Így gondolkodik az EU a kiberbiztonságról

Az Európai Bizottság a hálózat- és információbiztonságra vonatkozó bizottsági irányelvjavaslattal egyetemben kiberbiztonsági stratégiát tett közzé.
 

A hálózat- és információbiztonsági (NIS - network and information security) jogszabályok, iránymutatások valamint egyéb megfelelőségi követelmények kapcsán a legtöbbször az Egyesült Államokból érkeznek hírek, azonban természetesen az Európai Unió is felismerte már, hogy ha nem tesz eleget napjaink folyamatosan változó kiberbiztonsági környezete által támasztott elvárásoknak, akkor annak komoly következményei lehetnek minden tagországra nézve.

Az EU az elmúlt időszakokban számos felmérést készített, amelyek mindegyike azt támasztotta alá, hogy lépéseket kell tenni a digitális értékek megóvása érdekében. Egy nyilvános információbiztonsági konzultáció keretében például kiderült, hogy a résztvevők 57 százaléka az elmúlt egy év során tapasztalt olyan incidenst, amely jelentős mértékben befolyásolta az üzleti tevékenységét. Egy másik kimutatás szerint pedig az EU-ban az internet felhasználóinak 38 százaléka komolyan aggódik az online fizetések biztonsága miatt, aminek következtében már változtattak is a szokásaikon. 18 százalékuk kisebb valószínűséggel vásárol az interneten, és 15 százaléknyian veszik kevesebbszer igénybe az online banki szolgáltatásokat.

Azt az EU döntéshozói is pontosan érzik, hogy ha a biztonsági eseményeket nem sikerül kezelni, akkor annak az lesz a következménye, hogy vállalatok, szolgáltatatók tevékenysége csorbát szenved, ami kihat az egész unió gazdasági teljesítményére, sőt a társadalmi jólétet is kedvezőtlenül befolyásolja. Ezért nem meglepő, hogy az EU hathatós lépéseket igyekszik tenni, aminek keretében egy átfogó stratégiát, illetve irányelvet dolgozott ki.

„Minél nagyobb mértékben támaszkodnak az emberek az internetre, annál erőteljesebb az elvárás a részükről annak biztonságos használatával szemben. A megbízható internet védi jogainkat és szabadságainkat, valamint lehetőséget teremt arra, hogy online üzleti tevékenységeket végezzünk. Itt az ideje, hogy összehangolt intézkedéseket hozzunk – ha most nem cselekednénk, az később sokkal többe kerülne” - mondta Neelie Kroes, az Európai Bizottság digitális menetrendért felelős alelnöke.

Stratégiai elképzelések

A „Nyílt, biztonságos és megbízható kibertér” névre keresztelt stratégia képviseli az EU átfogó elképzelését arról, hogy miként lehetne a leghatékonyabban megelőzni és elhárítani az internetes támadásokat és a hálózati zavarokat. A konkrét intézkedések célja növelni az információs rendszerek ellenálló képességét az internetes támadásokkal szemben, visszaszorítani a számítástechnikai bűnözést, továbbá megerősíteni az EU nemzetközi kiberbiztonsági szakpolitikáját és kibervédelmét.

Körvonalazódó irányelvek

Az új irányelvjavaslat kidolgozóinak alapvető célja az volt, hogy az eddig jól vagy viszonylag jól megregulázott szektorok mellett más, kritikus fontosságú szervezeteket is bevonjanak az átfogó védekezésbe. Míg napjainkban elsősorban a banki és a telekommunikációs szektor áll a figyelem középpontjában, addig a következő években már az egészségügyi szervezeteknek, a tőzsdéknek, a közlekedési vállalatoknak, az energetikai cégeknek, az internetszolgáltatóknak, a közigazgatási szerveknek, stb. is komolyabb előírásoknak kell majd megfelelniük az információbiztonság vonatkozásában.

Az elfogadásra váró direktíva nem kíván nagyon részletes - technikai szintű - iránymutatásokat adni, inkább az irányvonalakat, alapelveket fekteti le a biztonsági események megelőzése, kezelése, bejelentése kapcsán. Az egyik legfontosabb törekvése, hogy az EU tagállamok a lehetőségekhez mérten egységesen kezeljék a hálózat- és információbiztonsági teendőket.

A tagállamoknak el kell fogadniuk a hálózat- és információbiztonsági stratégiát, továbbá ki kell jelölniük az illetékes nemzeti hatóságot biztosítva a hálózat- és információbiztonságot érintő kockázatok és események megelőzéséhez, kezeléséhez és elhárításához szükséges megfelelő pénzügyi és humán erőforrásokat. Ki kell dolgozni a tagállamok és a Bizottság közötti együttműködési mechanizmust, amely a megbízható infrastruktúrának, az együttműködésnek és a rendszeres szakértői vizsgálatoknak köszönhetően lehetőséget biztosít a kiberbiztonsági kockázatok és események korai előrejelzéseinek megosztására.

Néhány ágazatban (pénzügyi szolgáltatások, közlekedés, energetika, egészségügy) működő kulcsfontosságú infrastruktúrák üzemeltetőinek, az információs társadalommal összefüggő szolgáltatást nyújtóknak (különösen az „app store” üzletek, e-kereskedelmi platformok, internetes fizetési szolgáltatások, számítási felhők, keresőmotorok, közösségi hálózatok szolgáltatóinak) és a közigazgatási hivataloknak kockázatkezelési gyakorlatokat kell elfogadniuk.

A direktíva által érintett szervezeteknek minden olyan incidenst jelenteniük kell, amelyek súlyosan veszélyeztetik a hálózataikat, az információs rendszereiket és jelentősen befolyásolhatják a kritikus szolgáltatások nyújtásának folytonosságát, vagyis a rendelkezésre állást.

Harc a kiberbűnözés ellen

„A stratégia a számítástechnikai bűnözés drasztikus visszaszorítását célzó konkrét intézkedéseinket rögzíti. Sok uniós ország nem rendelkezik az internetes szervezett bűnözés ügyében történő nyomozáshoz és az az elleni küzdelemhez szükséges eszközökkel. Valamennyi tagállamnak hatékony nemzeti, internetes bűncselekmények elleni egységeket kell felállítania, amely egységek számíthatnak a számítástechnikai bűnözés elleni európai központ szakértelmére és támogatására” - nyilatkozta Cecilia Malmström, az uniós belügyekért felelős biztos.