Nowa dyrektywa UE dotycząca wspólnych zasad cyberbezpieczeństwa

Nowa dyrektywa UE dotycząca wspólnych zasad cyberbezpieczeństwa

14 stycznia 2016 r. Komitet Rynku Wewnętrznego i Ochrony Konsumentów przyjął pierwsze Unijne zasady dotyczące cyberbezpieczeństwa. Firmy dostarczające tzw. usługi teleinformatyczne (essential services) np. dla sektora energetycznego, bankowego, transportowego i technologicznego będą musiały podjąć działania zwiększające odporność systemów na cyber ataki. Nowe zasady, które zostały przyjęte przez Komitet, będą musiały zostać jeszcze zatwierdzone przez Radę i Parlament Europejski, co wydaje się kwestią czasu, ponieważ sporne kwestie zostały rozwiązane.

Sieci i systemy informacyjne (Network and Informations Systems) bankowości internetowej, elektrowni, jak i również procesów kontrolnych na lotniskach, stają się głównymi celami hakerów. Najbardziej znanym w Polsce incydentem naruszenia bezpieczeństwa był atak na system naziemny Polskich Linii Lotniczych LOT w 2015r. W konsekwencji ataku lotnisko im. Fryderyka Chopina było sparaliżowane przez 6 godzin. Według danych ENISA (European Union Agency for Network and Information Security), incydenty bezpieczeństwa w rezultacie mogą być bardzo kosztowne i wynosić nawet do około 300 mld euro strat w ciągu roku. Obecnie Unia Europejska nie posiada ujednoliconych zasad cyber bezpieczeństwa, dlatego dyrektywa stanowi nową jakość w podejściu systemowym do tego problemu.

Według rocznego raportu CERT.pl, w Polsce znacząco wzrosła liczba ataków na korporacje i administracje samorządowe. Szacowane jest, że w ciągu 24 godzin w Polsce jest infekowanych około 300 tys. komputerów. W 2014 r. odnotowano także wysoką liczbę ataków na użytkowników bankowości internetowej. Raport odnotowuje ponadto znaczącą ilość ataków DDoS (Distributed Denial of Service, rozproszona odmowa usługi) na strony internetowe Prezydenta RP i Giełdy Papierów Wartościowych.

Celem nowej dyrektywy dotyczącej sieci i systemów informacyjnych jest ujednolicenie poziomu bezpieczeństwa w całej Unii Europejskiej. Dzięki dyrektywie Unia stworzy listę najważniejszych wrażliwych sektorów (infrastruktury krytycznej), którym usługodawcy będą musiały zapewnić wyższy poziom ochrony przed zagrożeniami. Przedsiębiorstwa będą również zobowiązane do składania raportów o incydentach do odpowiednich instytucji państwowych – Ministerstwa Cyfryzacji i Ministerstwa Spraw Wewnętrznych i Administracji.

Przed krajami członkowskimi stoi teraz wyzwanie w zakresie identyfikacji konkretnych podmiotów działających w obszarze tzw. essential services. Chodzi przede wszystkim o sektor energetyczny, transportowy, zdrowotny oraz finansowy. Głównymi kryteriami wyboru ma być określenie czy dana usługa posiada szczególne znaczenie dla społeczeństwa i gospodarki, w jakim stopniu jest zależna od systemów komputerowych i czy ewentualne incydenty wpłyną zakłócająco na świadczenie usług i bezpieczeństwo interesariuszy.

Duże firmy, takie jak eBay, Amazon i Google również będą musiały zapewnić bezpieczeństwo swojej infrastruktury zgodnie z nowymi zasadami. Dodatkowo będą zobowiązane do składania raportów o większych incydentach do odpowiednich instytucji państwowych. Natomiast przedsiębiorstwa, których obrót nie przekracza 10 milionów euro, będą zwolnione z implementacji nowej dyrektywy.

Mechanizmy współpracy

Aby zapewnić wysoki poziom bezpieczeństwa w Unii Europejskiej i zwiększyć zaufanie między krajami członkowskimi zostały zaproponowane zasady strategicznej współpracy polegającej na wymianie informacji i najlepszych praktykach. Państwa członkowskie będą musiały stworzyć Zespoły Reagowania na Incydenty Komputerowe (Computer Security Incident Response Team, CSIRT), których zadaniem będzie sprostanie zagrożeniom i incydentom cybernetycznym, udział w dialogu społecznym na temat bezpieczeństwa transgranicznego oraz stworzenie skoordynowanego mechanizmu odpowiedzi na ataki hakerów.

Przed wdrożeniem inicjatywy przez Radę i Parlament Europejski, dyrektywa zostanie poddana analizie prawnej. Dokument wejdzie w życie dwadzieścia dni po zatwierdzeniu i publikacji przez Dziennik Urzędowy Unii Europejskiej. Państwa członkowskie będą miały dwadzieścia jeden miesięcy na implementację dyrektywy do narodowego systemu prawnego i sześć dodatkowych miesięcy na stworzenie listy operatorów tzw. essential services.

Co to oznacza dla Polski

Nowa dyrektywa będzie istotnym impulsem dla Polski do rozwinięcia systemu cyberbezpieczeństwa bez możliwości odwlekania procesu. Po wprowadzeniu ustawy, polskie firmy w sektorach energetycznym, telekomunikacyjnym czy też transportowym będą musiały wdrożyć dodatkowe środki gwarantujące bezpieczeństwo usług. Dodatkowo polski rząd będzie musiał znaleźć odpowiednią ilość środków na zabezpieczenie usług na europejskim poziomie, co może wydłużyć wdrożenie nowej dyrektywy. Przyjęcie dokumentu, przewidywane na połowę 2016 r., będzie ważnym krokiem w kierunku ujednolicenia polityki cyberbezpieczeństwa w Europie, co znacząco podniesie poziom bezpieczeństwa strategicznych sektorów w Polsce.

Polska oprócz ustalenia listy essential services będzie musiała powołać instytucje ds. bezpieczeństwa sieci telekomunikacyjnych, mającą nadzorować proces wdrażania dyrektywy. Potrzeba będzie także strategia i plany współpracy w zakresie bezpieczeństwa głównych sektorów infrastruktury krytycznej. Ministerstwo Cyfryzacji planuje w pierwszej połowie 2016 r. stworzyć Ośrodek Koordynacji Działań związanych z ochroną cyberprzestrzeni, najprawdopodobniej odpowiadający za proces wdrażania dyrektywy. Ponadto Ministerstwo rozpocznie wkrótce prace nad Strategią Ochrony Cyberprzestrzeni Polski, co znacznie przyśpieszy implenetację dyrektywy.

Wnioski

W czasach gdy zwiększa się ilość ataków na infrastrukturę krytyczną, dyrektywa w sprawie bezpieczeństwa sieci i systemów informacyjnych stanowi szansę, a zarazem wyzwanie dla Polski w tym obszarze. Polski rząd powinien dokonać wszelkich starań, aby unijna dyrektywa została wdrożona w jak najkrótszym czasie. Współpraca sektora publicznego z prywatnym w wypracowaniu mechanizmów zwiększających bezpieczeństwo w cyberprzestrzeni znacząco zwiększy odporność systemów przed atakami.

Autor: Mateusz Krupczyński, Research Fellow Fundacji im. Kazimierza Pułaskiego

Zdjęcie: danielfoster437 via Foter.com / CC BY-NC-SA