Strategia bezpieczeństwa cybernetycznego Unii Europejskiej krytykowana

Fundacja Bezpieczna Cyberprzestrzeń

7 lutego 2013r. opublikowany został dokument  „Strategia bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń”. Dokument zakłada kompleksowe spojrzenie na sprawy bezpieczeństwa teleinformatycznego, wspólne dla wszystkich krajów wchodzących w skład UE. Dokumentowi towarzyszy projekt dyrektywy w sprawie środków zapewniających wspólny poziom bezpieczeństwa sieci i informacji w Unii Europejskiej, którą zaprezentowała Komisarz Nelie Kroes, odpowiadająca za rozwój rynku sieci i usług telekomunikacyjnych.

Główni adwokaci ochrony danych UE krytykują plany Unii Europejskiej związane ze zwalczaniem cyberprzestępczości, mówiąc że nie zapewniają wystarczającej ochrony danych osobowych. Zostało wydane oświadczenie w tej sprawie. Europejski Inspektor Ochrony Danych (EIOD) Peter Hustinx w oświadczeniu sugeruje, że UE zbyt mało uwagi poświęca istniejącym przepisom i że dobrze byłoby mieć bardziej rygorystyczne  definicje, na przykład co dokładnie Komisja Europejska rozumie przez „cyberprzestępczość”. Oświadczenie wydane jako oficjalna „opinia”  jest odpowiedzią na strategię  planu cyberbezpieczeństwa UE.

Dokument „Strategia bezpieczeństwa cybernetycznego Unii Europejskiej:…” po jego wydaniu został odebrany z ogólną aprobatą ale bez entuzjazmu, ogólne opinie dające się słyszeć zakładały konieczność dopracowania dokumentu i niektórych jego założeń (w Polsce opinię w tej sprawie wydała Fundacja Instytut mikroMAKRO http://www.mikromakro.pl/wp-content/uploads/2013/03/EU-strategia-cyberbezpieczenstwa.pdf ). Ogólna opinia jaką dało się słyszeć mówiła, że KE zmierza w dobrym kierunku, ale propozycje są zbyt niejasne. Wcześniej wspomniana opinia Inspektora (EIOD) wydaje się echem tego, czyli przyjęcie istnienia strategii, ale ze wskazaniem na kilka potencjalnych problemów.

Najważniejsze co stwierdza Inspektor, że „godne pożałowania” (termin powtarza się wiele razy w dokumencie opinii) jest to, że strategia nieodpowiednio podkreśla prywatności jako kluczowego elementu wszelkich planów w odniesieniu do danych osobowych. Inspektor przyznaje, że kwestie prywatności objęte są w niektórych częściach strategii, ale nie ma wzmianki o nich w sekcjach obejmujących cyberprzestępczość, gdzie prywatność jest kluczowa.

Większość cyberprzestępczości obejmuje w jakiś sposób kradzież lub nadużycia danych osobowych, a wszelkie działania zmierzające do złagodzenia takich sytuacji muszą nieuchronnie wiązać się z gromadzeniem i przekazywaniem prywatnych danych, policji i innych organów.

Dane wspólne mogą zawierać informacje na temat ofiar, podejrzanych i osób postronnych niewinnych, więc zapewnienie, że gromadzenie i udostępnianie odbywa się w ramach dobrze zdefiniowanych i uregulowanych granicach jest głównym problemem.

Te obawy wiążą się również z innym punktem gdzie Inspektor wyrażał żal, że zabrakło wzmianki o  równoległych planach w dziedzinie cyfrowej ochrony danych. Należą do nich proponowane ogólne rozporządzenia o ochronie danych z ubiegłego roku, a także wskazanie istniejących krajowych organów ochrony danych, takie jak informacje o Urzędzie Komisarza Wielkiej Brytanii.

Inspektor uważa, że organy te powinny odgrywać ważną rolę w zapewnieniu planu walki z cyberprzestępczością nie naruszając prywatności, ale są one pominięte w dokumencie strategicznym. Wiele z tych samych zarzutów są również w dyrektywie NIS.

Kolejnym punktem krytyki jest dość szeroka definicja cyberprzestępczości podanej w przypisie do tej strategii:

“Cyberprzestępczość często odnosi się do szerokiego zakresu różnych działań przestępczych, gdzie komputery i systemy informatyczne uczestniczą jako podstawowe narzędzie lub jako główny cel.”

Cyberprzestępczość obejmuje tradycyjne przestępstwa (np. oszustwa, fałszerstwa i kradzież tożsamości), przestępstwa związane z treścią (np. dystrybucji pornografii dziecięcej on-line lub podżeganie do nienawiści rasowej) i wykroczenia unikalne związane z komputerami i systemami informatycznymi (np. ataki na systemy informatyczne, odmowa usługi czy złośliwe oprogramowanie).

Inspektor zwraca uwagę, że cyberprzestępczość i terminy z nią związane  „są wykorzystywane jako usprawiedliwienie dla niektórych szczególnych działań, które mogłyby powodować zakłócenia praw podstawowych, w tym prawa do prywatności i ochrony danych.”

Jest dość niepokojące, że UE może przyznawać policji i innym organom szczególne uprawnienia w przypadku, gdy może mieć miejsce „cyberprzestępczość”, w sytuacji kiedy „cyberprzestępczość” jest zdefiniowana tak szeroko, jako nieograniczona „szerokim zasięgiem”, ogólnie jako złe rzeczy kojarzące się lub mające związek z komputerami.

Wydaje się bardziej sensowne w tym przypadku mieć bardzo restrykcyjną definicję „cyberprzestępczości” jako przestępstw o rodzaju, które mogą wystąpić tylko cyfrowo, i traktować „normalne” przestępstwa – kradzież, oszustwo, pornografię etc – znane w „świecie rzeczywistym” jako ekwiwalentu, który akurat odbywa się on-line.

Analizując dokument  „Strategia bezpieczeństwa cybernetycznego…” mimo wzmożonego ostatnio dyskutowania o kwestii ochrony danych, nie wydaje się by w kręgach politycznych zwracano wystarczającą uwagę do prywatności danych.

Źródło:  http://nakedsecurity.sophos.com

Share Button