Zatímco úřady bedlivě hlídají, aby se na trh s hračkami nedostaly třeba karcinogenní gumové kačenky, i v roce 2024 seženete domácí Wi-Fi router s výchozím společným heslem správce, které leckdo zapomene změnit a každý soused za zdí si ho za pár sekund vygooglí.
S tím už ale bude brzy utrum, zákonodárci napříč světem totiž připravují nové legislativy, které konečně pamatují na to, že děravý program, děravý operační systém, děravé hračky s Bluetooth a samozřejmě i ty domácí Wi-Fi routery mohou být z hlediska národního hospodářství podobnou katastrofou.
Podobné seznamy výchozích hesel pro správu WI-Fi routerů se snad konečně stanou minulostí. Kdysi to byla nejsnazší cesta, jak se v každé druhé bytovce dostat zadarmo na internet
Velká Británie je první na světě
Jako první na světě si zapsala bod Velká Británie, ve které v těchto dnech začíná naplno platit roky připravovaný zákon o bezpečnosti produktů (PSTI). S jeho nástupem zmizí z britského trhu produkty s chabým šifrováním, s oněmi výchozími primitivními hesly a stejně tak ty, které jsou děravé, ale výrobcům je to při vší úctě úplně jedno.
PSTI jednoduše řečeno stanovuje nový standard minimálního kybernetického zabezpečení.
Jedním z nejjednodušších řešení je třeba unikátní výchozí heslo pro každé zařízení
Konec děravých programů a krabiček v EU
Evropa půjde stejnou cestou. Pokud vše dopadne podle plánu, někdy v závěru desetiletí se budeme učit novou zkratku CRA – Cyber Resilience Act (české znění návrhu) a nový termín produkt s digitálními prvky.
Takovým produktem je „jakýkoli softwarový nebo hardwarový produkt a jeho řešení pro zpracování dat na dálku,“ píše se v článku 3, no a když to přeložíme do lidštiny, je to prostě jakákoliv blbina připojená k internetu: Aplikace na mobilu, operační systém mobilu a nakonec i samotný mobil.
EU si zvláště posvítí na prohlížeče, správce hesel a síťové prvky
Když budete chtít jednou takový produkt vyrábět, dovážet a distribuovat v zemích EU, Cyber Resilience Act si pro vás připraví hromadu povinností podle toho, jestli to bude třeba jen ta gumová kačenka s Bluetooth, anebo něco mnohem důležitějšího.
Pokud něco z tohoto máte doma (právě teď to máte v rukou, nebo na to koukáte), bude to muset být obzvláště zabezpečené
Tomu budeme říkat kritické produkty s digitálními prvky a budeme to dále dělit podle (ne)bezpečnosti do dvou tříd I a přísnější II. Evropské úřady mohou na seznam i po schválení aktu přidávat další produkty podle stavu technologického vývoje a dodatečně je regulovat.
Už žádné úniky nezabezpečených databází
Dejme tedy tomu, že v roce 2031 vyrobíte nějaký program nebo hračku, která se bude přihlašovat k internetu a bude vyžadovat účet. Protože jste šetřili na programátorech, účet bude zajištěný jen primitivním heslem s délkou sedmi znaků.
Toto všechno bude muset splňovat každý produkt s digitálními prvky
S nástupem CRA by to měl být už opravdu problém. V příloze I je totiž k dispozici výčet bezpečnostních požadavků na (jakýkoliv) produkt s digitálními prvky a hned v odstavci 3c) se píše, že budete muset vše ochránit „prostřednictvím nejmodernějších mechanismů.“
V roce 2031 to už jistě nebude jak sedmimístné heslo a HTTP bez šifrování, tak třeba hesla uložená v prostém textu a v překonaných heších na straně serveru, jak je tomu v některých případech dodnes a všichni se pak diví, že někomu opět unikla databáze s čitelnými uživatelskými účty.
