Forum Cyberbezpieczeństwa NASK w Karpaczu – pierwsze wiadomości

Coordinated Vulnerability Disclosure (CVD) to jedna z kwestii wskazanych w projekcie Dyrektywy Parlamentu Europejskiego (tzw. Dyrektywa NIS2), na której obecnie skupiają się eksperci ds. cyberbezpieczeństwa.

W ostatnich latach obserwujemy wzrost liczby zagrożeń w cyberprzestrzeni. Ponadto pandemia i trwająca wojna na Ukrainie ujawniły destrukcyjny potencjał cyberprzestępców poszukujących podatności w systemach prywatnych i publicznych organizacji i instytucji – przyznali uczestnicy debaty eksperckiej w pawilonie NASK na XXXI Forum Ekonomicznym w Karpaczu. Musimy nauczyć się szybciej i skuteczniej reagować na zagrożenia, angażując ekspertów z różnych instytucji i osób.

Ideą CVD jest zapewnienie sformalizowanego i legalnego procesu dla internautów do wyszukiwania podatności w systemach i urządzeniach IT, a następnie poinformowania o nich odpowiednich interesariuszy, tj. producentów oprogramowania i właścicieli infrastruktury. Jednocześnie obie strony obowiązuje zasada publicznego ujawnienia poprawionego błędu.

„Organizacje bezpieczeństwa od dawna borykają się z problemem ujawniania podatności, dlatego tak ważne jest opracowanie standardów i procedur w tym zakresie. Obecnie kwestie prawne związane z CVD są różne w każdym państwie członkowskim UE, ale instytucje UE podejmują działania zmierzające do ujednolicenia wytycznych do ustawodawstwa krajowego w tej kwestii – wyjaśnił Maciej Siciarek, Dyrektor Pionu CSIRT NASK.

NASK, wiodący krajowy instytut badawczy, jest współorganizatorem Forum Cyberbezpieczeństwa, wyjątkowej przestrzeni poświęconej dyskusji o kierunkach rozwoju cyfrowego świata podczas XXXI Forum Ekonomicznego w Karpaczu. Jedno ze spotkań ekspertów z krajów europejskich dotyczyło organizacyjnych, prawnych i etycznych aspektów regulacji CVD na poziomie europejskim oraz wymiany doświadczeń państw członkowskich.

„Sformułowaliśmy kilka wytycznych, które pozwolą państwom członkowskim UE dostosować się do wymogów długo planowanej dyrektywy Komisji Europejskiej. Wśród nich są zalecenia dotyczące zmian w kodeksach karnych, aby zapewnić ochronę prawną badaczom przed naruszeniami bezpieczeństwa lub uregulować kwestie etyczne. „które zapobiegają m.in. złamaniu zasady nieujawniania błędów w systemach przed ich usunięciem lub naprawieniem” – wyjaśnił Juhan Lepassaar, dyrektor ENISA, Agencji Unii Europejskiej ds. Cyberbezpieczeństwa.

Ekspert zauważył, że państwa członkowskie decydują się na wdrożenie zaleceń ENISA w różnym czasie. Część z nich to liderzy, np. Francja, Holandia i Belgia, inni nie podjęli jeszcze znaczących kroków w tym kierunku. Polska należy do grona krajów, które rozpoczęły przygotowania do organizacji tego procesu.

„Szybka identyfikacja podatności w systemach i produktach teleinformatycznych oraz ich skuteczna eliminacja są zatem niezbędne, jeśli chcemy zapobiec wykorzystywaniu ich przez przestępców. etyki, szukają luk bezpieczeństwa w prawie, wzmacniając tym samym bezpieczeństwo danych dla tysięcy użytkowników – zaznaczył Maciej Siciarek.

Ekspert NASK dodał, że wojna na Ukrainie zmienia tu zasady gry. Agresji Rosji towarzyszy wzrost aktywności hakerskiej, której celem jest zarówno motywowana finansowo, np. wyłudzenie okupu, jak i paraliżowanie funkcjonowania życia politycznego i gospodarczego w krajach Unii Europejskiej. Co więcej, musimy zadbać o to, aby proces przekazywania informacji o zagrożeniach oraz skutecznej ochrony systemów i produktów teleinformatycznych przebiegał szybciej i sprawniej.

W Karpaczu odbywa się XXXI Forum Ekonomiczne, jedno z największych i najbardziej prestiżowych wydarzeń w naszej części Europy. Od 6 do 8 września tysiące gości, czyli liderzy polityki, gospodarki i samorządu, a także wybitni przedstawiciele świata kultury i nauki z całego świata, dyskutują o najważniejszych wyzwaniach stojących przed Polską i całym światem. świat twarz kontynentu.