Idea CVD polega na zapewnieniu formalnego, zgodnego z prawem procesu wyszukiwania przez użytkowników sieci luk w systemach i urządzeniach informatycznych, a następnie informowania o nich odpowiednich interesariuszy – producentów oprogramowania czy właścicieli infrastruktury. Jednocześnie obie strony obowiązuje zasada ujawnienia publicznie danego błędu wówczas, gdy zostanie już naprawiony.
„Organizacje zajmujące się bezpieczeństwem od dawna mierzą się z kwestią ujawniania informacji o podatnościach - dlatego tak ważne jest opracowanie standardów i procedur w tym zakresie. Obecnie kwestie prawne dotyczące CVD są różne w każdym państwie członkowskim UE, jednak instytucje unijne podejmują kroki w celu ujednolicenia wytycznych dla krajowych przepisów dotyczących tego zagadnienia” – tłumaczył Maciej Siciarek, Dyrektor Pionu CSIRT w NASK.
To właśnie NASK, czołowy państwowy instytut badawczy, jest współorganizatorem Forum Cyberbezpieczeństwa – wyjątkowej przestrzeni przeznaczonej do debat nad kierunkami rozwoju cyfrowego świata podczas XXXI Forum Ekonomicznego w Karpaczu. Jedno ze spotkań ekspertów z państw europejskich dotyczyło właśnie organizacyjnych, prawnych i etycznych aspektów uregulowania kwestii CVD na poziomie europejskim oraz wymiany doświadczeń z krajów członkowskich.
„Sformułowaliśmy określone wskazówki, które pozwolą państwom członkowskim UE dostosować się do wymogów planowanej od dawna dyrektywy Komisji Europejskiej. Znajdują się wśród nich m.in. rekomendacje zmian w kodeksach karnych zapewniające badaczom luk w systemach bezpieczeństwa ochronę prawną czy uregulowanie kwestii etycznych, zapobiegających m.in. łamaniu reguły nieujawniania błędów w systemach przed ich usunięciem czy naprawieniem” – tłumaczył Juhan Lepassaar, dyrektor ENISA, agencji Unii Europejskiej ds. cyberbezpieczeństwa.
Ekspert zauważył, że kraje członkowskie w różnym tempie decydują się na implementację rekomendacji ENISA. Są wśród nich prymusi, tacy jak Francja, Holandia czy Belgia, inne z kolei nie podjęły jeszcze istotnych kroków w tym zakresie. Polska znajduje się w grupie państw, które rozpoczęły proces przygotowani się do organizacji tego procesu.
„Szybka identyfikacja podatności w systemach i produktach ICT i sprawne likwidowanie jest więc niezbędne, jeśli chcemy uniemożliwić przestępcom ich wykorzystanie. Firmy i instytucje powinny więc docenić determinację i zaangażowanie osób, które stosując na razie „niepisany kodeks etyczny”, w granicach prawa szukają luk w zabezpieczeniach, w konsekwencji wzmacniając tym samym bezpieczeństwo danych tysięcy użytkowników” – zauważył Maciej Siciarek.
Ekspert NASK dodał, że swoistym „game changerem” w tym zakresie jest wojna w Ukrainie. Agresji Rosji towarzyszy wzmożona aktywność hakerów, których celem jest zarówno motywacja finansowa np.: wymuszanie okupów, jak również paraliżowanie funkcjonowania życia politycznego i gospodarczego państw Unii Europejskiej. Tym bardziej powinniśmy zadbać o to by proces przekazywania informacji o zagrożeniach oraz skutecznego zabezpieczania systemów i produktów ICT był sprawniejszy i szybszy.
W Karpaczu trwa XXXI Forum Ekonomiczne – jedno z największych i najbardziej prestiżowych wydarzeń w naszej części Europy. Od 6 do 8 września tysiące gości - liderzy polityki, gospodarki, samorządu, wybitni przedstawiciele świata kultury i nauki z całego świata, dyskutuje o najistotniejszych wyzwaniach stojących obecnie przed Polską i całym kontynentem.
Źródło informacji: PAP MediaRoom
mj/