Komisja Europejska chce zmusić firmy do ujawniania naruszeń bezpieczeństwa IT

Nabieranie wody w usta to dość częsty sposób „rozwiązywania”problemów z bezpieczeństwem IT. W końcu dla firm z sektoratelekomunikacyjnego, bankowego czy medycznego przyznanie się dotego, że nieupoważnione osoby uzyskały dostęp do poufnychinformacji na ich serwerach jest czymś gorszym, niż dla mieszkankikonserwatywnego islamskiego kraju przyznanie się do zostania ofiarągwałtu. Komisji Europejskiej ta sytuacja zbytnio się nie podoba –chce zmusić zarówno prywatny biznes, jak i instytucje rządowe czysamorządowe do ujawniania wszelkich wypadków naruszeniazabezpieczeń ich systemów informatycznych.Przygotowywana dyrektywa jest częścią szerszej strategii onazwie AnOpen, Safe and Secure Cyberspace. Strategia, która wzywa teżwszystkie kraje Europy do powołania własnych zespołów szybkiegoreagowania w dziedzinie cyberzagrożeń (tzw. CERT-ów), doprowadzićma do sytuacji, w której operatorzy kluczowej infrastruktury zsektorów takich jak finanse, transport, energetyka czy medycyna,oraz dostawcy platform niezbędnych dla działania tzw. społeczeństwainformacyjnego (w tym sklepów z aplikacjami, systemów e-płatnościczy sieci społecznościowych), zobowiązani będą do wdrożeniapraktyk zarządzania ryzykiem i publicznego ujawniania wszelkichincydentów naruszenia bezpieczeństwa ich sieci.Dla instytucji rządowych taka dyrektywa wielkim novum niebędzie – większość krajów UE, wtym Polska, utrzymuje zespoły CERT, i działają one na wysokimpoziomie. Jednak dla prywatnego biznesu taka dyrektywa tonieprzyjemny szok: zmuszone będą przyznawać się do wszelkichproblemów ze swoim bezpieczeństwem, co oznacza większe koszty iPR-owe problemy. Do tej pory czyniły to niechętnie: w 2012 rokuniemal 57% firm w UE doświadczyło naruszenia bezpieczeństwa IT,które zaszkodziło ich działalności, jednak jedynie 26% wszystkichfirm z UE ma wdrożoną formalną politykę reagowania na takieincydenty (dane Eurostatu).[img=ue]Unia patrzy na sprawę jednak zszerszej perspektywy, jako element walki ze szpiegostwemprzemysłowym, w szczególności działaniami chińskich hakerów.Oficjalnie strategia nie wymienia źródeł szpiegowskich zagrożeńz nazwy, jednak Catherine Ashton, Wysoki przedstawiciel Unii do sprawzagranicznych i polityki bezpieczeństwa, stwierdziła, że UEmonitoruje sytuację i prowadzi rozmowy z Chinami, Indiami i StanamiZjednoczonymi. Działania szpiegowskie i cyberataki czynią bowiemcoraz większe szkody dla gospodarki unijnych krajów. W 2012 roku.Eksperci nie są jednak nowąstrategią jakoś szczególnie zachwyceni. Oceniają ją jako krok wdobrą stronę, jednak wciąż niewystarczający. Np. zdaniem JasonaHarta z firmy SafeNet, samo zgłaszanie włamań to tylkoczęść rozwiązania –znacznie ważniejsze są działania, dzięki którym nawetprzełamanie zabezpieczeń firmowych sieci nie pozwoli napastnikom nadostęp do danych. W praktyce oznaczałoby to jedno: obowiązkoweszyfrowanie wszystkich wrażliwych danych. Może zatem w kolejnejodsłonie unijnej strategii bezpieczeństwa znajdziemy dyrektywęnakazującą firmom szyfrowanie wszystkiego, co na swoich serwerachutrzymują?