לאחר שחווה את צריבתן של מתקפות הסייבר WannaCry ו-Petya בשנה האחרונה, הכריז האיחוד האירופי על תקנה חדשה בנושא בטיחות במערכות ורשתות מידע (NIS Directive), חקיקה ראשונה מסוגה ברחבי אירופה כולה בנושא ביטחון סייבר. הוועדה האירופית (EC) בחרה בשבוע שעבר בסוכנות האירופאית המאוחדת לביטחון מידע ורשת (ENISA) שתנהיג את המאמצים בחזית זו. ראש ה-EC יצא בהצהרה שמתקפות סייבר “יכולות להיות מסוכנות יותר עבור יציבותן של דמוקרטיות וכלכלות מרובים וטנקים”. החוק החדש אמור להיכנס לתוקף במאי 2018, וישפיע על ספקי שירות דיגיטליים בתחומים כמו אנרגיה, מים ותחבורה, כמו גם מפעילים של שירותי בריאות, כלכלה ואינטרנט.
תקנת NIS מבקשת להשיג רף משותף וגבוה לביטחון רשת ומידע בתוך האיחוד דרך שיפור ביטחון הסייבר ברמת המדינה, הגברת שיתוף הפעולה בתוך האיחוד ושיפור היכולת לטפל בסיכונים דרך מדיניות חדשה וקשוחה יותר בעניין דיווח על מתקפות סייבר. כל חברה באיחוד תצטרך לאמץ אסטרטגיה בעניין ביטחון מידע ורשת ולמנות רשויות מקומיות וצוותי תגובה לפרצות חירום (CSIRT).
יוזמה דומה הוצעה גם בארצות הברית בחודש האחרון במטרה לייצר סף ביטחון סייבר מינימאלי עבור מוצרי IoT שנמכרים לרשות האמריקאית. החוק, שנקרא “Internet of Things Cybersecurity Improvement Act of 2017”, דורש שכל מוצר נכנס יוכל לקבל עדכוני ביטחון ולעמוד בפרוטוקול ביטחון מוגדר מראש. בדומה לתקנת NIS החוק האמריקאי מכתיב מדיניות דיווח לפרצות בעבור כל עובדי הקבלן הממשלתיים במטרה לשפר את היכולת להעריך ולהתמודד עם סיכונים.
שני החוקים הם סימן ברור למגמה שהחוקרים כבר חוזים לעתיד. מוערך ששוק ביטחון הסייבר יהיה שווה 464 מיליון דולר עד 2020, בשיעור צמיחה שנתי של 42.4%. לארה”ב אחיזה ב-35.28% מהשוק, מה שהופך את החוק החדש לאמצעי בטיחות רווחי במיוחד. עם התרבותן של תוכנות כופר, תוכנות זדוניות ותולעי רשת אין פלא שגם האיחוד האירופאי וגם ארה”ב מחפשות למצב את המגננות שלהן, וכך גם לדחוף את השוק קדימה.
מקורות: