O Ευρωπαϊκός οργανισμός ENISA αναλύει τη νομοθεσία για την ασφάλεια των δικτύων και υποδεικνύει τα κενά εφαρμογής της: πολλά περιστατικά παραμένουν μη εντοπίσημα και μη καταγεγγραμένα.
Σε μια νέα μελέτη του οργανισμού της ΕΕ για την «ασφάλεια στον κυβερνοχώρο» ο ENISA δίνει ένα παράδειγμα της υφιστάμενης και μελλοντικής νομοθεσίας της ΕΕ σχετικά με τα μέτρα ασφαλείας και την αναφορά συμβάντων. Η ανάλυση υπογραμμίζει τα σημαντικά βήματα που έχουν γίνει για την εξέλιξη της νομοθεσίας, αλλά και προσδιορίζει τα κενά στην εφαρμογή της σε εθνικό επίπεδο, καθώς δεν έχει καταγραφεί αριθμός περισσοτέρων περιστατικών.
Τα περιστατικά ασφαλείας δικτύων επηρεάζουν, σε μεγάλο βαθμό, την κοινωνία. Ακολουθούν πέντε πολύ γνωστά παραδείγματα:
– To 2012, εκατομμύρια επαγγελματικοί ηλεκτρονικοί κωδικοί εκτέθηκαν
– To 2011, η καταιγίδα Dagmar οδήγησε εκατομμύρια Σκανδιναβικών δικτύων επικοινωνίας σε κατάρρευση
– To 2011, η αποτυχία ενός Βρετανικού κέντρου δεδομένων διέκοψε εκατομμύρια επιχειρηματικών επικοινωνιών παγκοσμίως
– To 2011, μια αρχή ηλεκτρονικών πιστοποιητικών παραβιάστηκε εκθέτωντας τις επικοινωνίες εκατομμυρίων χρηστών
– Το 2010, ένας Κινέζικος πάροχος τηλεπικοινωνιών μπλόκαρε το 15% της παγκόσμιας διαδικτυακής κίνησης, για 20 λεπτά.
Σε κάθε ένα από αυτά τα περιστατικά, εκατομμύρια πολίτες και επιχειρήσεις επηρεάστηκαν σε μεγάλο βαθμό. Αλλά τα περισσότερα περιστατικά δεν έχουν ακόμη καταγραφεί, ούτε καν εντοπιστεί. Οι συγγραφείς της έκθεσης, υποστηρίζουν: «Τα περιστατικά δικτύων συνήθως αποκρύπτονται μόλις ανακαλυφθούν, αφήνοντας πελάτες και ιθύνοντες στο σκοτάδι σχετικά με τη συχνότητα, τις επιπτώσεις και τα αίτια του προβλήματος.»
Η νέα έκθεση “Cyber Incident Reporting in the EU” παρέχει μια επισκόπηση της υφιστάμενης και επερχόμενης νομοθεσίας (βλ. συνημμένο γράφημα) που καλύπτει την ρήτρα υποχρεωτικής αναφοράς περιστατικού στο Άρθρο 13α του πακέτου τηλεπικοινωνιών και το Άρθρο 4 της οδηγίας για το Ηλεκτρονικό Απόρρητο, το προτεινόμενο Άρθρο 15 για τη ρύθμιση ηλεκτρονικής ταυτότητας, και τα Άρθρα 30, 31, 32 της μεταρρύθμισης για την Προστασία των Δεδομένων. Η μελέτη αποκαλύπτει ομοιότητες και διαφορές μεταξύ των άρθρων και προσβλέπει στην στρατηγική της ΕΕ για την ασφάλεια στον κυβερνοχώρο. Το έγγραφο προσδιορίζει τους τομείς που χρειάζονται βελτίωση. Για παράδειγμα, μόνο ένα από τα ανωτέρω αναφερθέντα επεισόδια ήταν εντός του πεδίου ελέγχου των εθνικών ρυθμιστικών ομάδων, καταδεικνύοντας ότι υπάρχουν κενά στη ρύθμιση. Έτσι, σε επίπεδο ΕΕ η κοινοποίηση των αναφορών περιστατικών θα έπρεπε να βελτιωθεί.
Σημαντική πρόοδος έχει ήδη επιτευχθεί: Μια ομάδα εργασίας του ENISA για τις εθνικές ρυθμιστικές αρχές έχει αναπτύξει τόσο μία κοινή γραμμή μέτρων ασφαλείας και μια τυποποιημένη μορφή αναφοράς περιστατικών. Αυτό θα επιτρέψει μια πιο ομοιόμορφη εφαρμογή του Άρθρου 13α. Ο ENISA μόλις έλαβε εκθέσεις για 51 μεγάλης κλίμακας περιστατικά από τις ρυθμιστικές αρχές, οι οποίες περιγράφουν επιπτώσεις, αιτίες, δράσεις που υλοποιήθηκαν και διδάγματα από αυτές. Το υλικό αυτό χρησιμοποιείται ως πρώτη ύλη για την Ευρωπαϊκή Στρατηγική για την Ασφάλεια στο Διαδίκτυο και την Ευρωπαϊκή Ασκηση της Ασφάλειας στο Διαδίκτυο.
Πηγή: ENISA
