Zgodność z aktem o cyberodporności

W stale zmieniającym się świecie, w którym nasilają się cyberataki, firmy muszą nie tylko reagować na bieżące zagrożenia, ale także podejmować proaktywne działania w celu zminimalizowania przyszłych ryzyk. Wraz z wprowadzeniem aktu w sprawie cyberodporności (CRA) pojawiają się nowe wyzwania i wymagania dotyczące bezpieczeństwa produktów cyfrowych. 

CRA określa konieczność przywrócenia zgodności w przypadku ujawnienia nieprzewidzianych zagrożeń bezpieczeństwa (art. 10, pkt 12) i określa konkretne wymagania bezpieczeństwa (załącznik 1, sekcja 1, pkt 3). Dla tych kluczowych wymagań CRA, Wibu-Systems oferuje już dziś gotowe rozwiązanie oparte o technologię CodeMeter, ponieważ kwestia bezpieczeństwa w cyfrowym łańcuchu dostaw znajduje się od lat w centrum naszych kompetencji.

Akt CRA wymaga kompleksowych środków ochronnych w celu zabezpieczenia integralności wszystkich przechowywanych, przesyłanych lub w inny sposób przetwarzanych danych, niezależnie od tego, czy są to dane osobowe, polecenia, oprogramowanie czy konfiguracje. W ten sposób podkreśla on wysokie ryzyko dla bezpieczeństwa związane z nieautoryzowanymi manipulacjami. Konkretnym przykładem jest manipulacja danymi konfiguracyjnymi w inteligentnych urządzeniach, co może prowadzić do powstania nieprawidłowych produktów i procesów.

Nasze rozwiązanie, CodeMeter Protection Suite, oferuje nie tylko techniki szyfrowania i obfuskacji, ale także wszechstronne kontrole integralności i środki zapobiegające debugowaniu. Są one kluczowe dla pełnej ochrony integralności oprogramowania i danych. Przykładowo, w branży produkcyjnej zastosowanie AxProtector, jednego z modułów pakietu Suite, chroni oprogramowanie sterujące zakładów produkcyjnych przed nieautoryzowaną ingerencją, zapewniając zarówno bezpieczeństwo zakładu, jak i jakość produktu.

W przypadku prób manipulacji, kluczowe znaczenie ma niezawodne wykrywanie i zapobieganie atakom. AxProtector może, w razie potrzeby, zatrzymać dalsze korzystanie z oprogramowania. Środki te zapewniają, że wszelkie zmiany są natychmiast wykrywane i obsłużone, minimalizując ryzyko manipulacji i zapewniając zgodność z regulacjami.

Zgodnie z przepisami ustawy o cyberodporności, produkty z elementami cyfrowymi muszą wdrażać odpowiednie mechanizmy ochrony przed nieautoryzowanym dostępem. Obejmuje to zaawansowane procedury uwierzytelniania oraz kompleksowe systemy zarządzania tożsamością i dostępem, mające na celu zapewnienie bezpieczeństwa i integralności produktów cyfrowych.

API CodeMeter, które oferuje operacje kryptograficzne, takie jak szyfrowanie symetryczne i asymetryczne, a także procedury podpisu cyfrowego, umożliwia elastyczną integrację z produktem. Składniki klucza, bezpiecznie przechowywane w chronionym repozytorium sprzętowym, jakim jest kontener licencji CodeMeter (CmDongles), są zapisane w sposób poufny, pozwalając na ich ochronę przed manipulacją. Chronione przed manipulacją są również powiązane certyfikaty, co pozwala uniknąć ataków typu spoofing. CodeMeter Certificate Vault zapewnia zaawansowane, zgodne ze standardami rozwiązanie do uwierzytelniania przy użyciu certyfikatów przechowywanych w certyfikowanym module kryptograficznym, wbudowanym w nasze klucze sprzętowe i spełniającym wymogi Common Criteria (CC) EAL 5+. W ten sposób zasoby cyfrowe mogą być zabezpieczane przed nieautoryzowanym dostępem, dzięki czemu wymagania dotyczące zgodności z regulacjami będą zawsze spełnione.

Jeśli po dostarczeniu oprogramowania będą przetwarzane dane osobowe, na przykład w zaimportowanych bazach danych klientów lub wstępnie ustawionych kontach użytkowników, dane te muszą być w przyszłości szczególnie chronione. Skutecznym sposobem jest szyfrowanie tych danych za pomocą najnowocześniejszych algorytmów. Nasz AxProtector, wraz z API CodeMeter, oferuje odpowiednie rozwiązania szyfrujące w celu skutecznego szyfrowania i podpisywania danych. Poufne klucze są przechowywane wyłącznie w naszym bezpiecznym kluczu sprzętowym, tak aby zapewnić maksymalne bezpieczeństwo.

Akt CRA wymaga od producentów podjęcia natychmiastowych działań naprawczych, jeśli produkty z elementami cyfrowymi nie spełniają podstawowych wymagań. Nasz system na potrzeby licencjonowania stanowi w tym zakresie skuteczne wsparcie. Jego wdrożenie daje możliwość elastycznego zarządzanie subskrypcjami oprogramowania.

W przypadku niezgodności lub zakończenia cyklu życia produktu, dostęp do danego oprogramowania można łatwo ograniczyć, nie odnawiając licencji subskrypcyjnej. W ten sposób możemy zagwarantować, że niezgodne oprogramowanie lub urządzenia zostaną wycofane z użytku w określonym czasie bez konieczności przeprowadzania złożonego procesu wycofywania.

Na potrzeby kontaktu z klientami dotkniętymi tym problemem, w celu skutecznego wycofania dotkniętego usterką produktu z rynku, niezbędna jest informacja kiedy i która wersja oprogramowania została im dostarczona. Dzięki CodeMeter License Central masz nieustanny wgląd w proces dystrybucji oprogramowania oraz niezbędne dane historyczne.

Nasza filozofia rozwoju produktów zawsze uwzględniała wysoki poziom minimalizacji danych. W związku z tym nasze rozwiązania licencyjne są zaprojektowane tak, aby dobrze integrować się z istniejącymi systemami bez generowania nadmiarowych danych. Dzięki temu, nasze produkty co do zasady wspierają obowiązek minimalizacji danych wymagany przez CRA.

Dla klientów korzystających obecnie ze złożonych systemów licencjonowania, które mogą nie do końca spełniać wymagania CRA, nasz CodeMeter License Central oferuje wydajne rozwiązanie. Dzięki centralizacji danych w systemie nadrzędnym, nasi klienci mogą uprościć zarządzanie nimi oraz zapewnić, że przetwarzane są tylko niezbędne dane. Poprawia to nie tylko przejrzystość i zarządzanie danymi licencyjnymi, ale także ułatwia zachowanie zgodności z wymogami prawnymi dotyczącymi minimalizacji danych. Dostępna jest również bezproblemowa integracja z istniejącymi systemami back-office wykorzystywanymi w firmie.