16

Nasze dane mają być jeszcze bezpieczniejsze, dzięki nowej dyrektywie UE

Internet to nie tylko miejsce, w którym egzystujemy dla rozrywki. Na całym świecie coraz więcej osób przenosi biznes do internetu i korzysta z jego praktycznie nieograniczonych zasobów. Internet dla większości z nas stał się pewnym ułatwieniem, z którego chętnie korzystamy. Przyznam szczerze, że odkąd pojawiła się możliwość przelewów internetowych nie byłem ani razu w placówce […]

Internet to nie tylko miejsce, w którym egzystujemy dla rozrywki. Na całym świecie coraz więcej osób przenosi biznes do internetu i korzysta z jego praktycznie nieograniczonych zasobów. Internet dla większości z nas stał się pewnym ułatwieniem, z którego chętnie korzystamy. Przyznam szczerze, że odkąd pojawiła się możliwość przelewów internetowych nie byłem ani razu w placówce banku. Trzeba jednak pamiętać, że gdzieś na świecie są ludzie, którzy tylko czyhają na nasze pieniądze i dane osobowe, a są nimi hakerzy. Dlatego Unia Europejska przygotowała strategię działań przeciwko cyberprzestępczości.

Rok 2012 obfitował w różne ataki hakerskie. Wypada chociaż wspomnieć wydarzenia, które miały miejsce podczas debaty nad wdrożeniem ACTA, SOPA i PIPA. To właśnie w styczniu ubiegłego roku odbyło się kilka ataków na terenie całej Europy, podczas których zostały zaatakowane witryny korporacji i państwowych organów w takich krajach jak Francja, Polska, Irlandia i Słowienia. W naszym kraju padły witryny ABW, Kancelarii Premiera, Sejmu i kilku innych instytucji państwowych.

Pomijam już fakt, że w zeszłym roku doszło do dużego wycieku danych osobowych z jednego z większych banków w Polsce czyli banku Pekao SA. Całkiem niedawno odbył się także atak hakerski na serwery Netii, podczas którego zostały wykradzione dane osobowe jej abonentów. W tej sprawie najciekawsze jest to, że Netia starała się zataić ten fakt przed swoimi klientami. Netia chciała po prostu chronić swoją firmę przed kryzysem w mediach, a wyszła na tym jak Zabłocki na mydle.

Internauci od zarania internetu są narażeni na różne próby wykradania ich danych. Warto rzucić czasem okiem na niebezpiecznik.pl i poczytać co może nas spotkać. By zapewnić nam i naszym danym większe bezpieczeństwo w internecie Unia Europejska postanowiła stworzyć specjalną strategię i wprowadzić dyrektywę o cyber bezpieczeństwie.

W dniu wczorajszym Komisja Europejska wraz z Wysokim Przedstawicielem Spraw Zagranicznych i Polityki Bezpieczeństwa postanowiła wdrożyć nową strategię cyber bezpieczeństwa. W tym celu przedstawiła projekt dyrektywy, który mówi o sposobie realizacji samej strategii i sposobie jej wdrożenia na terenie wszystkich krajów Unii Europejskiej.

W dyrektywie tej pojawił się zapis, który stanowi, że każdy kraj członkowski powinien stworzyć specjalne biuro czyli CERT – Computer Emergency Response Team. CERT miałby być sztabem kryzysowym, który zajmowałby się wszystkimi sprawami ataków hakerskich, a także badać sprawy związane z wyciekami danych osobowych i atakami malware. Dodatkowo, CERT miałby za zadanie przygotować sposób radzenia sobie z takimi atakami, czyli po prostu przygotować plan zarządzania kryzysowego w razie ataków hakerskich.

Poza tymi działaniami, biuro to miałoby także „dokręcić śrubę” sektorowi prywatnemu, a dokładnie firmom, które mają dużą styczność z naszymi danymi osobowymi. Przede wszystkim chodzi o banki, które są najczęściej atakowanymi podmiotami prywatnymi, bo posiadają największe zasoby danych osobowych. Generalnie chodzi o to, by banki zaczęły informować o próbach ataku lub o udanych atakach bądź wyciekach danych osobowych, a nie zatajały tych informacji przed opinią publiczną.

Problem w tym, że podmioty prywatne mogą nie chcieć współpracować w tej dziedzinie. Powodem tego może być po prostu strach przed utratą klientów i nadszarpnięciem wizerunku marki. Zasadniczo nikt nie chce ujawniać swojej słabości, bo może to spowodować negatywny oddźwięk w mediach, utratę zaufania do marki, straty na giełdzie i ucieczkę klientów do konkurencji.

