Którędy do bezpieczeństwa w sieci
Cyberpolicja i promocja technologii czy edukacja i wspieranie użytkowników sieci? Którą drogę wybierze Unia Europejska? Posłanka szwedzkiej Partii Piratów Amelia Andersdotter o debacie nt. bezpieczeństwa w sieci, specjalnie dla „Zielonych Wiadomości”.
Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) jest agencją badawczą ustanowioną przez Unię Europejską w 2004 r. Do jej zadań należy analiza i doradztwo w rozwijaniu unijnej polityki w dziedzinie bezpieczeństwa sieci. Obecnie działalność ENISA jest poddawana ocenie przez instytucje UE w związku z ewentualnym przedłużeniem jej mandatu, co dało asumpt do dyskusji o tym, jakie powinny być jej zadania i obszar działalności. Niektórzy europosłowie pragną poszerzyć zakres działania ENISA, a także zintegrować ją z europejskimi instytucjami policyjnymi. Uważam, że jest to niepotrzebne, a na dodatek wykracza poza obszar dotychczasowego doświadczenia i kompetencji agencji.
W ostatnich dwóch latach Unia Europejska oraz wiele spośród jej państw członkowskich musiało się zmierzyć z nowymi formami sieciowego aktywizmu, które wzbudziły szeroki oddźwięk w mediach. Zwróciło to uwagę na różnorodne zagrożenia dla bezpieczeństwa w internecie i ich potencjalny wpływ na społeczeństwo. W instytucjach odpowiedzialnych za formułowanie polityki zaczęły z coraz większą intensywnością krążyć nowe kombinacje słów: „cyberprzestępczość”, „cyberbezpieczeństwo”… Wszyscy dziś głowią się nad tym, jak rozwiązać problemy bezpieczeństwa w sieci.
Reagowanie kryzysowe czy wspieranie użytkowników?
To prawda, że internetowa przestrzeń międzyludzkiej komunikacji tworzy nie tylko mnóstwo nowych możliwości, ale czasem też niesie ze sobą zagrożenia. Ale nie należy przeceniać potrzeby tworzenia jednostek policyjnych online. W sieci takiej jak internet największym źródłem ryzyka są użytkownicy. Najczęściej nie są oni do końca świadomi tego, jak system działa, i dlatego mogą popełniać błędy, wystawiając go na zagrożenia. Dlatego w przypadku większości sieci najlepszą gwarancją ich stabilności i bezpieczeństwa jest umiejscowiony w danej instytucji serwis IT, który wspiera użytkowników.
Kiedy pod koniec stycznia w związku z zamieszaniem wokół ACTA serwery Europarlamentu zostały wystawione na atak DDoS, zespół odpowiedzialny za IT w ciągu dwóch godzin rozesłał uspokajający email, zapewniając nas, że robią wszystko, co w ich mocy, aby zapobiec dalszym zakłóceniom. Ponieważ sama zauważyłam zakłócenia dopiero po tym, jak zapytał mnie o nie dziennikarz „Le Soir”, wnioskuję, że wykonują tam naprawdę niezłą robotę. Z pewnością nie byłam jedyną osobą, którą uspokoiła ich szybka i spokojna reakcja.
Niepokoi mnie, że europejskie instytucje – Parlament i Komisja – zaczęły ostatnio ścigać się ze sobą o to, kto pierwszy zajmie się tymi nowymi „cyberzagrożeniami”. Parlamentarna komisja ds. ds. przemysłu, badań naukowych i energii sugeruje, żeby w ramach ENISA utworzyć Zespoły ds. Reagowania na Przypadki Naruszenia Bezpieczeństwa Teleinformatycznego (CERTs). Z kolei w ramach Komisji Europejskiej DG Home, dyrekcja generalna ds. wewnętrznych, ogłosiła niedawno, że chce zaangażować się w kwestie obronności UE, i wkrótce powołać podobny organ ds. reagowania kryzysowego. Tymczasem większa część sieci w Europie – zarówno infrastruktury, jak i oprogramowania – jest w rzeczywistości w rękach prywatnych aktorów. I to oni mogą podjąć działania niezbędne do zwiększenia jej bezpieczeństwa i odporności, a nie instytucje zajmujące się obronnością.
Technologia czy edukacja?
Inną sprawą, nad którą toczy się dyskusja, jest to, czy ENISA powinna promować „zapobiegające ryzyku technologie”. Na posiedzeniu komisji ds. przemysłu wraz z moim kolegą z frakcji Zielonych/WPE Philippem Lambertsem sugerowałam, że właściwsze byłoby „promowanie zapobiegających ryzyku zachowań”. Warto podjąć działania nastawione na uświadomienie ludzi w kwestiach związanych z używanymi przez nich technologiami. Chodzi np. o wprowadzenie bezpieczeństwa komputerowego jako obowiązkowego tematu w edukacji podstawowej, tak żeby każdy wiedział, jak zabezpieczyć sieć domową czy zaszyfrować dysk twardy, a także znać ryzyko związane z wirusami i umieć się przed nimi chronić.
Niestety w końcowym tekście raportu ds. ENISA pozostało niefortunne sformułowanie mówiące o technologiach. Jeśli naprawdę chodzi nam o zwiększenie bezpieczeństwa sieci, to standaryzowane, ujednolicone technologie nie na wiele się zdadzą. Siła i odporność sieci polega na jej różnorodności i na tym, że jej funkcjonowanie nie zależy od jakiegoś jednego konkretnego punktu.
Nie dawniej jak w zeszłym roku uświadomili to sobie politycy w Korei Południowej, kraju o skądinąd bardzo dobrze rozwiniętej infrastrukturze internetu. Pojawiła się wówczas – i szybko upadła – propozycja, aby zobowiązać użytkowników sieci do korzystania z zapobiegających ryzyku technologii. Nieposiadanie oprogramowania antywirusowego miało być ścigane przez prawo. Ale prawodawcy szybko zrozumieli, że narzucenie systemowi takiej różnorodności w gruncie rzeczy naraziłoby całą sieć na większe niebezpieczeństwo.
Do czego przyda się ENISA?
Skoro promocja technologii nie ma sensu, to do czego może się przydać ENISA? Agencja została pierwotnie powołana jako ośrodek badawczy i dobrze się sprawdziła w tej roli. Mogą poszerzyć obszar swoich analiz o badanie sytuacji w Europie i proponować zmiany w polityce bezpieczeństwa sieci w oparciu o doświadczenia w różnych częściach kontynentu. Ponieważ Europa ma naprawdę różnorodne doświadczenia, które można wykorzystać, budując politykę bezpieczeństwa sieci i informacji w oparciu o bogactwo geograficznej i kulturowej różnorodności, w której żyjemy.
Przeł. A.O. Więcej o debatach o ENISA można przeczytać na blogu autorki (tu i tu).
Jeśli nie zaznaczono inaczej, materiał nie może być powielany bez zgody redakcji.