: 23 lut 2013, 21:08
KE planuje przykręcić śrubę firmom, które, jak ZTM nie radzą sobie z incydentami bezpieczeństwa i/lub zatajają je przed klientami.
http://antyweb.pl/nasze-dane-maja-byc-j ... ktywie-ue/W dniu wczorajszym Komisja Europejska wraz z Wysokim Przedstawicielem Spraw Zagranicznych i Polityki Bezpieczeństwa postanowiła wdrożyć nową strategię cyber bezpieczeństwa. W tym celu przedstawiła projekt dyrektywy, który mówi o sposobie realizacji samej strategii i sposobie jej wdrożenia na terenie wszystkich krajów Unii Europejskiej.
W dyrektywie tej pojawił się zapis, który stanowi, że każdy kraj członkowski powinien stworzyć specjalne biuro czyli CERT – Computer Emergency Response Team. CERT miałby być sztabem kryzysowym, który zajmowałby się wszystkimi sprawami ataków hakerskich, a także badać sprawy związane z wyciekami danych osobowych i atakami malware. Dodatkowo, CERT miałby za zadanie przygotować sposób radzenia sobie z takimi atakami, czyli po prostu przygotować plan zarządzania kryzysowego w razie ataków hakerskich.
[...]
Problem w tym, że podmioty prywatne mogą nie chcieć współpracować w tej dziedzinie. Powodem tego może być po prostu strach przed utratą klientów i nadszarpnięciem wizerunku marki. Zasadniczo nikt nie chce ujawniać swojej słabości, bo może to spowodować negatywny oddźwięk w mediach, utratę zaufania do marki, straty na giełdzie i ucieczkę klientów do konkurencji.
Sama Neelie Kroes, wiceprzewodniczący Komisji Europejskiej podczas swojego wystąpienia powiedział: „Wiele podmiotów boi się ujawniać informacje o ataku na ich bazy danych, to logiczne. Jednak z drugiej strony nikt nie może zatajać takich informacji przed konsumentami i powiedzieć: To normalne nic się nie stało. Trzeba przeciwdziałać takim atakom, a jeżeli już raz do nich dojdzie trzeba wyciągnąć wnioski i czegoś się nauczyć”
[...]
Główne założenia strategii i projektu dyrektywy mówią że:
- Każdy z krajów członkowskich powinien stworzyć na terenie swojego kraju CERT (Computer Emergency Response Team).
- Każde państwo członkowskie musi wyznaczyć kompetentny organ, który zajmowałby się bezpieczeństwem danych i sieci, któremu to podmioty prywatne mogłyby zgłaszać naruszenia ich bezpieczeństwa czyt. ataków hakerskich. Wyznaczone władze miałyby za zadanie opracowanie planów zarządzania kryzysowego w wypadku ataków hakerskich dla podmiotów prywatnych. (Niestety, nie doprecyzowano czy tworzeniem planów i poprawą bezpieczeństwa ma się zająć sam organ rządowy czy mogą to być np. firmy prywatne specjalizujące się w bezpieczeństwie w sieci).
- Organ wyznaczony przez rząd miałby za zadanie nawiązać ścisłą współpracę z agencją ENISA, w celu podniesienia poziomu bezpieczeństwa sieci w całej Europie.
- Sektory, które narażone są na wysokie ryzyko ataku hakerskiego tj. sektor bankowy, sektor transportu publicznego, sektor energetyczny, sektor służby zdrowia, sektor administracji publicznej, oraz dostawcy internetu musiałyby nawiązać ścisłą współpracę z CERT. Współpraca ta opierałaby się na wypracowaniu i wdrożeniu planów zarządzania kryzysowego, oraz raportowaniu o każdym incydencie, który miałby znamiona cyberprzestępstwa. Te zalecenia są tak jakby rozszerzeniem tych, które można znaleźć w dyrektywie o komunikacji elektronicznej.