EUs rammeverkdirektiv og personverndirektiv pålegger nettoperatører og tjenestetilbydere tiltak for sikkerhet og rutiner for varsling av kyberbrudd. Skjerpede regler tilbys i forslaget til personvernforordning og i forslaget til regulering av ID-tjenester. Blå linje angir myndigheters håndheving av reglene. Rød linje angir pålegg om varsling. Svart linje angir pålegg om informasjon og rapportering.
EUs rammeverkdirektiv og personverndirektiv pålegger nettoperatører og tjenestetilbydere tiltak for sikkerhet og rutiner for varsling av kyberbrudd. Skjerpede regler tilbys i forslaget til personvernforordning og i forslaget til regulering av ID-tjenester. Blå linje angir myndigheters håndheving av reglene. Rød linje angir pålegg om varsling. Svart linje angir pålegg om informasjon og rapportering. (Bilde: Enisa)

– Kyberbrudd må rapporteres

Dårlig oversikt undergraver tiltak for bedre sikkerhet, advarer EUs sikkerhetsorgan.

EU-organet for IT-sikkerhet, Enisa, utgir i dag en 14 siders rapport om rapportering av brudd mot kybersikkerhet: Cyber Incident Reporting in the EU.

Rapporten kartlegger EU-lovgivning som regulerer rapportering av kyberbrudd. Enisa viser til at det foregår mye underrapportering, og at dette undergraver muligheten for myndigheter, bransje og publikum til å få innsikt i hva som faktisk skjer. Det innebærer igjen at man ikke lærer av dårlige erfaringer, og ikke kan gjennomføre tilstrekkelige og nødvendige sikkerhetstiltak. Enisa mener EU-reglene skulle være tilstrekkelige, og foreslår tiltak for å sikre en felles tolkning og oppfølging gjennom hele unionen og i EØS-landene.

Rapporten viser til fem store tilfeller av kyberbrudd de to siste årene:

  • I juni i år ble LinkedIn-passordene til 6,5 millioner brukere lekket, og brukere ble oppfordret til å bytte passord.
  • I julen 2011 førte stormen Dagmar til strømbrudd som rammet mobil- og internettilgangen til millioner av brukere i Norge, Sverige og Finland i opptil to uker.
  • I oktober i fjor sviktet RIMs datasentral i Storbritannia, og millioner av Blackberry-brukere i EU og andre land var avskåret fra å sende og motta e-post. Nedetiden rammet særlig finanssektoren.
  • Sommeren 2011 opplevde Diginotar, en nederlandske utsteder av sikkerhetssertifikater, et datainnbrudd som gjorde det mulig for uvedkommende å lage over 500 falske PKI-sertifikater. De falske sertifikatene ble brukt til å avlytte rundt en halv million borgere i Iran.
  • I april 2010 presterte den kinesiske teleoperatøren China Telecom å kapre 15 prosent av verdens internettrafikk, blant annet til og fra store e-handelssteder som amazon.de og dell.com. Trafikken ble dirigert gjennom kinesiske servere i 20 minutter. Millioner av brukere verden over ble utsatt for avlytting fra kinesiske myndigheter.

Kyberbruddene etter stormen Dagmar ble rapportert i samsvar med reglene, også til Enisa og EU, fra Norge, Sverige og Finland. Tilfellet med Diginotar ble også fanget opp. Det ble derimot ikke kyberbruddene knyttet til lekkasjen av Linkedin-passordene, nedetiden til Blackberry-nettet og den kinesiske kapringen av nettrafikk.

Underrapporteringen vedvarer trass i den omfattende ajourføringen av EU-lovgivningen de siste årene.

Telekom-pakken fra 2009 tilførte det såkalte rammeverkdirektivet (Framework directive) en egen artikkel – Article 13a – om tilbyderes ansvar for å garantere tilgjengelighet og for å rapportere brudd og nedetid. De siste to årene har det vært samarbeidet tett mellom EU, Enisa og nasjonale telemyndigheter rundt implementeringen av Article 13a, sikkerhetstiltak og rapporteringsrutiner.

Den samme telekom-pakken førte til at EUs personverndirektiv fikk en ny Article 4 om sikkerhet knyttet til håndtering av personopplysninger, deriblant pålegg om sikkerhetstiltak og om rapportering ved brudd. I fjor etablerte Enisa en ekspertgruppe, med blant annet representanter for nasjonale datatilsyn, som skal anbefale hvordan Article 4 skal implementeres teknisk.

I januar i år vedtok EU-kommisjonen å erstatte dagens personverndirektiv med en personvernforordning for å sikre rask implementering av nye og tidsmessige regler i hele EU- og EØS-området. (Poenget er at mens et direktiv må behandles i medlemslandenes nasjonalforsamlinger, trer en forordning i kraft straks EUs sentrale organer har gjort et endelig vedtak.) Artiklene 30, 31 og 32 i det vedtatte utkastet inneholder pålegg om hensiktsmessige tekniske og organisatoriske sikkerhetstiltak overfor alle som håndterer personopplysninger, og pålegger også aktører i privat sektor umiddelbart å melde om brudd. Reglene pålegger også å underrette ofrene direkte dersom bruddene kan tenkes å gi uvedkommende tilgang til deres personopplysninger.

EU har også nylig publisert et forslag til regulering av tjenester knyttet til ID for elektroniske transaksjoner. Artikkel 15 i dette forslaget bruker rammeverkdirektivets artikkel 13a som modell, og spesifiserer sikkerhets- og rapporteringskrav som pålegges tjenestetilbydere.

Enisa mener nye og kommende sentrale regler er tilstrekkelige til å gi hensiktsmessig sikkerhet, samt varsling og rapportering av kyberbrudd.

Underrapporteringen som konstateres i rapporten skyldes ikke lovverket, men manglende forståelse og implementering. EUs IT-sikkerhetsorgan mener det er påkrevet at EU og nasjonale data- og teletilsyn diskuterer for å klargjøre rekkevidden av lovgivningen rundt elektronisk kommunikasjon, og særlig oppdatere tolkningen av hva begrepet elektroniske tjenester omfatter.

Rapporten understreker at hensikten med pålegg om rapportering og varsling, er å forebygge brudd og begrense skadevirkninger av bruddene som skjer trass i pålagte og implementerte sikkerhetstiltak. Det advares mot å knytte regelverk for nært til spesifikke teknologikrav. Det anbefales en «nedenfra og opp» tilnærming, med samarbeid mellom myndigheter og eksperter fra privat sektor. Målet må være å gjøre det så enkelt som mulig å implementere effektive tiltak, og oppmuntre utstyrsleverandører til å legge effektiv sikkerhet i sine produkter.

Ved sikkerhetsbrudd må det sikres at responsen blir så effektiv som mulig, og at krav til rapportering ikke sinker nødvendige mottiltak.

Enisa understreker skillet mellom rapportering for å sjekke at aktører implementerer lovverket, og informasjon som gjør det mulig å bekjempe en trussel og bedre sikkerhetsnivået. Det er behov for en betydelig opptrapping av innmelding av konkrete tilfeller og utveksling av informasjon med tanke på å lære og å utvikle bedre allmenne tiltak.

Enisa understreker at kost/nytte-analyse må anvendes på rapporteringsrutiner. Man må unngå både overflødige detaljer rundt underordnede trusler, og allmenn underrapportering. Det anbefales å utrede muligheter for felles automatiske verktøy og grensesnitt for kostnadseffektiv rapportering med et hensiktsmessig detaljnivå.

Til toppen