Stanowisko do tzw. pakietu cyberbezpieczeństwa
2017-10-05
Uwagi horyzontalne
Na wstępie pragniemy podkreślić, iż Konfederacja Lewiatan pozytywnie odnosi się do głównych tez Wspólnego Komunikatu Komisji Europejskiej i Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa oraz do przedstawionego przez Komisję pakietu cyberbezpieczeństwa.
Niezależnie od wyrażenia ogólnego poparcia dla potrzeby ustanowienia wspólnych działań i standardów oraz efektywnej współpracy na poziomie rządów i organów Państw Członkowskich w walce z cyberprzestępczością i jej przeciwdziałaniu, w tym poprzez zharmonizowane wdrożenie Dyrektywy 2016/1148 (tzw. Dyrektywa NIS) do maja 2018 r. oraz poszerzenie roli i wzmocnienie ENISA, pragniemy odnieść się do kilku wybranych elementów przedstawionego pakietu cyberbezpieczeństwa, które bezpośrednio przekładają się na biznes zrzeszonych w Konfederacji Lewiatan przedsiębiorców.
Konfederacja Lewiatan jest zdania, że u źródła sprawnej i efektywnej polityki w zakresie cyberbezpieczeństwa w UE leżą przemyślane i możliwe do realizacji, w warstwie technicznej i organizacyjnej, ramy prawne wspomnianej polityki. Owe ramy powinny gwarantować większą współpracę, w tym współpracę publiczno - prywatną, zapewniać dużą elastyczność działania firm, i jednocześnie być wyrazem zrozumienia zagrożeń i ryzyk związanych z wspólnymi wyzwaniami cybernetycznymi.
Ramy certyfikacji bezpieczeństwa cybernetycznego UE w zakresie produktów, usług i procesów oraz odpowiedzialność przedsiębiorców
Odnosząc się do wniosku KE o ustanowienie ram certyfikacji i przepisów (przedstawionego w ramach dokumentu COM (2017) 477), popieramy tę propozycję. W naszej ocenie przedmiotowa certyfikacja przyczyni się do wzrostu zaufania konsumentów i jakości bezpiecznych produktów i usług oraz do szybszego rozwoju unijnego rynku Internetu Rzeczy (IoT), także w aspekcie transgranicznym. Za zdecydowanie słuszne uważamy podejście, zgodnie z którym przedsiębiorcy nie mają obowiązku poddania się certyfikacji bezpieczeństwa cybernetycznego, lecz jest ona dobrowolna. Tym samym, certyfikacja nie będzie stanowiła niepotrzebnej bariery wejścia dla start-up-ów i firm eksperymentujących z innowacyjnymi produktami i usługami, a jednocześnie może stanowić czynnik konkurencyjności pomiędzy firmami.
Zgadzając się co do zasady z potrzebą uwzględniania szeroko pojętego bezpieczeństwa począwszy od fazy projektowania („security by design") i pozytywnej roli certyfikacji, pragniemy zwrócić uwagę, iż postęp technologiczny niesie ze sobą równoległy rozwój rozwiązań i funkcjonalności służących ludziom, jak też umożliwiających działania szkodliwe, czy przestępcze. Z tego względu nie ma i nigdy nie będzie realnej możliwości zapewnienia bezpieczeństwa w 100%, co zresztą słusznie zauważa Komisja Europejska w swym Komunikacie. Biorąc to pod uwagę, jak również konieczność rzeczywistego stworzenia otoczenia sprzyjającego innowacyjności i konkurencyjności unijnych usług i produktów, które poddawane są coraz większym rygorom regulacyjnym, pragniemy podkreślić, iż należy wystrzegać się nadmiernej i przedwczesnej ingerencji regulacyjnej w obszar IoT nie tylko w odniesieniu do cyberbezpieczeństwa, lecz także w kontekście analizowanej przez Komisję Europejską możliwości rewizji wymagań dyrektywy 85/374/EWG dotyczącej odpowiedzialności za produkty wadliwe (do której Komisja odnosi się pośrednio w Komunikacie). W tym kontekście można mieć wątpliwości co do celu jakiemu służą tzw. „IoT trust labels". Polityka cyberbezpieczeństwa powinna prowadzić do zapewnienia rozpoznawania ryzyk i rozpowszechnienia informacji w sprawie zagrożeń z obszaru cyberbezpieczeństwa biorąc pod uwagę to, jakie działania przedsiębiorstwa z różnych sektorów i o różnej wielkości podejmują w zakresie identyfikacji, oceny i łagodzenia skutków ryzyk cyberbezpieczeństwa. Przyjęcie podejścia opartego na ryzyku przedsiębiorstw jest lepsze i efektywniejsze.
Zdaniem Konfederacji Lewiatan nie IoT trust labels" ale raczej kodeksy dobrych praktyk w obszarze cybersecurity„ code of conduct in cybersecurity" powinny spełniać następujące wymagania:
a) powinny pozostać dobrowolne, . Istotne jest by wspomniana zasada nie została zmieniona, pośrednio, poprzez system zamówień publicznych. Istotne jest by ograniczone zasoby były zainwestowane w konkretne działania w obszarze cybersecurity.
b) powinny zachęcić przedsiębiorstwa z wszystkich sektorów do tego by podejmować i rozpowszechniać działania samoregulacyjne w odniesieniu do specyficznych obszarów technologicznych. Dzięki temu odnosić się one ( kodeksy dobrych praktryk -cybersecurity code of conduct) będą do aktualnych najlepszych praktyk w zakresie cyberbezpieczeństwa i certyfikacji oraz pozostaną technologicznie neutralne. Zasada one size fits all w odniesieniu do IoT trust labels nie przystaje do wielkości obecnych i przyszłych technologii IoT. Zamiast powyższego powinno się promować zróżnicowane sektorowo dobrowolne podejście do usprawnień w obszarze bezpieczeństwa IoT. powinny wpisywać się w i pozostawać w zgodności ze światowymi standardami cyberbezpieczeństwa, biorąc pod uwagę globalne zagrożenia i praktyki w tym obszarze. Owe światowe standardy są obecnie w fazie wypracowywania (np. standardy ISO). Europa powinna aktywnie uczestniczyć w tym procesie, bardziej niż kreować własne standardy. mogą się okazać użyteczne tylko wtedy, gdy wraz z nimi wprowadzony zostanie system nadzoru nad ich funkcjonowaniem na rynku. Oznacza to poniesienie kosztów przez państwa członkowskie w zakresie kontroli rynku, kwestionowane przez wiele krajowych agencji zajmujących się bezpieczeństwem.mogą uśpić czujność użytkowników, przekonanych o tym że „security label" stanowi gwarancję, że ich urządzenia są całkowicie bezpieczne. Wielu konsumentów może nie mieć świadomości potrzeby dokonywania aktualizacji bezpieczeństwa na używanych przez nich urządzeniach lub że ich urządzenia mogą nie przewidywać takich opcji. Implementacja i egzekwowanie wspólnych standardów cyberbezpieczeństwa, w zgodzie z trendami światowymi w tej dziedzinie oraz promowanie dobrowolnych kodeksów dobrych praktyk w tym zakresie jest, w tym kontekście, właściwym i pewnym rozwiązaniem.
Kształtowanie skutecznej unijnej prewencji cybernetycznej, w kontekście wzrostu zjawiska przestępczości cybernetycznej, w tym ataków ransomware (oprogramowania szantażującego) i działań w ukrytej sieci (darkweb)
Podobnie jak Komisja Europejska, zdecydowanie widzimy konieczność podjęcia szybkich kroków w kierunku skuteczności identyfikowania podmiotów dopuszczających się cyberprzestępstw, doskonalenia efektywności organów ścigania, poprawy prawa karnego celem stworzenia klarownych i dostosowanych do szybko zmieniających się rozwiązań technologicznych podstaw formalnych do skutecznego ścigania sprawców cyberprzestępczości. Pragniemy przy okazji zwrócić uwagę, iż w polskim kodeksie karnym wciąż brak jest definicji takich pojęć jak: przestępczość komputerowa, przestępczość internetowa, cyberprzestępczość, co pośrednio przekłada się na ograniczone możliwości ścigania tego typu przestępstw, a także na brak odpowiedniej znajomości zagadnień Internetu/nowych technologii przez policję, prokuraturę i sądy. Wyrażamy nadzieję, iż implementacja do prawa krajowego przepisów projektowanej Dyrektywy w sprawie zwalczania fałszowania i oszustw związanych z bezgotówkowymi środkami płatniczymi w pewnej mierze przyczyni się do poprawy sytuacji w tym zakresie. Czekamy także na zapowiedziane w Komunikacie wnioski KE dotyczące ułatwienia transgranicznego dostępu do elektronicznego materiału dowodowego.
Wątek ten jest ważny także w kontekście strat ponoszonych przez gospodarki Państw Członkowskich, twórców, przedsiębiorców i użytkowników końcowych wskutek działań przestępczych naruszających prawa własności intelektualnej. Z uwagi na intensyfikację i pogłębianie się działań przestępczych w Internecie, w tym poprzez sieć ukrytą, coraz częściej dochodzi do sytuacji, gdy przestępcy umieszczający lub umożliwiający dostęp w sieci do tzw. treści pirackich naruszają nie tylko prawa własności intelektualnej i prawa licencyjne, lecz przy okazji kierują działania przestępcze przeciwko odbiorcom tych treści. Przykładem może być instalowanie na sprzęcie odbiorcy złośliwego oprogramowania, przechwytywanie haseł dostępu do kont bankowych, czy kradzież danych kart kredytowych, a następnie wykorzystywanie tych danych do pozyskiwania (pod nazwiskiem właściciela konta lub karty kredytowej) kolejnych treści nielegalnych lub finansowania innych działań przestępczych, nawet tak poważnych jak udział w handlu ludźmi czy handlu narkotykami. Zdarza się też, że nieświadomi ryzyka użytkownicy, skuszeni bezpłatnym dostępem do nielegalnych treści naruszających prawa własności intelektualnej, zgadzają się na wykorzystywanie mocy obliczeniowych i zasobów swych komputerów do wydobywania wirtualnej waluty (bitcoin mining) bez żadnej możliwości kontroli legalności tego procesu, czy też kontroli przeznaczenia pozyskanych z niego środków.
Pojawiają też stosunkowo nowe niepokojące zjawiska/metody kradzieży treści chronionych prawami własności intelektualnej i prawami licencyjnymi, takie jak content ransom, polegający nażądaniu od wytwórni filmowej lub serwisu posiadającego prawa wyłączne do danej treści bardzo wysokich kwot okupu za skradzione lub rzekomo skradzione nowe atrakcyjne treści, które nie zostały jeszcze udostępnione odbiorcom, pod groźbą ich powszechnego upublicznienia w Internecie.
Kolejną kwestią są przypadki przechwytywania danych zgromadzonych na komputerach prywatnych i firmowych i żądania okupu za przywrócenie danych.
Wymienione powyżej przykładowe działania cyberprzestępców wymagają z pewnością skutecznej reakcji i ukrócenia, lub przynajmniej zminimalizowania ich skali, stąd nasze wyraźne wsparcie dla planowanych działań Komisji Europejskiej w tym obszarze, włączając wzmocnienie zdolności technologicznych i roli Europolu. Pozytywnie odnotowujemy deklarację wsparcia przez Komisję na istotnym poziomie finansowania zwalczania cyberprzestępczości w ramach instrumentu na rzecz współpracy policyjnej Funduszu Bezpieczeństwa Wewnętrznego oraz rozpowszechniania wśród specjalistów z organów ścigania, przy wsparciu Agencji Unii Europejskiej ds. Szkolenia w Dziedzinie Ścigania Przestępczości (CEPOL), opracowanych już materiałów.
Budowanie silnej unijnej bazy umiejętności cybernetycznych oraz propagowanie higieny cybernetycznej i świadomości zagrożeń
W pełni zgadzamy się z podejściem Komisji, iż edukacja stanowi ważny aspekt bezpieczeństwa cybernetycznego. Istotne jest zarówno kształcenie odpowiednich kompetencji i umiejętności począwszy od szkolnictwa na poziomie podstawowym, po szeroko zakrojone kampanie edukacyjne adresowane do całego społeczeństwa, w tym do ludzi starszych, którzy są zazwyczaj stosunkowo łatwowierni i nie posiadają zbyt rozwiniętych kompetencji cyfrowych. W obszarze tym istnieje bardzo duża rola do odegrania przez poszczególne Państwa Członkowskie. Użytkownicy produktów i usług cyfrowych muszą być konsumentami świadomymi, także w aspekcie świadomości istniejących zagrożeń cybernetycznych, a ciężarem kształtowania świadomości konsumentów nie mogą być obarczani głównie przedsiębiorcy poprzez nakładanie na nich rozbudowanych obowiązków regulacyjnych, w tym technicznych i informacyjnych. Warto się tu odnieść do funkcjonującego już na bazie unijnej doktryny prawnej i orzeczeń TSUE wzorca przeciętnego europejskiego konsumenta, który jest nie tylko odpowiednio poinformowany, lecz także świadomy, rozsądny, ostrożny i samodzielny. Bezpieczeństwo cybernetyczne jest z pewnością dużym wspólnym wyzwaniem społecznym wymagającym zaangażowania organów i agencji unijnych, administracji rządowej, podmiotów gospodarczych i społeczeństwa. Dlatego też z zadowoleniem przyjmujemy zapisy Komunikatu odnoszące się do obowiązków Państw Członkowskich w tym obszarze a także wskazanie, iż administracja publiczna na szczeblu UE i na szczeblu krajowym powinna odgrywać przewodnią rolę w pobudzaniu dalszych postępów. Niezależnie, rozumiemy rolę jaką w tym procesie edukacyjnym odgrywać powinien biznes, m.in. poprzez dostarczanie odbiorcom końcowym dobrze zabezpieczonych produktów i usług oraz właściwych narzędzi i odpowiednio dostosowanych informacji, celem zwiększenia cyberbernetycznego.
Konfederacja Lewiatan, KL/406/137/1772/AM/2017
