Η Ευρωπαϊκή Επιτροπή παρουσίασε στις 30/09 δύο νέα μέτρα που διασφαλίζουν τη δυνατότητα της Ευρώπης να αμύνεται στις επιθέσεις σε βάρος των βασικών της συστημάτων πληροφοριών. Η πρόταση οδηγίας για την αντιμετώπιση νέων εγκλημάτων στον κυβερνοχώρο, όπως οι μεγάλης κλίμακας επιθέσεις στον κυβερνοχώρο, συμπληρώνεται από πρόταση κανονισμού για την ενίσχυση και τον εκσυγχρονισμό του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA). Οι δύο πρωτοβουλίες προβλέπονται από το ψηφιακό θεματολόγιο για την Ευρώπη και από το πρόγραμμα της Στοκχόλμης με στόχο την ενίσχυση της εμπιστοσύνης και της ασφάλειας των δικτύων (βλ. σχετικό αρχείο). Δυνάμει της προτεινόμενης οδηγίας, υπάρχει η δυνατότητα άσκησης δίωξης και επιβολής βαρύτερων ποινικών κυρώσεων σε δράστες επιθέσεων στον κυβερνοχώρο και σε παραγωγούς συναφών και κακόβουλων λογισμικών. Τα κράτη μέλη θα υποχρεούνται εξάλλου να ανταποκρίνονται ταχέως σε επείγοντα αιτήματα βοήθειας που διατυπώνονται σε περιπτώσεις επιθέσεων στον κυβερνοχώρο, καθιστώντας αποτελεσματικότερη τη συνεργασία στον εν λόγω τομέα μεταξύ των ευρωπαϊκών δικαστικών και αστυνομικών αρχών. Η ενίσχυση και ο εκσυγχρονισμός του ENISA θα βοηθήσει επίσης την ΕΕ, τα κράτη μέλη και ιδιωτικούς φορείς να αναπτύξουν τις ικανότητές τους και την ετοιμότητά τους για πρόληψη, εντοπισμό και αντιμετώπιση προκλήσεων στο τομέα της ασφάλειας στον κυβερνοχώρο. Οι δύο προτάσεις θα υποβληθούν προς έγκριση στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο Υπουργών της ΕΕ.
Κατά την προσπάθειά της να αξιοποιήσει πλήρως το δυναμικό των συστημάτων δικτύων και πληροφοριών, η Ευρώπη δεν πρέπει να καταστεί πιο ευάλωτη σε διαταραχές που προκαλούνται από τυχαία ή φυσικά γεγονότα (όπως η ρήξη υποβρύχιων καλωδίων) ή από κακόβουλες ενέργειες (όπως η ηλεκτρονική πειρατεία ή άλλες επιθέσεις στον κυβερνοχώρο). Τούτα θα μπορούσαν για παράδειγμα να βασιστούν σε όλο και πιο εξελιγμένα εργαλεία που παραβιάζουν μεγάλο αριθμό υπολογιστών και τους χειραγωγούν ταυτοχρόνως λειτουργώντας ως δίκτυο προγραμμάτων ρομπότ (“botnets”) χωρίς αυτό να είναι σε γνώση των ιδιοκτητών τους. Οι εν λόγω προσβληθέντες υπολογιστές μπορούν στη συνέχεια να χρησιμοποιηθούν για να εξαπολυθούν καταστροφικές επιθέσεις στον κυβερνοχώρο σε βάρος δημόσιων και ιδιωτικών συστημάτων μηχανοργάνωσης, όπως συνέβη στην Εσθονία το 2007 όταν τέθηκαν προσωρινά εκτός λειτουργίας οι περισσότερες επιγραμμικές δημόσιες υπηρεσίες καθώς και οι εξυπηρετητές της κυβέρνησης, του κοινοβουλίου και της αστυνομίας. Ο αριθμός των επιθέσεων κατά συστημάτων πληροφοριών παρουσιάζει σταθερή αύξηση από το Φεβρουάριο 2005 όταν η ΕΕ εξέδωσε για πρώτη φορά κανόνες για τις επιθέσεις κατά συστημάτων πληροφοριών. Το Μάρτιο 2009, συστήματα μηχανοργάνωσης κυβερνήσεων και ιδιωτικών οργανισμών σε περισσότερες από 100 χώρες δέχτηκαν επίθεση από δίκτυο υπονομευθέντων υπολογιστών που απέσπασαν ευαίσθητα και διαβαθμισμένα έγγραφα. Στην περίπτωση αυτή, εκ νέου, κακόβουλο λογισμικό δημιούργησε ‘botnets’, δίκτυα προσβληθέντων υπολογιστών που μπορούν να ελεγχθούν εξ αποστάσεως για να οργανωθεί μια συντονισμένη επίθεση.
Η δέσμη μέτρων που προτείνει σήμερα η Επιτροπή θα ενισχύσει τη δυνατότητα αντίδρασης της Ευρώπης σε διαταραχές στον κυβερνοχώρο. Η πρόταση της Επιτροπής για τα εγκλήματα στον κυβερνοχώρο έχει βασιστεί στους κανόνες που τέθηκαν σε ισχύ το 2005 και εισάγει νέες επιβαρυντικές περιστάσεις και βαρύτερες ποινικές κυρώσεις που είναι αναγκαίες για την αποτελεσματική καταπολέμηση της αυξανόμενης απειλής και εκδήλωσης επιθέσεων μεγάλης κλίμακας σε βάρος συστημάτων πληροφοριών.
