歐盟委員會希望透過要求製造商加強其整個生命週期的安全性,確保日常連網設備不易受到網路攻擊。
週四在布魯塞爾提出的《網路彈性法案》旨在透過對每種具有數位元素的產品(也稱為物聯網)引入強制性網路安全要求,成為全球標準持有者,並讓消費者更了解他們所購買產品的網路安全方面。
內部市場專員蒂埃里·布雷頓(Thierry Breton)在聲明中表示:「在網路安全方面,歐洲的強大程度取決於其最薄弱的環節:無論是脆弱的成員國,還是供應鏈上不安全的產品。
「電腦、電話、家用電器、虛擬輔助設備、汽車、玩具……這數以億計的互聯產品中的每一個都是網路攻擊的潛在切入點。然而,如今大多數硬體和軟體產品都不是透過設計引入網路安全,《網路彈性法案》將有助於保護歐洲經濟和我們的集體安全。
安全性更新和明確的說明
根據委員會的數據,每 11 秒就會發生一次勒索軟體攻擊。據估計,去年全球勒索軟體攻擊造成的財務影響約為 200 億歐元,全球每年因網路犯罪造成的損失達 5.5 兆歐元。
該委員會的提議將要求製造商在設計和開發產品時考慮網路安全,並確保在預期產品生命週期或五年(以較短者為準)內有效處理任何漏洞。
他們還必須積極報告被利用的漏洞和事件,提供至少五年的安全更新,並為消費者提供使用具有數位元素的產品的「清晰易懂的說明」。
不遵守該法案的製造商將被暫時或永久從單一市場中移除其產品和/或處以全球營業額 2% 至 5% 的罰款。
擬議的立法需要得到議會和理事會的批准,並在最終批准兩年後生效。
「逾期但未達標」?
該提案受到歐洲消費者組織(BEUC)副總幹事烏蘇拉·帕希爾(Ursula Pachl)的歡迎,認為「這對消費者來說確實是個好消息」。
她認為,這些連網產品(包括智慧門鎖、嬰兒監視器和玩具以及連網洗衣機和冰箱)的網路安全薄弱,不僅對個人消費者來說是一個問題,而且「甚至可能對我們的社會、我們的經濟來說是一個大問題”因此,如果某些東西被黑客攻擊,很容易導致重要基礎設施的中斷,因此這是委員會最終提出的一項非常重要的提議。”
公民自由、司法和內政委員會成員、歐洲議會議員帕特里克·布雷耶博士(德國海盜黨)對委員會的計劃作出反應,表示“早該最終讓商業製造商對”不安全技術的威脅承擔責任。 」
但他也表示,該提案“有些地方不足,有些地方太過分”,並呼籲修改。
「一方面,商業製造商缺乏立即修復已知安全漏洞的明確義務。商業製造商必須對自己造成的安全漏洞承擔責任,才能使 IT 安全在經濟上值得!另一方面,自由軟體的自願開發受到威脅,因為對商業生產者和志工提出了同樣的要求,」他解釋道。