Petr Novák má problém, jeho e-mail je totiž podle webu Have I been pwned součástí 22 různých datových úníků, za které nebyl zpravidla nikdo výrazně potrestán
Do definice nezabezpečeného rozhraní by se nejspíše vešel i oblíbený protokol MQTT v nešifrovaném provedení, který používá mnoho současných krabiček chytré domácnosti ke komunikaci s řídícím serverem.
Před lety jsem se díky tomu dokázal napojit i do jisté britské domácnosti a sledovat prakticky vše počínaje stavem osvětlení v domě a konče geografickou polohou jeho obyvatel.
Můj produkt je zranitelný, a tak o tom okamžitě informuji úřady
Když už k nějakému tomu průšvihu dojde a váš produkt bude děravý jako ementál (protože jste přece šetřili), budete muset sjednat nápravu. A to ve velkém stylu. Nejen že budete muset podat hlášení speciálnímu evropskému úřadu pro kybernetickou bezpečnost ENISA, ale CRA samozřejmě vyžaduje, abyste neprodleně informovali také své zákazníky a vyrobili (pokud možno) záplatu.
Schválně, kolikrát jste aktualizovali firmware staršího domácího Wi-Fi routeru? Ještě před pár lety to byla naprostá exotika i u docela drahých domácích modelů za tisíce. U jiných výrobců byly průběžné bezpečnostní aktualizace naopak hlavním lákadlem – tak přeci před lety začínal i český projekt Turris.
Zákazníkovi všechno řeknu a bez tutlání
Komunikace výrobců bude muset být zároveň transparentní, rychlá a věcná. Pokud se stane průšvih, výrobce jej nebude moci tutlat dlouhé týdny a měsíce. Pěkně a důkladně zveřejní, v čem byl problém, jaké mohly být dopady tohoto problému a co všechno je třeba udělat k nápravě. A znovu, nebavíme se tu o nějakém síťovém B2B řešení za miliony s poctivější podporou – tyto povinnosti se budou týkat prakticky všech produktů s digitálními prvky.
A nakonec, to vše se bude dít přinejmenším roky. Žádné takové, že s expedovaným zbožím pouto se zákazníkem v podstatě končí. Ne! CRA počítá ideálně s pěti lety, během kterých bude výrobce svůj produkt neustále testovat, hledat v něm chyby a informovat všechny zainteresované.
A když ne, tak mě čeká drakonická pokuta
Na závěr konečně to nejdůležitější. Dejme tomu, že se stále píše rok 2031 a já vyrobil nějakou tu připojenou krabičku, hračku nebo program, zkouším ji prodávat na území EU a na jakousi legislativu CRA z vysoka peču.
Co mi hrozí?
Tomu se už věnuje článek 33 s všeříkajícím podtitulem Sankce. A ty budou nemalé, „za nedodržení základních požadavků na kybernetickou bezpečnost (kráceno) se uloží správní pokuty až do výše 15 000 000 EUR,“ píše se totiž v návrhu aktu.
No, a pokud to udělá nějaká velká ryba, správní peněženka se nafoukne o pokutu „až do výše 2,5 % jejího celkového ročního obratu celosvětově za předchozí finanční rok.“
Jen o něco menší pokuty pak zákonodárci navrhují za mírnější prohřešky. Třeba pokud poskytnu nepravdivé údaje. Například když se pokusím ututlat, že mého správce hesel prolomí i průměrný středoškolák.
Včera bylo pozdě
Legislativa CRA je určitě potřeba, zodpovědnost za kyberbezpečnost se totiž dodnes tak trochu přenáší na koncového uživatele. A i když je právě tato individuální zodpovědnost alfou a omegou jakékoliv zabezpečení (instalovali miliony do firewallu, ale pan ředitel už po týdnu klepl na phishingový odkaz a vyplnil login a heslo), nelze rezignovat na tu primární u výrobce.
Stejně jako je automobilka zodpovědná za vybuchující motor vozu a musí sjednat nápravu, měl by být stejně tak zodpovědný kdokoliv, kdo vyrobil kus špatně zabezpečeného kódu či fyzický produkt a chce nám ho prodat.