Επιπλέον, η εν λόγω δέσμη θα αποτελέσει τη βάση για τη βελτίωση της συνεργασίας μεταξύ δικαστικών και αστυνομικών αρχών των κρατών μελών, με τη θέσπιση για τα κράτη μέλη της υποχρέωσης να χρησιμοποιούν αποτελεσματικότερα το υπάρχον δίκτυο σημείων επαφής σε εικοσιτετράωρη/εβδομαδιαία βάση δίνοντας απάντηση σε επείγοντα αιτήματα εντός συγκεκριμένου χρονικού πλαισίου.
Τέλος, η προτεινόμενη οδηγία προβλέπει τη θέσπιση συστήματος καταχώρησης και ιχνηλάτησης των επιθέσεων στον κυβερνοχώρο.
Ενισχυμένη συνεργασία μεταξύ χωρών και βιομηχανικών τομέων
Για να συμβάλει στο συντονισμό της απόκρισης της Ευρώπης, η Επιτροπή προτείνει ένα νέο κανονισμό που θα ενισχύσει και θα εκσυγχρονίσει τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), που ιδρύθηκε αρχικά το 2004. Ο κανονισμός αυτός θα ενισχύσει τη συνεργασία μεταξύ των κρατών μελών της ΕΕ, των αρχών επιβολής του νόμου και του βιομηχανικού τομέα. Ο ENISA θα διαδραματίσει σημαντικό ρόλο στην τόνωση της εμπιστοσύνης η οποία στηρίζει την ανάπτυξη της κοινωνίας των πληροφοριών, βελτιώνοντας την ασφάλεια και την προστασία της ιδιωτικής ζωής των χρηστών.
Στο πλαίσιο της νέας του εντολής, ο ENISA θα προωθήσει μεταξύ των κρατών μελών της ΕΕ και φορέων του ιδιωτικού τομέα τη συμμετοχή σε κοινές δραστηριότητες στην Ευρώπη, όπως σε ασκήσεις ασφάλειας στον κυβερνοχώρο, σε εταιρικές σχέσεις δημόσιου και ιδιωτικού τομέα για την ανθεκτικότητα των δικτύων, σε οικονομικές αναλύσεις και αξιολόγηση κινδύνων και σε εκστρατείες ευαισθητοποίησης του κοινού.
Ο εκσυγχρονισμένος ENISA θα διαθέτει μεγαλύτερη ευελιξία και προσαρμοστικότητα και θα μπορεί να παρέχει στις χώρες και στα όργανα της ΕΕ βοήθεια και συμβουλές σε κανονιστικά θέματα.
Τέλος, για να αντιμετωπιστεί η αυξημένη ένταση των προκλήσεων ασφάλειας στον κυβερνοχώρο, ο προτεινόμενος κανονισμός προβλέπει την παράταση της εντολής του ENISA για πέντε έτη και τη σταδιακή αύξηση των οικονομικών και ανθρώπινων πόρων του. Η Επιτροπή προτείνει την ενίσχυση της διάρθρωσης διακυβέρνησης του ENISA με την ανάθεση ενός ισχυρότερου εποπτικού ρόλου στο διοικητικό συμβούλιο στο οποίο εκπροσωπούνται τα κράτη μέλη της ΕΕ και η Ευρωπαϊκή Επιτροπή.
Ιστορικό
Η προτεινόμενη οδηγία για τις επιθέσεις κατά των συστημάτων πληροφοριών ακυρώνει την απόφαση-πλαίσιο του Συμβουλίου 2005/222/ΔΕΥ. Τα κράτη μέλη υποχρεούνται να συμμορφωθούν με τη νέα οδηγία για το έγκλημα στον κυβερνοχώρο και να τη μεταφέρουν στην εθνική τους νομοθεσία το αργότερο εντός δύο ετών από την έκδοσή της.
Ο ENISA ιδρύθηκε το 2004 και η τρέχουσα εντολή του λήγει το Μάρτιο 2012. Σήμερα προτείνεται η παράτασή της κατά 5 έτη. Για την έκδοση της εν λόγω πρότασης κανονισμού προηγήθηκε ευρεία διαδικασία που περιελάμβανε την αξιολόγηση του οργανισμού, διατύπωση συστάσεων από το διοικητικό του συμβούλιο, δύο δημόσιες διαβουλεύσεις και μια αξιολόγηση αντίκτυπου που εμπεριείχε ανάλυση κόστους/οφέλους.
Πηγή: Ε.Ε.
[…] Στις 30 Σεπτεμβρίου 2010, η Επιτροπή ενέκρινε πρόταση για την ενίσχυση και τον εκσυγχρονισμό του ευρωπαϊκού οργανισμού για την ασφάλεια δικτύων και πληροφοριών (ENISA) (βλ. πρότερη ανακοίνωση). […]
[…] προβλημάτων ασφάλειας στον κυβερνοχώρο (βλ. πρότερη ανακοίνωση, […]