Sama Neelie Kroes, wiceprzewodniczący Komisji Europejskiej podczas swojego wystąpienia  powiedział: „Wiele podmiotów boi się ujawniać informacje o ataku na ich bazy danych, to logiczne. Jednak z drugiej strony nikt nie może zatajać takich informacji przed konsumentami i powiedzieć: To normalne nic się nie stało. Trzeba przeciwdziałać takim atakom, a jeżeli już raz do nich dojdzie trzeba wyciągnąć wnioski i czegoś się nauczyć”

 

EU Cyber Strategy, February 2013 by

W dniu dzisiejszym odbędzie się konferencja prasowa, którą poprowadzi właśnie Neelie Kroes wraz z Catherine Ashton, która jest Wysokim Przedstawicielem Spraw Zagranicznych i Polityki Bezpieczeństwa oraz z Cecilia Malmstrom, która jest członkiem Europejskiej Komisji Spraw Wewnętrznych. Podczas konferencji zostanie zaprezentowana strategia walki z cyber przestępczością i projekt dyrektywy, który ma pozwolić wdrożyć strategię. Strategia została przygotowana na podstawie prac agencji ENISA, czyli Europejskiej Agencji Bezpieczeństwa Sieci i Informacji. W raporcie, który pojawił się w styczniu bieżącego roku możemy znaleźć informacje o trendach w cyberprzestęczości, oraz informacje o tym jakie branże i gałęzie gospodarki są najbardziej narażone na cyberataki.

Główne założenia strategii i projektu dyrektywy mówią że:

– Każdy z krajów członkowskich powinien stworzyć na terenie swojego kraju CERT (Computer Emergency Response Team).

– Każde państwo członkowskie musi wyznaczyć kompetentny organ, który zajmowałby się bezpieczeństwem danych i sieci, któremu to podmioty prywatne mogłyby zgłaszać naruszenia ich bezpieczeństwa czyt. ataków hakerskich. Wyznaczone władze miałyby za zadanie opracowanie planów zarządzania kryzysowego w wypadku ataków hakerskich dla podmiotów prywatnych. (Niestety, nie doprecyzowano czy tworzeniem planów i poprawą bezpieczeństwa ma się zająć sam organ rządowy czy mogą to być np. firmy prywatne specjalizujące się w bezpieczeństwie w sieci).

– Organ wyznaczony przez rząd miałby za zadanie nawiązać ścisłą współpracę z agencją ENISA, w celu podniesienia poziomu bezpieczeństwa sieci w całej Europie.

– Sektory, które narażone są na wysokie ryzyko ataku hakerskiego tj. sektor bankowy, sektor transportu publicznego, sektor energetyczny, sektor służby zdrowia, sektor administracji publicznej, oraz dostawcy internetu musiałyby nawiązać ścisłą współpracę z CERT. Współpraca ta opierałaby się na wypracowaniu i wdrożeniu planów zarządzania kryzysowego, oraz raportowaniu  o każdym incydencie, który miałby znamiona cyberprzestępstwa. Te zalecenia są tak jakby rozszerzeniem tych, które można znaleźć  w dyrektywie o komunikacji elektronicznej.

Celem tego wszystkiego jest poprawa bezpieczeństwa internetu i naszych danych w całej Unii Europejskiej. Z tego co zostało podane do informacji, zasadniczo Unia nie chce wymuszać konkretnych działań czy metod państwom członkowskim, a jedynie wskazać drogę i jej cel. Pomysłodawcy strategii oraz dyrektywy są świadomi wagi jaką ma internet i dane, które w nim egzystują. Są także świadomi tego, że współpraca miedzy krajami może nie wystarczy. Dlatego też, prawdopodobnie Unia Europejska poprosi także o pomoc NATO w tej sprawie.

Z drugiej strony trzeba się zastanowić nad rolą Chin w tym wszystkim. Na ile kraje członkowskie będą w stanie samodzielnie negocjować z władzami innych krajów? Chiny są jednym z krajów, z których najczęściej dochodzi do cyberataków. Jak w taki sytuacjach powinien zachować się kraj członkowski? Czy powinien na własną rękę negocjować z rządem Chińskim i próbować dochodzić źródła ataków? Czy może powinien się zwrócić do Unii o pomoc w negocjacjach?

Nie zmienia to jednak faktu, że przede wszystkim organizacje porządku publicznego jak i prywatne firmy powinny zadbać o jak największe bezpieczeństwo danych, które zostały im powierzone. Możliwe, że postawnie CERT będzie krokiem milowym w zacieśnieniu współpracy i stworzeniu planów zarządzania kryzysowego?

 

 

EU Cybersecurity Directive, Feb 2013 by

 

Warto też rzucić okiem na wyniki badania: Cyberprzestępczość: Obawy obywateli UE dotyczące ochrony danych osobowych oraz płatności online”