W ubiegły czwartek Komisja Europejska opublikowała nową strategię bezpieczeństwa cybernetycznego i zaproponowała nową dyrektywę w sprawie bezpieczeństwa sieci i informacji.

Nikt nie wątpi w to, że cyberbezpieczeństwo jest ważne i należy o nie dbać. Można jednak zadać sobie pytanie, czy tworzenie kolejnych przepisów może w tej kwestii cokolwiek zmienić.

Może nowy urzędzik?

W nowej dyrektywie zaproponowano m.in.:

• zobowiązanie państw członkowskich do przyjęcia strategii w dziedzinie bezpieczeństwa sieci i informacji oraz wyznaczenia krajowych organów w dziedzinie bezpieczeństwa sieci i informacji;
• ustanowienie mechanizmu współpracy między państwami członkowskimi a Komisją;
• zobowiązanie operatorów infrastruktury krytycznej w niektórych sektorach (usług finansowych, transportu, energii i opieki zdrowotnej), dostawców e-usług oraz organów administracji publicznej do przyjęcia praktyk w zakresie postępowania w przypadku wystąpienia zagrożeń i zgłaszania incydentów mających znaczny wpływ na bezpieczeństwo świadczonych przez nie usług podstawowych.

Powyższe propozycje można odczytać jako zapowiedź kilku dodatkowych obowiązków dla e-usługodawców, dodatkowej biurokracji oraz stworzenia dodatkowych urzędów. W projekcie nowej dyrektywy jest mowa o tym, że państwa członkwskie mają stworzyć "kompetentne władze" ds. cyberbezpieczeństwa, które będą dysponowały odpowiednimi zasobami finansowymi, ludzkimi i technicznymi!

Czytelnicy Dziennika Internautów mogą pamiętać, że w styczniu ruszyła E3 - unijna "cyberpolicja" powołana do zwalczania różnego rodzaju cyberprzestępczości. Widać wyraźnie, że Bruksela ostro wzięła się za cyberbezpieczeństwo, ale głównie od strony instytucjonalnej.

150 tys. wirusów... i co z tego?

Komisja, przekonując do swoich racji, posługuje się liczbami. Według jej oszacowań...

• każdego dnia w sieci krąży około 150 tys. wirusów komputerowych, a infekowanych jest ok. 148 tys. komputerów;
• według Światowego Forum Gospodarczego w najbliższej dekadzie istnieje około 10 proc. prawdopodobieństwo poważnej awarii krytycznej, która spowodowałoby straty o wartości 250 mld dolarów;
• firma Symantec szacuje, że ofiary cyberprzestępczości na całym świecie tracą około 290 mld euro rocznie, natomiast według McAfee cyberprzestępczość przynosi przestępcom zyski rzędu 750 mld euro rocznie.

Te liczby mogą robić wrażenie, ale spójrzmy prawdzie w oczy - czy liczba wirusów o czymkolwiek świadczy? Czy można oszacować koszty awarii, która jeszcze nie wystąpiła, ale jest na nią 10% szans?

Są jeszcze oszacowania Symanteca i McAfee, ale można wątpić w to, czy dane podawane przez producentów antywirusów są wiarygodne. To nie są dane naukowe. Najczęściej opierają się one na prostym sumowaniu strat z wybranych incydentów i mnożeniu ich przez bardziej lub mniej dokładną liczbę wszystkich tego typu incydentów. To nie są dane na tyle wiarygodne, aby opierać o nie politykę.

Gwałtu! Samoloty pospadają!

Ten sam problem poruszany był w USA przy pracach nad kontrowersyjną ustawą CISPA. Miała ona dotyczyć cyberbezpieczeństwa, a okazała się poważnym zagrożeniem dla prywatności internautów.

Najciekawsze było jednak to, w jaki sposób politycy uzasadniali potrzebę wprowadzenia ustawy. Straszyli, że samoloty pospadają i pociągi się pozderzają, bo cyberprzestępcy uzyskają dostęp do kontroli ruchu (sic!). Oczywiście był to głupi argument, bo gdyby hackowanie kontroli lotów było możliwe, ustawa nic nie da i już teraz jest to niezgodne z prawem.

Liczby pokazywane przez Komisję Europejską to forma manipulacji podobna do straszenia spadającymi samolotami, może nieco bardziej inteligentna i pseudonaukowa. Prawda jest natomiast taka, że trudno ocenić, czy Europie potrzebne są nowe struktury i nowe prawo na rzecz cyberbezpieczeństwa. Być może należałoby jedynie wzmocnić organy ścigania i struktury już istniejące, ale czy ktoś brał to pod uwagę?

Eksperci od bezpieczeństwa nierzadko sugerują, że dobra polityka bezpieczeństwa w firmie może być o wiele bardziej skuteczna niż drogie antywirusy. Nierzadko zapobieganie cyberprzestępczości polega na edukowaniu użytkowników. Czy w takim razie potrzebujemy nowych "kompententnych władz ds. cyberbezpieczeństwa"?

Poniżej tekst nowej dyrektywy w sprawie bezpieczeństwa sieci i informacji: