Сигурност

ЕС работи по директива за мрежова и информационна сигурност

Computer World

От 11 до 13 ноември  2013 година в гр. София, хотел „Хилтън” за трета поредна година се проведе “Регионален форум по киберсигурност и киберпрестъпност за държавите от Югоизточна Европа”. В рамките на три дни представители на водещи информационни и комуникационни компании, финансови организации, компании от фармацевтичния и енергийния сектор, доставчици на комунални услуги, неправителствени организации обменяха познания и добри практики с ръководни служители на правоохранителните органи от Югоизточна Европа, Обединеното кралство, САЩ, Русия, Украйна и страните-партньори от Залцбургския форум. Водещите експерти в областта на киберсигурността и противодействието на киберпрестъпленията Нийл Робинсън и Ханс Грау бяха лектори на форума. И двамата споделиха възторга си от ентусиазма, който участниците от публичния и частния сектор във форума показаха относно възможността за съвместна работа и набелязване на механизми за защита и подобряване на киберсигурността.

Нийл Робинсън, научен ръководител в корпорация RAND Europe.Нийл Робинсън е научен ръководител в корпорация RAND Europe и работи в областта на европейската политика за киберсигурност, киберзащита и социално-икономическите аспекти на информационното общество. В момента той ръководи проучване към  Европейската агенция по отбрана (EDA), оценяващо степента на европейската военна киберотбрана. През 2012 г. е работил върху изследване за Европейската комисия, което допринася за създаването на Европейския център по киберпрестъпления (EC3) към Европол. Участвал е в проект, изследващ сигурността, неприкосновеността на данните и защитата в облачните технологии, и по-конкретно – кражбата на идентичност, киберзастрахователните пазари и злоупотребите с компютри и мрежи. Робинсън е работил по проект на Европейска агенция за мрежова и информационна сигурност (ENISA) за обмяна на информация между центровете за действие при инциденти в информационната сигурност (CERT). Консултант е на редица европейски правителствени организации.

Ханс Грау, учредител на адвокатска кантора time.lex.Ханс Грау се присъединява към адвокатската колегия в Брюксел през май 2005 г. Участва в редица международни изследвания на политиките в областта на ИКТ, основно – за Европейската комисия. През юли 2007 г. учредява кантората time.lex, специализирана в областта на ИТ. Притежава дългогодишен опит в проучването и анализа на международната правна и административна рамка и политики и изготвяне на препоръки и мерки, които да намалят пречките пред правилното функциониране на вътрешния пазар. Най-скорошното му проучване за Европейската комисия е върху електронния подпис, управлението на електронната идентичност, защитата на данни, киберпрестъпленията и облачните технологии. Ханс е член на Комитета по информационни и комуникационни технологии към Съвета на адвокатските колегии и правните общности в Европа и Комитета по информационни технологии към Фламандската адвокатска колегия.

Целта на предложения проект на Директива на Европейския парламент и на Съвета относно мерките за гарантиране на високо общо ниво на мрежова и информационна сигурност в ЕС е да осигури високо общо ниво на мрежова и информационна сигурност (NIS) чрез подобряване на сигурността на Интернет и на частните мрежи и информационни системи. Това ще се постигне с изисквания към държавите-членки на ЕС да повишат подготвеността си и да подобрят сътрудничеството помежду си, както и чрез изисквания към операторите на критични инфраструктури, каквито са енергетиката и транспорта, и ключови доставчици на услуги на информационното общество (платформи за е-търговия, социални мрежи и т.н.), както и публични администрации да въведат подходящите стъпки по управление на рисковете за сигурността  и да докладват сериозни инциденти на националните компетентни власти. Бихте ли описали основните изисквания и задължения, произтичащи от тази проектодиректива за националните институции и частния сектор?

- Нийл Робинсън: Задълженията, произтичащи от тази директива, покриват както националните институции, така и частния сектор.
Най-общо, задълженията биха могли да се сведат до две области.
Що се отнася до правителството, ако директивата бъде приета в настоящата й форма, представена през февруари 2013 г., всяка от държавите-членки на ЕС ще трябва да определят компетентен орган по въпросите на киберсигурността на национално ниво, който да бъде и единно звено за контакт (Single Point of Contact) в тази област, както и екип за спешно реагиране на национално ниво (CERT), който обаче не е задължително да е част от компетентния орган.

Относно предприятията, те ще бъдат задължени да докладват сериозните инциденти в областта на киберсигурността. Този механизъм за докладване засяга сектори, включващи организации-оператори на  критични инфраструктури, като енергийният, финансовият, транспортният, също така публичната администрация, както и група от индустрии, наречени Internet enablers – или доставчици на услуги на информационното общество, като социалните мрежи, портали за електронни разплащания, търсачки, облачни услуги. В черновата на директивата се приема идеята, че е необходимо въвеждането на задължителна система, защото компаниите не докладват съществени инциденти, свързани с информационната сигурност. Затова проектодирективата приема съществуващата рамка от телекомуникационния пакет като модел за въвеждане в петте основни сектора и в публичната администрация.

Държавните организации в рамките на ЕС ще трябва също да докладват инциденти, ако те прескочат определен праг. Те трябва и да провеждат образователни и обучителни инициативи, да се уверяват, че различните заинтересовани страни  осъществяват координация и комуникация, и др.

- Ханс Грау: Първоначалната идея на проектодирективата беше да гарантира, че съществуващите задължения, отнасящи се до телеком сектора, за мобилните оператори, ще се прилагат по-широко и в ИКТ сектора. В случай, че мобилните оператори загубят данни на потребителите, те трябва да докладват пред съответната национална институция, но такова условие не важи за ИКТ сектора. Например, ако Skype загуби клиентски данни, не трябва да уведомява никого. Ако обаче телефонната компания загуби данните ви, ще трябва да уведоми някого.
Идеята е да се хармонизира законодателната рамка, като се гарантира, че всеки ще предприеме съответните мерки, за да предотврати загубата на потребителска информация и ако това се случи, да е длъжен да уведоми отговорните власти.

Предполагам, че бизнес средите не са особено доволни от изискванията, които Проектодирективата на Европейския парламент и на Съвета относно мерките за гарантиране на високо общо ниво на мрежова и информационна сигурност в ЕС предвижда да въведе спрямо частния сектор. Усещате ли вече съпротива срещу новата проекторегулация, има ли вече лобита против нея?

- Нийл Робинсън: Най-сериозна е съпротивата от частния сектор спрямо въвеждането на задължителна система, така че компаниите да докладват съществени инциденти, свързани с информационната сигурност. Ние проведохме напълно независимо проучване, което не беше обвързано с публична или частна организация. Това, което установихме по въпроса дали да се приеме напълно доброволна или напълно задължителна система, не показа категорично превес на единия или другия вариант. Разкрихме, че в два от секторите, обект на изследването – авиация и здравеопазване, се наблюдава смесен подход, защото се ползват и двата механизма. Крайният извод беше, че все още е твърде рано да се определи кой от двата варианта – задължителния или доброволния режим – е по-добър. Ние отворихме дискусия за това, че е по-добре да се върнем една крачка назад и да преценим кое е по-доброто решение в дългосрочен план, защото мисля, че трябва да се извърши по-обстоен анализ, за да се прецени кой вариант ще е по-ефективен.

- Ханс Грау: Определено вече има лобита от страна на частния бизнес срещу новите регулации.
Моята компания е адвокатска кантора. Работим за ЕК  често по подобни директиви, както работим и за частния сектор. Компаниите трябва да имат политики за управление на инциденти, свързани с информационната сигурност. Ние сме участвали в писането на много от тях. Работата на адвокатите е именно да помогне на фирмите да отговорят на законовите изисквания, но и да не предоставят повече информация, отколкото реално се изисква от тях съгласно действащите разпоредби. В този смисъл наистина, ако тези процеси се оставят в ръцете на адвокати, те ще се втренчат в необходимите мерки за спазване на закона, но може да не предоставят най-полезната информация.

