعامل ONEKEY، زمان به سرعت در حال گذر است. او هشدار داد: «در پاییز ۲۰۲۶، یعنی حدود یک سال دیگر، الزامات گزارشدهی مندرج در CRA به طور کامل اجرایی خواهد شد. یک سال بعد، سایر تعهدات نیز به دنبال آن خواهند آمد. بنابراین ما اکنون وارد مرحله نهایی شدهایم. گزارش نشان میدهد که در حال حاضر شواهد کافی از این آمادگی در اقتصاد دیده نمیشود.»
یافتههای این گزارش که در «گزارش امنیت سایبری اینترنت اشیاء و فناوری عملیاتی ۲۰۲۵» منتشر شده، بر اساس نظرسنجی از ۳۰۰ شرکت صنعتی آلمانی است. نتایج، تصویر نگرانکنندهای را ترسیم میکند:
- تنها ۳۲ درصد از شرکتها با الزامات CRA کاملاً آشنا هستند.
- بیش از یک چهارم (۲۷ درصد) اصلاً به این موضوع نپرداختهاند.
- تنها ۱۴ درصد اقدامات گستردهای برای انطباق انجام دادهاند، در حالی که ۳۸ درصد هنوز هیچ اقدامی نکردهاند.
الزامات جامع قانون CRA
این گزارش بر ماهیت گسترده تعهدات CRA تأکید میکند که به نظر میرسد بسیاری آن را دستکم گرفتهاند. تولیدکنندگان ملزم به اتخاذ رویکرد «امنیت از طریق طراحی» (security by design) هستند، به این معنی که محصولات باید از همان ابتدا و در طول کل چرخه عمر خود امن باشند. الزامات کلیدی عبارتند از:
- گزارش آسیبپذیری: آسیبپذیریهایی که به طور فعال مورد سوءاستفاده قرار گرفتهاند باید ظرف ۲۴ ساعت به آژانس امنیت سایبری اروپا (ENISA) گزارش شوند.
- بهروزرسانیهای امنیتی: وصلهها و بهروزرسانیهای منظم باید برای رفع آسیبپذیریهای شناختهشده ارائه شوند.
- شفافیت کامل: مستندات جامع، از جمله یک «فهرست مواد نرمافزاری» (SBOM)، برای همه محصولات جهت ردیابی اجزا و وابستگیها الزامی است.
وندنبرگ تأکید کرد: «صرفاً برآورده کردن این الزامات کافی نیست؛ انطباق با CRA باید مستندسازی شده و به طور قابل اثبات نشان داده شود.»
چالشهای کلیدی برای کسبوکارها
هنگامی که از شرکتها در مورد دشوارترین جنبههای CRA سؤال شد، آنها چندین حوزه را مشخص کردند. قانون گزارشدهی حوادث در ۲۴ ساعت توسط ۳۷ درصد از پاسخدهندگان به عنوان بزرگترین چالش ذکر شد. پس از آن، رعایت اصول «امنیت از طریق طراحی» و «امنیت به طور پیشفرض» (۳۵ درصد) قرار داشت. ایجاد SBOM و مدیریت مداوم آسیبپذیریهای نرمافزاری نیز برای ۲۹ درصد از شرکتکنندگان نگرانیهای عمدهای بودند.
وندنبرگ به تمرکز تاریخی بر عملکرد به جای امنیت اشاره کرد. او توضیح داد: «بسیاری از تولیدکنندگان… عمدتاً بر عملکرد محصولات خود تمرکز کردهاند و توجه کمتری به آسیبپذیری آنها در برابر حملات سایبری داشتهاند. قانون تابآوری سایبری اکنون از آنها میخواهد که هر دو جنبه را به یک اندازه مهم بدانند.» دامنه این مقررات بسیار گسترده است و همه چیز از دستگاههای خانه هوشمند و اسباببازیهای دیجیتال گرفته تا رباتهای صنعتی و تجهیزات پزشکی حیاتی را پوشش میدهد.
تغییر نگرش ضروری و عواقب شدید
در حالی که تغییر در نگرش مدیران به آرامی در حال آغاز است، زمان رو به اتمام است. عواقب عدم انطباق بسیار شدید است. محصولاتی که استانداردهای CRA را برآورده نکنند، از فروش و بهرهبرداری در اتحادیه اروپا منع خواهند شد. با توجه به اینکه چرخههای توسعه محصول اغلب دو تا سه سال طول میکشد، اقدام فوری حیاتی است.
متخلفان با جریمههای سنگینی تا ۱۵ میلیون یورو یا ۲.۵ درصد از گردش مالی سالانه جهانی خود (هر کدام که بیشتر باشد) روبرو هستند. علاوه بر این، هیئت مدیره و مدیریت ممکن است با مسئولیت شخصی مواجه شوند.
این گزارش همچنین بر چشمانداز امنیتی نگرانکننده تأکید میکند، به طوری که خسارات جرایم سایبری در آلمان در سال ۲۰۲۴ به حدود ۱۷۸.۶ میلیارد یورو رسیده است. وندنبرگ به یک نقطه کور حیاتی اشاره کرد: در حالی که شبکههای IT اغلب محافظت میشوند، امنیت فناوری عملیاتی (OT) در کارخانهها اغلب نادیده گرفته میشود. در عصر تحول دیجیتال، این ریسکی است که دیگر نمیتوان آن را نادیده گرفت.
اطلاعات بیشتر را از گزارش اصلی بیاموزید: https://www.iotinsider.com/industries/security/onekey-report-reveals-the-cra-is-not-being-prioritised/