Forum Cyberbezpieczeństwa NASK w Karpaczu: skoordynowany proces przekazywania informacji o lukach w systemach wzmacnia nasze cyberbezpieczeństwo

Idea CVD polega na zapewnieniu formalnego, zgodnego z prawem procesu wyszukiwania przez użytkowników sieci luk w systemach i urządzeniach informatycznych, a następnie informowania o nich odpowiednich interesariuszy – producentów oprogramowania czy właścicieli infrastruktury. Jednocześnie obie strony obowiązuje zasada ujawnienia publicznie danego błędu wówczas, gdy zostanie już naprawiony.

„Organizacje zajmujące się bezpieczeństwem od dawna mierzą się z kwestią ujawniania informacji o podatnościach - dlatego tak ważne jest opracowanie standardów i procedur w tym zakresie. Obecnie kwestie prawne dotyczące CVD są różne w każdym państwie członkowskim UE, jednak instytucje unijne podejmują kroki w celu ujednolicenia wytycznych dla krajowych przepisów dotyczących tego zagadnienia” – tłumaczył Maciej Siciarek, dyrektor Pionu CSIRT w NASK.

To właśnie NASK, czołowy państwowy instytut badawczy, jest współorganizatorem Forum Cyberbezpieczeństwa – wyjątkowej przestrzeni przeznaczonej do debat nad kierunkami rozwoju cyfrowego świata podczas XXXI Forum Ekonomicznego w Karpaczu. Jedno ze spotkań ekspertów z państw europejskich dotyczyło właśnie organizacyjnych, prawnych i etycznych aspektów uregulowania kwestii CVD na poziomie europejskim oraz wymiany doświadczeń z krajów członkowskich.

„Sformułowaliśmy określone wskazówki, które pozwolą państwom członkowskim UE dostosować się do wymogów planowanej od dawna dyrektywy Komisji Europejskiej. Znajdują się wśród nich m.in. rekomendacje zmian w kodeksach karnych zapewniające badaczom luk w systemach bezpieczeństwa ochronę prawną czy uregulowanie kwestii etycznych, zapobiegających m.in. łamaniu reguły nieujawniania błędów w systemach przed ich usunięciem czy naprawieniem” – tłumaczył Juhan Lepassaar, dyrektor ENISA, agencji Unii Europejskiej ds. cyberbezpieczeństwa.

Ekspert zauważył, że kraje członkowie w różnym tempie decydują się na implementację rekomendacji ENISA. Są wśród nich prymusi, tacy jak Francja, Holandia czy Belgia, inne z kolei nie podjęły jeszcze istotnych kroków w tym zakresie. Polska znajduje się w grupie państw, które rozpoczęły proces przygotowywania się do organizacji tego procesu.

„Szybka identyfikacja podatności w systemach i produktach ICT i sprawne likwidowanie jest więc niezbędne, jeśli chcemy uniemożliwić przestępcom ich wykorzystanie. Firmy i instytucje powinny więc docenić determinację i zaangażowanie osób, które stosując na razie >>niepisany kodeks etyczny<<, w granicach prawa szukają luk w zabezpieczeniach, w konsekwencji wzmacniając tym samym bezpieczeństwo danych tysięcy użytkowników” – zauważył Maciej Siciarek.

Ekspert NASK dodał, że swoistym „game changerem” w tym zakresie jest wojna w Ukrainie. Agresji Rosji towarzyszy wzmożona aktywność hakerów, których celem jest zarówno motywacja finansowa np.: wymuszanie okupów, jak również paraliżowanie funkcjonowania życia politycznego i gospodarczego państw Unii Europejskiej. Tym bardziej powinniśmy zadbać o to by proces przekazywania informacji o zagrożeniach oraz skutecznego zabezpieczania systemów i produktów ICT był sprawniejszy i szybszy.

W Karpaczu trwa XXXI Forum Ekonomiczne – jedno z największych i najbardziej prestiżowych wydarzeń w naszej części Europy. Od 6 do 8 września tysiące gości - liderzy polityki, gospodarki, samorządu, wybitni przedstawiciele świata kultury i nauki z całego świata, dyskutuje o najistotniejszych wyzwaniach stojących obecnie przed Polską i całym kontynentem.  

Źródło informacji: PAP MediaRoom