Cyberbezpieczeństwo: Europa potrzebuje dyrektywy

Przeczytaj także: Bezpieczeństwo sieci w 2012

O niejednolitości europejskiej cyberochrony i potrzebie wprowadzenia standardów w zakresie bezpieczeństwa przekonany jest Thomas Boué, dyrektor ds. polityki BSA na kraje EMEA.

Cyberochrona w Europie jest niejednolita. Większość krajów członkowskich deklaruje, że cyberbezpieczeństwo ma dla nich priorytetowe znaczenie, ale niekonsekwentne podejście sprawia, że cały wspólny rynek jest podatny na zagrożenia. Dyrektywa w sprawie bezpieczeństwa sieci i informacji mogłaby zwiększyć poziom cyberbezpieczeństwa i cyberodporności, gdyby skupiła się na ujednoliceniu kluczowej europejskiej infrastruktury i wprowadziła zharmonizowane procesy raportowania oraz współdzielenia informacji na całym wspólnym rynku – mówi.

Kluczowe ustalenia raportu:

• Większość krajów członkowskich UE uznaje cyberbezpieczeństwo za sprawę priorytetową – zwłaszcza odnośnie infrastruktury krytycznej.
• Polityka w zakresie cyberbezpieczeństwa, ramy prawne i możliwości operacyjne poszczególnych krajów członkowskich znacznie się różnią, co prowadzi do poważnych luk w zabezpieczeniach.
• Niemal wszystkie kraje członkowskie utworzyły zespoły, których zadaniem jest reagowanie na incydenty naruszenia bezpieczeństwa, jednak zadania i doświadczenie tych zespołów bywają różne.
• Daje się zauważyć niepokojący brak systematycznej współpracy publiczno-prywatnej między rządami UE a podmiotami pozarządowymi i partnerami międzynarodowymi.

Opublikowany przez BSA raport dowodzi, że choć Polska posiada kompleksową strategię dotyczącą cyberbezpieczeństwa, to większość rekomendacji jest nadal na etapie wdrażania. Ramy prawne dotyczące cyberbezpieczeństwa nie są więc jeszcze w pełni rozwinięte. Polska dysponuje kilkoma zespołami reagowania, w tym m.in. CERT.GOV.PL, które obejmują podmioty administracji publicznej i infrastruktury krytycznej.

Raport wzywa kraje członkowskie UE do skupienia się na czterech kluczowych elementach prawodawstwa w zakresie cyberbezpieczeństwa:

• Stworzyć i utrzymywać kompleksowe ramy prawno-polityczne oparte na narodowej strategii w zakresie bezpieczeństwa, uzupełnionej planami dla sektorów.
• Stworzyć jednostki operacyjne z jasno określonym zakresem obowiązków, które będą zajmować się bezpieczeństwem komputerowym, sytuacjami kryzysowymi i reagowaniem na incydenty.
• Budować zaufanie i pracować wspólnie z sektorem prywatnym, organizacjami pozarządowymi oraz partnerami i sojusznikami międzynarodowymi.
• Wspierać działania edukacyjne i uświadamianie zagrożeń oraz priorytetów w zakresie cyberbezpieczeństwa.

Jednocześnie raport ostrzega europejskie rządy przed niepotrzebnym protekcjonizmem, który może zmniejszać, zamiast zwiększać poziom cyberbezpieczeństwa. Mówiąc ściślej, kraje członkowskie powinny:

• Unikać niepotrzebnych lub nieuzasadnionych wymogów, które ograniczają swobodę wyboru i zwiększają koszty, takich jak: unikatowe i specyficzne dla danego kraju certyfikacje i testy, nakazy odnośnie lokalnej treści, obowiązek ujawniania poufnych informacji (na przykład kodu źródłowego lub kluczy szyfrowania) oraz ograniczenia praw własności intelektualnej dla podmiotów zagranicznych.
• Powstrzymać się przed manipulowaniem normami, a zamiast tego wspierać uznawane międzynarodowo, branżowe standardy techniczne.
• Unikać reguł lokalizacji danych i zapewnić swobodny przepływ danych między rynkami.
• Wystrzegać się preferowania rodzimych technologii, które utrudniają międzynarodową konkurencję i szkodzą globalnej innowacyjności.