Błędne koło
-
- Krzysztof Silicki,
- 04.07.2005
Kto nadzoruje?
Liczba incydentów zgłoszonych do zespołu CERT Polska na przestrzeni ostatnich lat
W społeczeństwach o wysoko rozwiniętej kulturze technicznej działania na rzecz podniesienia kultury bezpieczeństwa IT muszą przybierają postać zinstytucjonalizowaną. Szansą na to jest powołana w połowie 2004 r. Europejska Agencja Bezpieczeństwa Sieci i Informacji - ENISA.
W założeniach ma być europejskim centrum wiedzy, które mogłoby służyć Komisji Europejskiej oraz krajom członkowskim wsparciem w postaci doradztwa i zaplecza dla rozwiązywania problemu rosnącego zagrożenia bezpieczeństwa komunikacji elektronicznej w sposób skoordynowany, w uzgodnieniu ze wszystkimi sektorami gospodarki, nauki, administracji publicznej.
ENISA jest agencją działającą w sposób jawny dla opinii publicznej, pełniąc rolę niezależnego centrum gromadzącego wiedzę najlepszych ekspertów bezpieczeństwa z krajów członkowskich, reprezentujących różne dziedziny działalności - łącząc doświadczenia producentów, użytkowników, naukowców, rozmaitych organizacji zajmujących się problematyką bezpieczeństwa IT.
Agencja ma w zamierzeniach Unii Europejskiej wzmocnić zdolność gospodarki unijnej do przeciwdziałania i reagowania na problemy z zakresu bezpieczeństwa ICT. Powinna dawać wsparcie Komisji Europejskiej i poszczególnym krajom członkowskim we wszystkich kwestiach związanych z wyżej wymienioną problematyką, a także w tworzeniu i rozwijaniu prawa w tym zakresie.
Struktura organizacyjna Agencji jest dość prosta. Nad wypełnianiem celów zapisanych w Regulacji Komisji Europejskiej nr 460/2004 opisującej cele i zasady działania ENISY czuwa kolegialne ciało nazwane Radą Zarządzającą. W skład Rady wchodzi po jednym reprezentancie z każdego kraju członkowskiego (uzupełnionego przez zastępcę), trzech przedstawicieli Komisji Europejskiej oraz po jednym reprezentancie z każdej z poniższych grup (bez prawa głosu):
- przemysł ICT (Information and Communication Technology)
- organizacje konsumenckie
- eksperci akademiccy
Istotnym ciałem ENISY jest natomiast Permanent Stakeholders Group (PSG) - zespół powoływany przez Dyrektora Zarządzającego w celu wypracowania i realizacji konkretnych zadań (zaakceptowanych przez Radę Zarządzającą). Grupa ta (w założeniu ok. 30 osób), składająca się z reprezentantów różnych krajów i środowisk eksperckich, ma zapewnić prawidłowy dialog pomiędzy sektorem prywatnym (w tym producentami rozwiązań IT), organizacjami konsumenckimi, organizacjami międzynarodowymi i innymi istotnymi uczestnikami komunikacji elektronicznej.
Zespół PSG jest w początkowej fazie funkcjonowania. Powinien swym składem zapewnić równomierną reprezentację udziałowców procesu wytwarzania i korzystania z bezpiecznej komunikacji za pomocą komputerów. Jeśli uda się doprowadzić do rzeczowej dyskusji w ramach ENISA na temat wspólnego programu podniesienia bezpieczeństwa korzystania z systemów IT - jest szansa na wypracowanie krótkoterminowych i długoterminowych działań, które doprowadzą w końcu do zminimalizowania problemu bezpieczeństwa w Europie (i potencjalnie wszędzie indziej). Jest to zadanie ambitne, a czasu jest niewiele, ponieważ ENISA ma zapewniony budżet (zresztą nie tak duży) na pięć kolejnych lat.
Dla opracowania konkretnego zadania (np. najlepszych praktyk w analizie ryzyka, współpracy w ramach reagowania na incydenty komputerowe, najlepszych metod podnoszenia świadomości użytkowników) Dyrektor Zarządzający powołuje dedykowane grupy robocze. Chodzi o to, by ENISA zajęła się najbardziej palącymi problemami bezpieczeństwa, nie sposób bowiem zająć się skutecznie wszystkim od razu.
Po trzech latach funkcjonowania Agencji ma nastąpić pierwsza ocena efektów działania ENISY. Czy uda się przełamać zaklęty krąg nieskuteczności ochrony przed zagrożeniami Internetu? Czy Agencja zdoła wypracować sobie pozycję eksperta zdolnego doradzać Europie, w jaki sposób budować kulturę bezpieczeństwa IT?
Jest to zadanie ambitne i niełatwo o szybkie efekty. Powodzenie przełamania wspomnianego "błędnego koła" leży w aktywności wszystkich uczestników nowoczesnej komunikacji elektronicznej.
Jednym z zadań Agencji jest analiza istniejących ryzyk i zagrożeń związanych z korzystaniem z sieci teleinformatycznych:
- praca na rzecz wzrostu świadomości w zakresie bezpieczeństwa poprzez promowanie najlepszych praktyk w tym zakresie;
- działanie w celu budowania ogólnej kultury bezpieczeństwa sieci i informacji wśród społeczności użytkowników, konsumentów, przedsiębiorstw, sektora publicznego;
- promocja i wypracowywanie najlepszych metod szacowania ryzyka i zarządzania ryzykiem zarówno dla sektora publicznego, jak i prywatnego;
- wspieranie koordynowania rozmaitych inicjatyw, prac naukowych i badań w zakresie technologii bezpieczeństwa w celu lepszego ich wykorzystania;
- udostępnianie i wymiana informacji oraz doświadczeń z innymi agencjami i organizacjami zajmującymi się problematyką bezpieczeństwa oraz przemysłem i światem naukowym;
- współpraca z Komisją i krajami członkowskimi w celu wypracowania wspólnych metodologii przeciwdziałania, rozwiązywania i reagowania na problemy bezpieczeństwa;
- dialog z producentami sprzętu i oprogramowania w celu minimalizowania problemów bezpieczeństwa powodowanych przez poszczególne produkty;
- wspieranie powstawania standardów bezpieczeństwa dla produktów i usług;
- współpraca na skalę światową z krajami spoza Unii;
- przykładanie dużej wagi dla problemów małych i średnich przedsiębiorstw.
Krzysztof Silicki jest dyrektorem technicznym NASK, reprezentantem Polski w Radzie Zarządzającej ENISA.
