Analiza nowej strategii cyberbezpieczeństwa UE i Dyrektywy NIS2
Unia Europejska przedstawiła swoje nowe zamierzenia strategiczne w zakresie cyberbezpieczeństwa („strategia”). Razem z nową propozycją dyrektyw regulujących cyberbezpieczeństwo, infrastrukturę krytyczną i szyfrowanie typu end-to-end. O strategii najpierw.
Strategiczne podejście UE do cyberbezpieczeństwa?
Strategia zawiera kilka interesujących punktów. Na przykład:
Europejski DNS
Europejski system resolverów DNS. Ten punkt ma kluczowe znaczenie dla stabilności i zapewnienia korzystania z internetu. Niska obecność Europy (zwłaszcza niektórych państw członkowskich) w ramach serwerów (root) jest dobrze odczuwalna i może mieć konsekwencje. To także kwestia cybersuwerenności.
Komputery kwantowe lub sieci kwantowe
Strategia zawiera ciekawy/dziwny element w jednym miejscu. Wspomina o eksperymentalnej technologii, takiej jak „obliczenia kwantowe” (komputery kwantowe), wymieniające je w tych samych liniach, co inne bardziej dojrzałe, takie jak „szyfrowanie” czy „sztuczna inteligencja”. Czyżby autorzy czytali jakieś książki science-fiction, lub nie byli w stanie umiejscowić takich koncepcji w odpowiednich proporcjach? Jeśli tak, byłoby to niepokojące, w końcu jest to dokument strategiczny. To powiedziawszy, pomysł budowy i rozwoju sieci z szyfrowaniem kwantowym jest dobry (uwaga: to nie to samo co obliczenia kwantowe!). Europa była liderem w tej przestrzeni.
Standardy technologiczne
Unia Europejska przeznaczy więcej zasobów na prace nad normami technologicznymi o znaczeniu międzynarodowym. Pojawia się pytanie: kim UE to zrobi? Standaryzacja technologii to niezwykle rozległa i szybko zmieniająca się dziedzina. Może się dobrze wpisać w koncepcje cyber suwerenności. Poczekamy, zobaczymy.
Ochrona społeczeństwa obywatelskiego i badaczy
„UE powinna podejmować stałe wysiłki w celu ochrony obrońców praw człowieka, społeczeństwa obywatelskiego i środowiska akademickiego zajmującego się takimi kwestiami, jak cyberbezpieczeństwo, prywatność danych, nadzór i cenzura w Internecie. ”
Dobry punkt. Nie wymaga komentarza, nawet jeśli przecież nie dotyczyło by to Polski.
NIS, NIS2
Główną propozycją jest oczywiście nowa dyrektywa NIS2 („w sprawie środków dla wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii”). Dyrektywa NIS okazała się jedną z ważniejszych. Rozważa ona rodzaj “podmiotów”, na przykład związanych z operatorami usług kluczowych. Tych, których należy chronić przed zakłóceniami o dużym wpływie. NIS2 jest teraz w pełni dostosowana do nowej dyrektywy w sprawie infrastruktury krytycznej, która dotyczy również aspektów bezpieczeństwa fizycznego (często ważnego dla cyberbezpieczeństwo w centrach danych). NIS jest modelem dla polskiej ustawy Krajowy System Cyberbezpieczeństwa (pisałem o tym tu i tu).
NIS2 wymienia dwa typy podmiotów. Kluczowe (“niezbędne”) i ważne. Ramy zarządzania ryzykiem dla tych podmiotów są podobne. Ale wysokość kar “naprawczych będzie inna.
Usługi kluczowe i ważne
Uwzględnione usługi to choćby dostawcy usług w chmurze, usługi centrów danych (podmioty kluczowe). Ale także usługi pocztowe oraz przesyłki ekspresowe i kurierskie (ważne). W załączniku znajduje się pełna lista obejmująca podmioty z sektorów („kluczowych”), takich jak energia, transport, bankowość, zdrowie, woda, ścieki, infrastruktura cyfrowa (serwery DNS, przetwarzanie w chmurze itp.), administracja publiczna lub przestrzeń kosmiczna. Ogólnie lista jest zgodna z wyobrażeniem „infrastruktury krytycznej”. Cyberataki na taką infrastrukturę mogą mieć poważne skutki, z międzynarodowymi i humanitarnymi konsekwencjami.
Europejska baza danych podatności
Ponieważ więcej baz danych jest dokładnie tym, czego potrzebujemy, to powstanie europejska baza danych podatności, która będzie konkurować z konkurencyjną bazą danych NIST w USA. Ponownie w tym miejscu można odczuć wpływ na cyber suwerenności.
Szyfrowanie typu end-to-end powinno być obowiązkowe, ale możliwe do inspekcji.
