Len málo narušení kybernetickej bezpečnosti sa nahlási

Európska agentúra pre bezpečnosť sietí a informácií (ENISA) v pondelok (27.8.) zverejnila analýzu kybernetickej bezpečnosti v EÚ so zameraním na existujúcu a budúcu legislatívu bezpečnostných opatrení a na nahlasovanie incidentov.

V posledných rokoch sa zaznamenalo niekoľko vážnych prípadov narušenia kybernetickej bezpečnosti, ktoré mali významný vplyv na milióny užívateľov. Príkladom sú minuloročné výpadky služieb užívateľov Blackberry spôsobené chybou v britskom dátovom centre alebo dopady búrky Dagmar, ktorá vyradila z prevádzky milióny komunikačných liniek v Škandinávii.

Kybernetickému útoku sa v roku 2011 nevyhol ani holandský úrad pre vydávanie digitálnych certifikátov DigiNotar, čím bola ohrozená komunikácia miliónov užívateľov a firma napokon zbankrotovala.

Rok predtým došlo k incidentu, kedy počas takmer 20 minút 15 % celosvetovej internetovej komunikácie prechádzalo cez servery jediného čínskeho poskytovateľa telekomunikačných služieb.

Tento rok sa zase hackerom podarilo nabúrať do databázy hesiel siete LinkedIn.

Podľa agentúry však ide len o špičku ľadovca a väčšina podobných incidentov sa nikdy nenahlási a nezistí.

Tajnosti pred verejnosťou

„Kybernetické incidenty sa po objavení najčastejšie držia v tajnosti, čím sa užívatelia aj tvorcovia politík ponechávajú v temnote ohľadom frekvencie, vplyvu a koreňoch príčin,“ uviedli autori správy agentúry ENISA Marnix Dekker a Chris Karsberg.

Z ich analýzy vyplýva potreba zlepšiť celoeurópske zdieľanie nahlasovania incidentov. Spomedzi hore uvedených prípadov  len jeden spadal do pôsobnosti národného regulačného úradu, čo naznačuje medzery v súčasnej regulácii.

V rámci agentúry vznikla pracovná skupina národných regulátorov, ktorá vypracovala súbor spoločných opatrení bezpečnosti a formát pre nahlasovanie incidentov. To by malo umožniť jednotnejšiu implementáciu článku 13a smernice 2009/140/ES o  elektronických službách.

ENISA tiež uviedla, že nedávno dostala od regulačných úradov správy o 51 veľkých incidentoch, ktoré použila na prípravu Európskej stratégie pre kybernetickú bezpečnosť a európskeho školenia v kybernetickej bezpečnosti.

„Nahlasovanie incidentov je zásadné pre získanie skutočného obrazu o kybernetickej bezpečnosti. Stratégia EÚ pre kybernetickú bezpečnosť je dôležitým krokom a jedným z jej cieľov je rozsah ustanovené o podávaní správ ako článok 13a mimo sektora telekomunikácií,“ poznamenal výkonný riaditeľ agentúry ENISA Udo Helmbrecht.