От друга страна, разбирам притесненията на ЕК. Ще дам конкретен пример с наш клиент в Белгия, чиято компютърна система беше хакната преди няколко седмици от групата на Анонимните, като записите на 60 000 души бяха откраднати от базата данни. Фирмата работи в сектор, за който вече има задължение за уведомяване на Комисията за защита на данните в Белгия, съгласно нововъведените регулации. Въпреки това, те обсъждаха дали ще регистрират този пробив в сигурността пред властите, тъй като въпреки че по закон са длъжни да го направят, публичното обявяване на този случай може да доведе до загуба на доверие и на договори с клиенти, защото хората няма да искат да работят с тях в бъдеще. В крайна сметка те приеха законовия път и докладваха инцидента. Това е случай, който доказва, че ако разчитахме на доброволен, а не на задължителен режим за докладване на инциденти, организацията нямаше да обяви този случай.

Налице е специфика на случаите за отделните индустрии. В този смисъл, има по-голяма вероятност авиационната индустрия, която така или иначе подлежи на лицензионен режим, да докладва настъпили инциденти, защото се предполага, че органът, пред който ще докладва, ще е запознат с особеностите на този сектор. Ако обаче един-единствен орган във всяка държава членка на ЕС отговаря за всички инциденти във всички индустрии, не е възможно той да е запознат в дълбочина със специфичните за всяка индустрия елементи. Например, ако се случи проблем с информационната сигурност в болница, и в хостинг компания, ситуациите са различни. Може да се стигне до нежелание напълно различни по размер компании, представители на различни сектори, да докладват всички случаи до една и съща институция, която играе ролята на единно звено за контакт.

- Нийл Робинсън: Възникват два казуса. Единият е свързан с капацитета в рамките на държавната политическа система, която оперира тази рамка. Така например, Европейската агенция за мрежова информационна сигурност  - ENISA, която в момента се помещава на остров Крит в Гърция, в момента разполага с ограничен брой служители, и ако Проектодирективата относно мерките за гарантиране на високо общо ниво на мрежова и информационна сигурност в ЕС бъде приета, това ще повдигне въпроса дали агенцията ще разполага с необходимия брой специалисти, за да изпълнява новите си задачи.

Вторият аспект е свързан с поведението и правдоподобността. Все повече хора споделят и разкриват информация. Хората, с които споделят информацията, трябва да бъдат надеждни в техните очи. Виждаме това по отношение на работата, която сме свършили с екипите за реагиране при извънредни ситуации, при които има възниква огромна дискусия относно техническата надеждност между инженерите и специалистите по киберсигурността.

Съвсем различна е ситуацията при правоприлагането, защото там има напрежение между общността на екипите за реагиране при извънредни ситуации, свързани с компютърни атаки, и правоприлагащите институции.

Проектодирективата на Европейския парламент и на Съвета относно мерките за гарантиране на високо общо ниво на мрежова и информационна сигурност в ЕС беше представена във връзка със съвместното съобщение на ЕК и на Върховният представител на ЕС по въпросите на външните работи и политиката по сигурност относно Европейска стратегия по киберсигурност. Ако директивата бъде одобрена през 2014 г., адаптирането на съществуващата инфраструктура би започнало през 2015 г. Какви са основните цели на стратегията и кога очаквате проектодирективата да бъде въведена в националните законодателства на страните-члени на ЕС?

- Нийл Робинсън: В момента проектодирективата е внесена за обсъждане в Европейския парламент. На дневен ред е въпросът какво ще се случи догодина, тъй като тогава предстоят избори за членове на Европейския парламент.

Все още е твърде рано да се каже дали новият парламент ще започне разглеждането на проекта в този му вид, или ще предпочете да внесе някои промени по него, както и кога проектът ще влезе в действие в отделните държави-членки, вероятно ще отнеме 3 до 5 години.

Европейската стратегия по киберсигурност е неформален документ, който определя ангажиментите на заинтересованите страни от ЕС в осигуряването на киберсигурността и отбраната. В тази посока миналата година беше учреден Европейски център по киберсигурност (EC3) към Europol.

Според Проектодирективата на Европейския парламент и на Съвета относно мерките за гарантиране на високо общо ниво на мрежова и информационна сигурност в ЕС, ако държавите членки изберат да използват съществуващата инфраструктура и да покрият разходите по еднократна адаптация в рамките на бюджета на ЕС, разходите за настройването на мрежата, за да поддържа сътрудничество между страните членки се предвижда да струват 1 250 000 евро. Освен тези харчове, ще има и административни и други разходи, свързани с въвеждането на новите регулации. Каква ще е общата цена, за да се изпълнят заложените в проектодирективата изисквания, и по какъв начин ще бъде осигурено финансирането?

- Нийл Робинсън: Цената е още един въпрос с отворен край. Често при такива видове законодателство е необходима оценка на въздействието върху различни сектори. Това е изключително сложна задача. Трябва да се мисли за разходите по политика, която все още не е въведена, както на общоевропейско ниво, така и в частност по отделни дейности и държави. Съгласно проектодирективата трябва да бъдат изградени т.нар. “ситуационни стаи”, платформи за обмен на информация между страните членки, и т.н. Ако погледнем по-широко, трябва да се предвидят и обученията на специалистите, подбора, допълнителни кадри за целите на компетентния орган по въпросите на киберсигурността на национално ниво. Трябва да се вземат предвид и дългосрочни косвени разходи. Смятам, че трябва да се възприеме по-широк поглед относно разходите по въвеждане на проектодирективата в действие.

- Ханс Грау: Въпросът за разходите е в пряка връзка с готовността на отделните страни членки по въвеждане на изискванията на проектодирективата. Много от членките на ЕС вече са свършили доста работа в тази област, някои вече имат изградени органи по въпросите на киберсигурността и т.нар. CERT – екипи, но неизбежно ще има и допълнителни разходи. Също така, различни институции и органи ще работят по въвеждането на новите правила.

Според мен, по-сериозен е въпросът за инвестициите от страна на частния сектор, защото пред компаниите от определените сектори ще стои не само задължението за уведомяване при киберинциденти, но и за въвеждане на подходящите мерки по гарантиране на сигурността. Оттук нататък всяка компания ще трябва да си “подготви домашното” и в зависимост от обема на данните и степента на чувствителност на информацията, с които оперира, да гарантира защитата им. Тук възниква и въпросът каква е цената за компаниите, които не изпълняват задълженията си, защото ако една компания загуби данните на потребителите, тогава самите потребители стават жертви и могат да претърпят загуби. Друг аспект са санкциите – 5% от оборота на огромна международна компания не са съществено затруднение, но за малкия и средния бизнес това може да се окаже катастрофа. Това е един от сериозните проблеми – тази проектодиректива не предвижда глобални изключения за малките и средните предприятия, които всъщност са от изключително значение за икономиката в ЕС, така че те също следва да отговорят на изискванията.

- Нийл Робинсън: Тук опираме и до въпроса по какъв начин въвеждането на изискванията на проектодирективата би повлиляло на иновациите в ЕС, и няма ли бюрокрацията да попречи на развитието на малкия и среден бизнес. Така например, според директивата, в момента, в който една организация започне да събира лични данни, тя трябва да си назначи главен директор по сигурността (CSO), независимо от размера на компанията.

- Ханс Грау: Директивата предвижда специални изключения единствено за микропредприятия (б.авт. - според  определението на ЕК, микропредприятия са компании с до 10 души персонал и с до 2 млн. евро оборот.)

Какви основни изисквания поставя Директивата относно атаките срещу информационните системи спрямо публичния и частния сектор в държавите членки на ЕС? В Директивата е записано, че страните членки следва да синхронизират националното си законодателство, регулации и административни разпоредби в съответствие с този документ до 4 септември 2015 г.

- Ханс Грау: Директивата относно атаките срещу информационните системи няма ефект върху частния сектор и не въвежда нови задължения към него, защото тя се фокусира върху традиционното наказателно право, като въвежда нови престъпления за някои страни членки на ЕС. Такива са криминализацията на кражбата на идентичност и на ботнет атаките, както и защитата на критичната инфраструктура. Тя изисква от държавите в ЕС да въведат ново наказателно законодателство, за да се уверят, че хората, въвлечени в подготовката и извършването на ботнет атаки, могат да бъдат наказани по-бързо и с по-високи санкции. Директивата съдържа и някои правила засягащи по-ефективното взаимодействие между страните членки на ЕС, като например изискването те да реагират в рамките на 8 часа при заявки за спешна помощ.

Поведението спрямо киберпрестъпления трябва да се хармонизира в цяла Европа, за да се гарантира, че минималните наказания са еднакви.

Макар от директивата да не произтичат нови задължения и разходи за частния сектор, за изпълнение на правилата на директивата, публичният сектор ще трябва да направи известна реорганизация. На първо място, държавите от ЕС ще трябва да могат да отговарят по-бързо на запитвания за информация, и второто ново положение е, че страните членки трябва да събират статистическа информация за киберпрестъпления в национален мащаб. Така например, те ще трябва да събират информация за това колко хаквания е имало в определена сфера, брой на престъпници, дадени под съд, и колко са били осъдени. Тази статистика е необходима на Европейската комисия, за да може тя да проследява на годишна база дали престъпността се увеличава или намалява и да сравнява показателите в отделните страни членки.

Всички страни в ЕС ще трябва да преразгледат законодателството си до септември 2015 г. Националните им законодателства трябва да бъдат свързани с изискванията на европейската директива. Повечето държави ще трябва да направят някои промени в националното си законодателство, но те няма да са толкова големи, защото голяма част от правилата, произтичащи от директивата, се основават на по-ранна конвенция за киберпрестъпността, приета от Съвета на Европа през 2001 г. Повечето държави членки, включително България, вече са преразгледали и осъвременили законодателството си.

Има ли ЕК единна визия за обща съвместимост между приетата Директивата относно атаките срещу информационните системи и проекта на Директивата относно мерките за гарантиране на високо общо ниво на мрежова и информационна сигурност в ЕС, тъй като информационните системи практически са част от информационната сигурност?

- Ханс Грау: Има основни различия между двата документа. Вече приетата Директива, засягаща атаките срещу информационните системи, разглежда повече практическата страна – какви са престъпленията, как се наказват, какви отговорности и юрисдикции определя директивата. Проектодирективата за мрежова и информационна сигурност се фокусира върху стратегическата страна на киберсигурността – как държавите членки да координират политиките си, как да постигнат еднакви възможности, как реагират в случай на задгранична кибератака. В този смисъл директивата е фокусирана върху индивидуалното микроравнище, а проекта – на ниво стратегии и политики, на макроравнище.

- Нийл Робинсън: Според мен съществува известно ниво на свързаност между двата документа. Например Директивата относно атаките срещу информационните системи засяга статистика – докладване на случаите и хода на наказателно правосъдие. От друга страна, проектодирективата за мрежова и информационна сигурност предвижда механизъм за отчет с цел докладване на инциденти, свързани с информационната сигурност, но не е ясно описан характерът на инцидента – дали е атака, престъпление или друг случай. Няма обаче обвързване между двете правила, така че да се регламентира в кои случаи как да се постъпи.

Съществува и известно напрежение между разпоредбите за регулиране на защитата на данните относно докладването на пробиви в сигурността на данните. Има режим за докладване за този тип данни, покрити в Директивата от 2012 г., а отделно този вид инциденти се предвижда да бъдат засегнати в проектодирективата от тази година.

Вече имаше официално становище от страна на Европейския надзорен орган по защита на данните (European Data Protection Supervisor – EDPS), в което твърдеше, че трябва внимателно да бъде определен обхватът на директивата, защото някои изисквания в нея в областта на защитата на данните се припокриват с разпоредби, които вече съществуват.

Вярвам, че отделните елементи от цялото трябва да са свързани помежду си, за да се адресира проблемът по последователен и всеобхватен начин, но в момента линията на поведение следва разминаващи се пътища, така че трябва да има по-активна координация.

- Ханс Грау: В рамките на ЕК има много различни администрации, които работят по различните инициативи, и те са малко или много запознати с това, което правят колегите им, но не винаги в детайли. В този смисъл се получава вътрешна надпревара, тъй като който подготви първи регулацията, останалите ще трябва да следват примера и да променят своите текстове, за да съответстват на вече готовия документ.

Разговора води Констанца Григорова

© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X