Cyber Resilience Act

07.11.24 09:08

European Cyber Resilience Act

Vi har allerede skrevet om NIS 2 og hva det betyr for norske virksomheter. I denne artikkelen skal vi se litt nærmere på CRA (Cyber Resilience Act) som også trådte i kraft i 2024.

CRA vil omfatte alle internett-tilkoblede produkter som selges i, eller til, EU/EØS-området - dvs. alt fra smartklokker og airfryere, til brannmurer og programvare.

 

Formålet med Cyber Resilience Act er todelt

  1. Legge til rette for utvikling av sikre produkter med digitale elementer ved å sikre at maskinvare- og programvareprodukter markedsføres med færre sårbarheter, og sikre at produsenter tar sikkerhet på alvor gjennom hele livssyklusen til et produkt.
  2. Legge til rette for at det skal bli mulig for brukerne å ta hensyn til cybersikkerhet når de velger og bruker produkter med digitale elementer

 

Forskjellen mellom NIS 2 og CRA

  1. NIS 2 (Network and Information Systems) skal styrke datasikkerhet hos virksomheter som er oppfattet som kritiske i samfunnet og sikre bedre rapportering av alvorlige hendelser.
  2. CRA (Cyber Resilience Act) skal styrke datasikkerhet i produkter samt sikre bedre synlighet/kommunikasjon slik at kunder forstår hvordan det digitale produktet kan få tilgang til deres personlige opplysninger (ved å lytte, spore osv.)

 

Cyber Resilience Act og Temu som eksempel

Vi kan bruke Temu-shoppingtrenden som et eksempel på hvorfor Europas nye Cyber Resilience Act (CRA) er nødvendig.

Du har kanskje hørt om Temu. Den nye Amazon-konkurrenten har hatt enorm vekst de siste årene, og er nå den mest nedlastede shopping-appen i Norge.

Temu sender daglig cirka 100 fly fullt med billige varer direkte fra fabrikker i Kina til ivrige forbrukere i vestlige land. En del av produktene er elektroniske dingser som styres av apper som kan samle inn data om forbrukeren.

Noen eksempler på data som kan spores

  • hvor du befinner deg
  • hvilke bilder og videor som er lagret på telefonen
  • hva som står i kalenderen
  • info fra mikrofon og lyd
  • hvilke Bluetooth-enheter som er i nærheten
  • hvilket telefonnummer enheten har og hvilke samtaler som foretas med enheten

"Alle apper kan få tilgang til personlige opplysninger gjennom mobiltelefonen, men det er særlig mistenkelig når tilgangene ikke står i forhold til hva som skal til for å få produktet til å fungere, og appene fra Temu-dingser skiller seg negativt ut sammenlignet med hva som ellers er vanlig."
- Joakim Valevatn, senior prosjektleder i Teknologirådet, i et debattinnlegg på digi.no.

 

Hvorfor får Temu oppmerksomhet?

I likhet med mange andre apper, samler Temu automatisk inn informasjon ved bruk av informasjonskapsler (cookies). Men det er flere ting som skiller Temu ut fra sine konkurrenter når det gjelder datasikkerhet.

  • Det virker som om appen mangler en mulighet for rapportering av sårbarheter.
  • Temu er en del av Pinduoduo app-økosystemet, og i mars 2024 suspenderte Google Pinduoduo fra appbutikken sin etter at den fant skadelig programvare i versjoner av den kinesiske appen.
  • Temu taper mellom 6 og 10,4 milliarder kroner hvert år - en pussig forretningsmodell.
  • Apple har tidligere sagt at Temu har brutt selskapets obligatoriske personvernregler.
  • Temu gir ikke brukere muligheten til å skru av sporing.
  • Informasjon om Temus rutiner for testing av datasikkerhet er ikke lett tilgjengelig.
  • Laurie Mercer (Hacker One) klarte ikke å finne noe organisert aktivitet (f.eks. PEN-testing, hackaton, ...)  for avsløring av sårbarheter, eller «Bug Bounty». Dette er noe konkurrenter som Zalando og Alibaba har.

Les mer - Clothilde Goujard (politico.eu) og Laurie Mercer (Hacker One)

 

Hvordan vil CRA hjelpe forbrukere?

Med Cyber Resilience Act, vil selskaper som Temu, med snart 75 millioner brukere i Europa, bli pålagt å selge kun produkter som har gjennomgått en risikovurdering, og har tilpasset sikkerhet etter risikonivå.

 

CRA - 6 nye regler for digitale produkter

  1. Produktsikkerheten skal tilpasses risikoen
  2. Oppdateringer må skje løpende
  3. Support i 10 år 
  4. Nye rapporteringskrav
  5. Etterlevelseserklæring
  6. Produktene skal CE-merkes

 

Regelverk fungerer best sammen med smarte forbrukere

Det er viktig å ha regelverk som beskytter forbrukere, men det er også alles ansvar å lære å ikke bli lurt. Snart er det Black Friday igjen, og forbrukere i Norge burde sjekke sikkerhetsnivået på dingser de planlegger å kjøpe.

Vi må alle lære å bli kresne med hensyn til hvem som får dataene våre, og vi må alle lære å si nei til funksjoner som ikke er nødvendig for at produktet skal fungere.

 

Tags:

Cyber Resilience Act
ViroSafe

Beskytt hele IT-miljø

ViroSafe tilbyr løsninger som er brukervennlige og markedsledende innenfor sine områder.

KONTAKT OSS!

93 40 93 00

 

Tilbake til hovedsiden for blog

Recent Posts