Europejskie podejście do cyberbezpieczeństwa | Co do zasady

Przejdź do treści
Zamów newsletter
Formularz zapisu na newsletter Co do zasady

Europejskie podejście do cyberbezpieczeństwa

Wszystko wskazuje na to, że w najbliższych latach czekają nas bardzo istotne zmiany w zakresie regulacji związanych z cyberbezpieczeństwem. W polskim prawie pojawi się kilka nowych rozwiązań, mających swe źródło przede wszystkim w prawie europejskim. Kierunek zmian jest bardzo wyraźny – podmioty z sektora prywatnego mają stać się współodpowiedzialne za bezpieczeństwo cyberprzestrzeni.

Proponowane rozwiązania, przynajmniej w warstwie podstawowych założeń, bardzo przypominają zmiany, które towarzyszyły wprowadzaniu w życie przepisów dotyczących przeciwdziałania praniu pieniędzy. Wtedy również zaangażowano podmioty sektora prywatnego. Uznano bowiem, że skala zjawiska jest tak wielka, że jedynie zaangażowanie sektora prywatnego pozwoli na skuteczną walkę z tym przestępstwem. W przypadku cyberprzestępczości jest podobnie. Skala wyzwań przekracza możliwości organów ścigania najpotężniejszych nawet państw świata.

Wystarczy sobie wyobrazić skuteczny atak na system telefonii komórkowej, paraliżujący na kilka dni działanie sieci. Odciąłby on nas od bardzo wielu funkcjonalności, bez których trudno już nam sobie wyobrazić codzienne życie. Nie moglibyśmy korzystać z bankowości elektronicznej, używać programów geolokalizacyjnych, a nawet zadzwonić na numer alarmowy 112. Nie zdajemy sobie też na ogół sprawy, jak wiele urządzeń jest obecnie automatycznie sterowanych z urządzeń mobilnych. Wiele z nich służy do sterowania systemami transportu, energetyki czy płatności.

Konieczność zaangażowania sektora prywatnego w walkę z cyberprzestępczością wynika też z tego, że państwo, tracąc kilkanaście lat temu monopol na budowę sieci telekomunikacyjnych i świadczenie usług, oddało też prawie całkowicie sektorowi prywatnemu inicjatywę w zakresie rozwoju nowych technologii. Kompetencje w sprawach technologii bezpieczeństwa są w tej chwili również w sektorze prywatnym.

Odpowiednie dokumenty europejskie podkreślają, że dziś niezakłócony dostęp do sieci teleinformatycznych jest tak samo niezbędny jak dostęp do wody czy energii. W obliczu krytycznego znaczenia sieci oraz rosnącej liczby cyberataków stało się oczywiste, że niezbędne są skoordynowane działania zmierzające do zapewnienia europejskiej cyberprzestrzeni należytego poziomu cyberbezpieczeństwa.

Strategia

Skuteczna ochrona krytycznej europejskiej infrastruktury teleinformatycznej przed cyberprzestępczością jest jednym z filarów Europejskiej Agendy Cyfrowej – podstawowego dokumentu określającego strategiczne cele Unii Europejskiej w obszarze gospodarki cyfrowej. Strategia przewiduje szereg działań legislacyjnych, które mają przyczynić się do stworzenia ogólnoeuropejskiej infrastruktury cyberbezpieczeństwa. Wspomniane działania są wielowymiarowe. Część z nich zmierza do stworzenia nowych ogólnoeuropejskich organów odpowiedzialnych za wzmocnienie współpracy i wymianę informacji, służących zapewnieniu odpowiedniego poziomu cyberbezpieczeństwa, w tym skuteczniejszemu reagowaniu na incydenty. Inne z kolei mają nałożyć na podmioty z sektora publicznego oraz prywatnego nowe obowiązki związane z cyberbezpieczeństwem. Tym samym Europejska Agenda Cyfrowa proponuje poprawę systemu ochrony cyberprzestrzeni poprzez zaangażowanie do tego działania bardzo szerokiego grona podmiotów, w tym z sektora prywatnego.

Europejski system cyberbezpieczeństwa ma się opierać na stworzeniu nowych mechanizmów wymiany informacji i współpracy między odpowiednio umocowanymi instytucjami państwowymi i organizacjami sektorowymi oraz na określeniu dla instytucji europejskich zajmujących się różnymi aspektami bezpieczeństwa mandatu umożliwiającego skuteczne gromadzenie informacji i wypracowanie mechanizmów wspólnego reagowania na nowe rodzaje zagrożeń z cyberprzestrzeni.

Przegląd ostatnich inicjatyw europejskich w tym zakresie prowadzi do wniosku, że kluczowe są w tej chwili następujące zagadnienia:

  • stworzenie efektywnych mechanizmów wymiany informacji z zakresu cyberbezpieczeństwa pomiędzy państwami członkowskimi oraz uruchomienie mechanizmów reagowania;
  • koordynacja ustawodawstw karnych w odniesieniu do cyberprzestępczości;
  • zapewnienie odpowiedniego poziomu cyberbezpieczeństwa u dostawców podstawowych usług cyfrowych oraz operatorów infrastruktury krytycznej.

Instytucje

ENISA

Już w 2004 r. na podstawie rozporządzenia (WE) nr 460/2004 Parlamentu Europejskiego i Rady z dnia 10 marca 2004 r. powołano do życia Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA). Zakres działania ENISA został rozszerzony na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 526/2013 z dnia 21 maja 2013 r.

ENISA to agencja unijna mająca swoją siedzibę główną w Heraklionie na Krecie. Została ona pierwotnie powołana przede wszystkim do prowadzenia prac analitycznych oraz badawczych, które będą podstawą do konstruowania polityk cyberbezpieczeństwa w ramach Unii Europejskiej oraz pozwolą wypracować dobre praktyki, wymagania, a jeżeli to możliwe również standardy w zakresie bezpieczeństwa informacji. ENISA jest również zobowiązana do wspierania zarówno instytucji unijnych, jak i organów poszczególnych państw w konstruowaniu skutecznych rozwiązań zapewniających cyberbezpieczeństwo. Jednym z ważniejszych przejawów aktywności ENISA w ostatnich latach było przeprowadzenie kilku międzynarodowych ćwiczeń ochrony cyberprzestrzeni i wypracowanie dzięki temu metodologii dla takich przedsięwzięć.

Zgodnie ze znowelizowaną dyrektywą 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (tzw. dyrektywa ramowa pakietu regulacyjnego dla sieci i usług łączności elektronicznej) ENISA jest również organem, do którego powinny trafiać informacje o incydentach naruszenia bezpieczeństwa oraz integralności sieci telekomunikacyjnych. Informacje o incydentach przesyłają odpowiednie organy państw, które z kolei pozyskują te informacje od dostawców sieci oraz usług telekomunikacyjnych. W Polsce takim organem jest Prezes Urzędu Komunikacji Elektronicznej.

CERT

Jednym z kluczowych zadań europejskiej polityki cyberbezpieczeństwa jest powołanie w poszczególnych państwach członkowskich zespołów szybkiego reagowania na zagrożenia w cyberprzestrzeni – Computer Emergency Response Team. W Polsce działa Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL (zajmujący się ochroną sieci rządowych), CERT zorganizowany wiele lat temu w NASK oraz kilka CERT-ów w sektorze prywatnym, np. w Orange. Projekt dyrektywy o bezpieczeństwie sieci oraz informacji (więcej o projekcie w dalszej części tekstu) zakłada obligatoryjne powołanie przez wszystkie państwa członkowskie CERT-ów zajmujących się wskazanymi w dyrektywie sektorami gospodarki. Podstawowym celem CERT-ów jest gromadzenie informacji o zagrożeniach, wczesne reagowanie na incydenty w cyberprzestrzeni oraz opracowywanie rozwiązań mających na celu zapobieganie atakom w przyszłości.

Europejskie Centrum Cyberprzestępczości (EC3)

Europejska Agenda Cyfrowa zobowiązywała organy Unii Europejskiej do powołania ogólnoeuropejskiej platformy do walki z cyberprzestępczością. 11 stycznia 2013 r. przy EUROPOL-u zaczęło działać Europejskie Centrum Cyberprzestępczości (EC3). Podstawową rolą EC3 jest zapewnienie współpracy i wymiany informacji pomiędzy organami policyjnymi państw członkowskich. EC3 wspomaga organizacyjnie działania przeciw przestępczości zorganizowanej i identyfikuje nowe rodzaje przestępstw w cyberprzestrzeni. Centrum świadczy również usługi laboratoryjne związane z cyberprzestępczością.

Nowe przestępstwa

Walka z cyberprzestępczością wymaga również zagwarantowania, aby, przynajmniej na poziomie ustawodawstw państw członkowskich, ujednolicone zostały przepisy karne odnoszące się do cyberprzestępstw. Taki cel przyświeca dyrektywie Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotyczącej ataków na systemy informatyczne i zastępującej decyzję ramową Rady 2005/222/WSiSW. Dyrektywa musi zostać implementowana do 4 września 2015 r.

Ważnym elementem dyrektywy jest również wprowadzenie odpowiedzialności osób prawnych, w których imieniu działali sprawcy cyberprzestępstw. Warto podkreślić, że znaczna część rozwiązań postulowanych przez dyrektywę jest już w tej chwili zawarta w polskich przepisach prawa karnego.

Obowiązki

Dostawcy usług telekomunikacyjnych

Do podejmowania określonych działań związanych z cyberbezpieczeństwem zobowiązani zostali w pierwszej kolejności dostawcy publicznie dostępnych usług telekomunikacyjnych oraz operatorzy publicznych sieci telekomunikacyjnych. Trzeba pamiętać, że w wielu państwach członkowskich przedsiębiorcy telekomunikacyjni mają obowiązek podejmować określone działania w sytuacjach szczególnych zagrożeń, a także współpracować z instytucjami właściwymi w sprawach bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. W wyniku nowelizacji dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) doprecyzowano obowiązki w zakresie stosowania rozwiązań technicznych i organizacyjnych, które zapewnią bezpieczeństwo i integralność sieci telekomunikacyjnych. Wprowadzono też zupełnie nowe obowiązki informacyjne. Operatorzy i dostawcy usług muszą informować Prezesa Urzędu Komunikacji Elektronicznej o naruszeniu bezpieczeństwa lub integralności sieci lub usług, które miało istotny wpływ na funkcjonowanie sieci lub usług. Ma to być podstawą do zbudowania ogólnoeuropejskiego systemu wymiany informacji o naruszeniach bezpieczeństwa. Trzeba zaznaczyć, że obowiązki informacyjne obejmują nie tylko incydenty związane z domniemanymi cyberprzestępstwami, ale wszelkie istotne przerwy i awarie systemów komunikacyjnych. Obowiązki wynikające z przywołanej dyrektywy zostały implementowane w Dziale VIIa ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne.

Nadchodząca zmiana

Bardzo istotne znaczenie dla europejskiego systemu cyberbezpieczeństwa będzie miała dyrektywa o bezpieczeństwie sieci i informacji (Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union).

Projekt dyrektywy w wersji zaproponowanej przez Komisję zawierał kilka bardzo istotnych i rewolucyjnych rozwiązań. Przede wszystkim zaproponowano rozszerzenie obowiązków związanych z cyberbezpieczeństwem na szereg nowych podmiotów z sektora prywatnego. Można się było spodziewać, że obowiązki informacyjne wzorowane na powinnościach sektora telekomunikacji obejmą podmioty zarządzające różnymi rodzajami infrastruktury krytycznej, ale projektowane rozwiązania poszły dalej. Przyjęto bowiem założenie, że celem ewentualnych ataków z cyberprzestrzeni jest nie tylko infrastruktura, ale wszelkie systemy informacyjne, nie tylko w sektorach klasyfikowanych tradycyjnie jako krytyczne. Stąd zakres podmiotowy uregulowań w projekcie dyrektywy obejmował między innymi portale internetowe przetwarzające duże ilości wrażliwych danych o użytkownikach, media społecznościowe, dostawców usług cloud computingu, platformy z aplikacjami, dostawców rozwiązań płatniczych, firmy zajmujące się organizacją transportu, logistyką, dostawców usług energii elektrycznej, banki i firmy z sektora ochrony zdrowia (obowiązki tych podmiotów miałyby być analogiczne do tych, które już teraz spoczywają na dostawcach sieci oraz usług telekomunikacyjnych).

W zamyśle Komisji podmioty te powinny zostać zobowiązane, pod groźbą sankcji, do stosowania rozwiązań technicznych oraz organizacyjnych gwarantujących bezpieczeństwo sieci oraz kontrolowanych i używanych przez siebie systemów informatycznych. Dodatkowo miały zostać zobowiązane do zgłaszania odpowiednim organom w swoich macierzystych państwach incydentów mających znaczący wpływ na bezpieczeństwo ich systemów. Odpowiednie organy mają otrzymać uprawnienie do ujawnienia takich incydentów opinii publicznej, jeżeli uznają, że leży to w interesie publicznym. Organy nadzoru będą również uprawnione do żądania przeprowadzenia audytów bezpieczeństwa przez podmioty szczególnie narażone na cyberataki.

Niezależnie od opisanych powyżej obowiązków projekt dyrektywy przewiduje również rozwiązania zmierzające do skutecznego stworzenia przestrzeni dla skoordynowanej europejskiej polityki cyberbezpieczeństwa. Państwa członkowskie mają zostać zobligowane do stworzenia strategii w zakresie bezpieczeństwa sieci i informacji, powołania CERT-ów oraz organów odpowiedzialnych za bezpieczeństwo sieci oraz informacji. Organy te powinny stworzyć ogólnoeuropejską sieć wymiany informacji na temat cyberbezpieczeństwa i przesyłać sobie nawzajem m.in. ostrzeżenia o zagrożeniach.

Powyższe propozycje wzbudzają szereg kontrowersji, głównie jeżeli chodzi o zakres podmiotowy. Wielu krytyków zarzucało propozycji Komisji zbytnie rozszerzenie katalogu podmiotów zobowiązanych do realizacji dodatkowych obowiązków. W pierwszym czytaniu Parlament Europejski zaproponował szereg zmian do projektu dyrektywy. Wiele z nich skutkuje zmniejszeniem rygoryzmu pierwotnej wersji dyrektywy. Zmiany wprowadzone przez Parlament przewidują, że obowiązki wymiany informacji nie będą obejmować organów administracji publicznej, zostawiając kwestie zabezpieczeń systemów rządowych uznaniu państw członkowskich. Zaproponowano także zwolnienie z obowiązkowych zgłoszeń incydentów wielu kategorii podmiotów prywatnych, które w pierwotnej wersji dyrektywy były do tego zobowiązane (dotyczy to m.in. platform e-commerce, dostawców usług cloud computingu czy wyszukiwarek internetowych).

Na tym etapie trudno jeszcze przewidzieć, jaki kształt będzie miała ostatecznie dyrektywa o bezpieczeństwie sieci i informacji. Dotychczasowe prace nad tym aktem prawnym pokazały niewątpliwie, że ścierają się ze sobą dwie wizje. Pierwsza, której wyraz dał Parlament Europejski, zakłada nałożenie dodatkowych obowiązków notyfikacyjnych na relatywnie niewielką grupę podmiotów z sektora prywatnego świadczących usługi o krytycznym znaczeniu dla współczesnych gospodarek (m.in. dostawców energii, banki, podmioty z sektora ochrony zdrowia). Parlament opowiedział się natomiast przeciwko nakładaniu nowych obowiązków na podmioty świadczące szeroko rozumiane usługi cyfrowe (m.in. dostawców cloud computingu, instytucje pośredniczące w płatnościach internetowych, wyszukiwarki internetowe). W tym zakresie stanowisko Parlamentu wydaje się sprzeczne z podejściem prezentowanym przez Komisję Europejską. Należy się spodziewać, że to właśnie zakres podmiotowy nowej regulacji będzie osią sporu dotyczącego kształtu przyszłej europejskiej polityki cyberbezpieczeństwa.

Parlament Europejski przedstawił swoje stanowisko w odniesieniu do dyrektywy w marcu 2014 r. Od tego czasu byliśmy świadkami kilku spektakularnych cyberataków na podmioty świadczące usługi cyfrowe (m.in. na dostawców cloud computingu). Czas pokaże, na ile te zdarzenia będą miały wpływ na ostateczny kształt dyrektywy.

Krzysztof Wojdyło, praktyka prawa nowych technologii kancelarii Wardyński i Wspólnicy

Artykuł jest częścią raportu poświęconego cyberbezpieczeństwu