„W celu zapewnienia bezpieczeństwa sieci i usług łączności elektronicznej należy promować stosowanie szyfrowania, a w szczególności szyfrowanie typu end-to-end, w razie potrzeby obowiązkowe dla dostawców takich usług i sieci zgodnie z zasadami domyślnego bezpieczeństwa i prywatności oraz z założenia do celów art. 18. Stosowanie szyfrowania typu end-to-end należy pogodzić z uprawnieniami państw członkowskich do zapewnienia ochrony ich podstawowych interesów w zakresie bezpieczeństwa i bezpieczeństwa publicznego oraz umożliwienie prowadzenia dochodzeń w sprawie przestępstw, ich wykrywania i ścigania zgodnie z prawem Unii. Rozwiązania zapewniające legalny dostęp do informacji w szyfrowanej komunikacji typu end-to-end powinny zapewniać skuteczność szyfrowania w ochronie prywatności i bezpieczeństwa komunikacji, zapewniając jednocześnie skuteczną reakcję na przestępstwa ”.
Obserwacje:
- szyfrowanie typu end-to-end (e2ee) powinno być obowiązkowe w niektórych przypadkach
- Ideą szyfrowania typu end-to-end jest to, że nikt spoza rozmowy nie może uzyskać dostępu do treści konwersacji,
- ale należy zagwarantować dostęp?
Te punkty są więc sprzeczne. Szyfrowanie end-to-end albo jest end-to-end, albo nie jest. O co więc chodzi? To będzie kontrowersyjne, bo mowa o budowę systemu zapewniającego wgląd w takie systemy.
W Europie ostatnio doświadczyliśmy oznak takich pomysłów na legalny dostęp do takich systemów szyfrowania. Podczas gdy legalny dostęp do komunikacji oczywiście jest istotny w krajach przestrzegających idei praworządności, nie jest jasne, jak pogodzić tę politykę (a więc nie technologię) z technologią e2ee (a więc nie polityką).
Przesyłanie powiadomień o incydentach
NIS wymaga przesyłania powiadomień o naruszeniu - o poważnych incydentach. Podobne wymagania istnieją także w innych przepisach, np. RODO. Co może oznaczać, że o pewnych zdarzeniach trzeba by informować kilka razy, do kilku właściwych organów (tak jest dzisiaj). Tak więc, aby system uprościć zawarto propozycję ujednolicenia tych zgłoszeń. Jednak w ten sposób NIS2 wkracza na terytorium RODO, które to powinno mieć pierwszeństwo przy aspektach związanych z ochroną danych osobowych.
Ocena ryzyka i powiadomienia
Ważne i istotne podmioty będą miały za zadanie ocenę zagrożeń cyberbezpieczeństwa, na jakie są narażone. Ponadto podmioty będą musiały powiadomić właściwe organy o „znaczącym zagrożeniu, które zidentyfikowano i które mogło potencjalnie spowodować znaczący incydent” („spowodowało lub może spowodować istotne zakłócenie działalności lub straty finansowe dla danego podmiotu” ). Ewentualnie będzie trzeba też ujawniać te informacje również swoim użytkownikom. Wstępne powiadomienie musi nastąpić „w ciągu 24 godzin od uzyskania informacji o zdarzeniu”. Ze szczegółowym raportem końcowym „nie później niż miesiąc później”. Odpowiednie organy mogą też poinformować opinię publiczną o takim zdarzeniu, jeśli jest ważne.
Grzywny w wysokości 10 mln lub 2% minus RODO
Nadzór i egzekwowanie mają być „skuteczne, proporcjonalne i odstraszające”. Uprawnienia dochodzeniowe obejmują kontrole w siedzibie podmiotów, kontrole wyrywkowe. Właściwe organy mogą wydawać ostrzeżenia, wiążące instrukcje („musisz skonfigurować X w ten sposób)”, nakazy, ale także kary.
Niektóre naruszenia mogą skutkować nałożeniem grzywien „co najmniej 10 000 000 EUR lub do 2% całkowitego światowego rocznego obrotu przedsiębiorstwa w zależności od tego, która z tych wartości jest wyższa”.
Gdy sprawa dotyczy naruszenia ochrony danych osobowych, takie grzywny nie są nakładane na kary wynikające z RODO. RODO (i jego jeszcze wyższy system kar) ma w tym przypadku pierwszeństwo.
Podsumowanie
W ostatnich latach wiele krajów zwiększa swoje cyberbezpieczeństwo. Europa nie jest wyjątkiem. NIS2 znacznie wzmacnia gwarancje NIS. Zawiera również ten dość kontrowersyjny element. Zaleca szyfrowanie end-to-end (nawet w niektórych przypadkach jest wymagane), ale powinno to być ograniczone wdrożenie - takie, w którym wciąż można uzyskać dostęp do treści. Problem w tym, że dziś nikt nie wie, jak to zrobić bezpiecznie.
Podobał Ci się ten wpis/analiza? Jakieś pytania, uwagi lub oferty? Zapraszam do kontaktu: me@lukaszolejnik.com