Правительство Дании обновило ИБ-законодательство и возобновило работу Национального совета по кибербезопасности, китайские власти ополчились на Intel, а европейский NIS2 грозит штрафами африканским корпорациям.
Дания вернулась к стратегии кибербезопасности
Правительство Дании возобновило работу Национального совета по кибербезопасности (NCSC) в рамках новой миссии по укреплению возможностей цифровой безопасности страны во всех важнейших областях экономики и общества.
Новый устав NCSC направлен на усиление роли агентства как ключевого советника правительства по основным технологическим разработкам и политике. В рамках обновленной миссии NCSC поручено выявлять новые методы повышения уровня цифровой безопасности и обмена данными между государственными органами, научными и исследовательскими организациями, деловым и промышленным секторами Дании.
Перезапуск происходит одновременно с другими инициативами государства. Обновлена стратегия цифровизации правительства на 2024-2025 годы, она оценивается в 100 млн евро, и запущен проект «Руководство по искусственному интеллекту» (AIG) Агентства цифрового правительства (ADG), который предоставляет местным органам власти, компаниям частного сектора и гражданам расширенные возможности для тестирования и работы с генеративным ИИ (GenAI).
Консультативная группа NCSC состоит из 19 членов. В нее вошли эксперты в области ИТ и кибербезопасности, представляющие ведущие корпорации, университеты и муниципалитетов Дании. Среди организаций – членов NCSC выделяют телекоммуникационную компанию TDC, отраслевое сообщество Danish Cloud Community, фармацевтическую компанию Novo Nordisk, Университет Ольборга, Nordea Bank, группу по киберрискам и устойчивости аудиторской компании Deloitte Denmark, администрацию области Северная Ютландия и разработчика альтернативных источников энергии Eurowind Energy. Группа экспертов будет работать в рамках обновленной и значительно расширенной структуры полномочий до конца 2027 г.
Ключевая цель обновленного NCSC – использование мандата для поддержки конкретных инициатив, которые приведут к повышению цифровой безопасности в датском обществе.
NCSC была создана в 2019 г. для изучения государственно-частного партнерства, направленного на развитие цифровой безопасности Дании. Организация стала ответом на растущую проблему защиты критически важной национальной инфраструктуры от вредоносных и разрушительных кибератак.
В рамках новых полномочий NCSC сохраняет и усиливает полномочия по построению государственно-частного сотрудничества, развития отношений в сферах цифровой и киберзащиты. Основное внимание уделяется организации сотрудничества между госструктурами, которым поручены функции национальной безопасности, и малыми и средними предприятиями всех форм собственности. Работа NCSC потребует от организации тесного взаимодействия с государственными ADG и Датским центром кибербезопасности (CCS).
По сути, NCSC предоставляет обновленный и поддерживаемый государством национальный ресурс Дании для максимального повышения единства целей в киберсфере между государственным и частным секторами, заявила Мари Бьерре, министр цифровизации королевства. «Перезапуск NCSC создал в Дании усиленный Совет по кибербезопасности, который может сыграть ведущую роль в оказании помощи бизнесу, в использовании и получении выгоды от повышенного уровня цифровой безопасности. Нам нужно создать условия, чтобы цифровизация работала на нас как на страну, и сделать ее максимально безопасной», – отметила министр. Необходимость повышения датского потенциала в области кибербезопасности разделяют ее соседи по Северной Европе: Финляндия, Швеция и Норвегия.
Перезагрузка NCSC последовала за июньской инициативой ADG по созданию дорожной карты для государственных органов, частных компаний и граждан, которые могут захотеть протестировать и поработать с GenAI. Инициатива включает серию из трех руководств, которые предлагают доступ к инструментам, необходимым для интеграции ИИ в бизнес-процессы и повседневную жизнь.
На инициативу ADG по созданию дорожной карты генеративного ИИ повлияло сотрудничество с Датским агентством по защите данных (DDPA). В марте 2024 г. агентства создали нормативную песочницу для ИИ, которая предлагает компаниям частного и государственного сектора доступ к экспертным знаниям и рекомендациям по разработке и использованию услуг ИИ. Инструменты, предоставляемые в регуляторной песочнице, основаны на Общих правилах защиты данных (GDPR). Со временем они будут развиваться и включат требования Закона ЕС об искусственном интеллекте. В Дании ADG является базовой структурой ЕС для реализации этого Закона.
Условия, при которых GenAI развивается в Дании, изложены в новой версии Национальной стратегии цифровизации (NSD), одобренной парламентом в феврале 2024 г. Стратегия предусматривает выделение 100 млн евро на прямые инвестиции в цифровизацию как в государственном, так и в частном секторе в период 2024-2027 годов. Она включает 29 крупных инициатив в области ИИ, цифровой трансформации во всех отраслях экономики, на малых и средних предприятиях, повышения уровня цифрового образования, развития цифровых навыков рабочей силы. В области искусственного интеллекта до 2027 г. выделено 9 млн евро на реализацию новой структуры по разработке услуг для продвижения использования ИИ. 3 млн евро зарезервированы в бюджете для поддержания регуляторной песочницы для компаний и государственных органов, работающих над разработкой услуг ИИ в соответствии с Законом ЕС об ИИ.
Европейские правила кибербеза затронули Африку
Недавно вступившая в силу европейская «Директива о безопасности сетей и информации» (NIS2) повысила планку для африканских предприятий в плане соответствия строгим стандартам кибербезопасности Европейского Союза. Директива основана на первоначальной Директиве NIS1, принятой в 2016 г., и расширяет сферу ее действия, охватывая более широкий спектр секторов, включая энергетику, банковское дело, транспорт, цифровую инфраструктуру, здравоохранение, производство продуктов питания и научные исследования. NIS2 устанавливает строгие требования к кибербезопасности, включая усиление ответственности руководства, предоставление отчетности властям, управление рисками и планирование непрерывности бизнеса, что подвергает африканские компании, работающие с ЕС, более пристальному вниманию.
Под действие NIS2 попадают более 80% европейских предприятий, законодательство распространяется на партнеров по глобальной цепочке поставок, включая многие компании в Африке.
Соблюдение требований NIS2 имеет решающее значение для континента, поскольку ЕС остается крупнейшим торговым партнером Африки: с Евросоюзом заключено более 18 соглашений об экономическом партнерстве, а объем торговли составляет миллиарды долларов в год. Африканские предприятия должны соблюдать требования NIS2, чтобы оставаться в списке цепочки поставок, что требует соблюдения строгих мер кибербезопасности.
Эксперты в области международных отношений и кибербезопасности уже призвали африканские компании оперативно выполнить новую директиву ЕС по кибербезопасности. Они отмечают, что Европа является ведущим торговым партнером Африки. Компаниям из экономически развитых регионов, таких как Южная Африка, Кения и Нигерия, необходимо понимать далеко идущие последствия NIS2. «Соблюдение стандартов — это не просто соответствие стандартам ЕС, это обеспечение их будущего на глобализованном рынке. Несоблюдение приведет не только к большим штрафам, но и к потенциальной потере критически важных торговых партнерств со странами-членами ЕС», – считает Коллинс Эмаду, глава компании Westcon Group, контрольный пакет акций которой принадлежит южноафриканской компании Datatec – глобального поставщика сетевых технологий. Иссам Эль Хаддиуи, представитель компании Check Point Software Technologies в регионе, заявил, что, повышая киберготовность, африканские компании не только соблюдают международные стандарты, но и защищают свои данные, операции и репутацию от возникающих угроз.
В настоящее время предполагаемый финансовый ущерб от киберпреступности в регионе составляет более 4 млрд долларов, что составляет около 10% общего ВВП Африки. NIS2 вводит персональную ответственность для руководителей предприятий в случае кибератаки. Они могут быть привлечены к финансовой ответственности за нарушения, штрафы могут составить до 7 млн евро или 1,4% от годового оборота корпорации.
Кусают руку, которая кормит
Ассоциация кибербезопасности Китая призвала начать систематический анализ потенциальных рисков кибербезопасности в продуктах Intel. Она назвала четыре причины для инициализации систематических проверок:
Ассоциация призвала провести проверку кибербезопасности продуктов Intel, продаваемых в Китае, для эффективной защиты национальной безопасности КНР, отстаивания законных прав и интересов потребителей.
17 октября Intel ответила на требования китайских потребителей. Как многонациональная корпорация, работающая в Китае уже почти 40 лет, компания строго соблюдает местные законы и нормативные акты. «Безопасность и качество продукции являются нашими главными приоритетами. Мы продолжаем тесно сотрудничать с заказчиками и отраслевыми партнерами для соблюдения самых высоких стандартов. Мы будем взаимодействовать с соответствующими органами власти для устранения любых проблем и подтвердим нашу приверженность безопасности и качеству продукции», – говорится в заявлении Intel, которое приводит китайский портал Global Times.
Кибербезопасность является важной частью национальной безопасности. За последние годы Китай, по сути, создал экосистему для управления киберпространством и поддержания кибербезопасности в соответствии с законами. Таким образом, власти могут провести, в соответствии с законодательством, проверку таких компаний, как Intel, которые столкнулись с многочисленными уязвимостями, считают опрошенные Global Times Лю эксперты. Они отметили, что Китай проводит политику открытости и юридической защиты прав и интересов иностранных инвесторов при условии, что все предприятия, работающие в Китае, соблюдают местные законы и нормативные акты.
По данным Ассоциация кибербезопасности КНР, в 2023 г. в центральных процессорах Intel были обнаружены уязвимости, включая Downfall и Reptar, которые при определенных условиях могут привести к утечке конфиденциальных данных. В этом году в процессорах Intel обнаружены уязвимости GhostRace, NativeBHI и Indirector. Недостатки в управлении качеством продукции и безопасностью Intel свидетельствуют о ее крайне безответственном отношении к клиентам, считают китайские эксперты. Они обращают внимание на то, что ранее правительство США, приняв «Закон о чипах и науке», несправедливо исключило и подавило полупроводниковую промышленность КНР. Intel является крупнейшим бенефициаром этого закона. Он стал крупнейшей компанией, участвующей в разработке чипов в США, получив субсидии на сумму 8,5 млрд долларов и кредиты под низкие проценты на сумму 11 млрд долларов.
Еще одна вина компании в том, что в финансовых отчетах она перечисляет Тайвань, который КНР считает своей территорией, наряду с Китаем, США и Сингапуром. Более того, она активно прекращает поставки и обслуживание китайских компаний, таких как Huawei и ZTE, что является типичным примером «кусания руки, которая ее кормит», отметили в ассоциации.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных