Kommissæren for EUs digitale agenda, den mektige Neelie Kroes, la torsdag fram en helt ny strategi for kybersikkerhet.
Planene er en reaksjon på det stadig økende trusselbildet med kriminalitet som dataangrep, spionasje og svindel på internett.
Formelt heter det at strategien skal «beskytte et åpent internett, samt frihet og muligheter på nettet». Vår tids store oppfinnelse skal forbli en «åpen, trygg og sikker» arena.
Med følger det også et nytt forslag til EU-direktiv, som etter alt å dømme og sedvanlig vil bli gjort til norsk lov med tiden.
Blant tiltakene heter det at alle medlemslandene må opprette egne CERT-er, Computer Emergency Response Teams, altså datasikkerhetsetater. Norge har dette allerede i form av NorCERT, en operasjonssentral underlagt Nasjonal sikkerhetsmyndighet.
Nå kommer også en meldeplikt om datainnbrudd. Akkurat som Neelie Kroes har varslet tidligere, skal det bli slutt på å feie angrep under teppet.
Dette er et kontroversielt grep, fordi bedrifter i liten grad er interesserte i å blottlegge slike historier. Å fortelle at man er offer for datakriminalitet kan skade omdømmet.
Ifølge forslaget skal det bli opp til hvert enkelt CERT-organ å avgjøre om slike sikkerhetsbrudd skal offentliggjøres, samt hvorvidt det skal ilegges bøter. Plikten til å fortelle myndighetene at man har vært utsatt for angrep ligger i bunn. Det store spørsmålet er om allmuen også får vite det.
– Vi er nødt til å beskytte våre nettverk og systemer, og gjøre dem motstandsdyktige. Det kan bare skje ved at alle aktører tar sin skjerv og sine ansvar. Kybertrusler er ikke begrenset av landegrenser, og det bør ikke kybersikkerhet være heller, sier Kroes i en tale om lovforslaget.
Kroes nevner spesielt DigiNotar-skandalen som eksempel. Selskapet som utstedte SSL-sertifikater ble hacket, men unnlot både å fortelle om det, og de trakk heller ikke de falske sertifikatene som dukket opp tilbake.
Disse er berørt
EU-kommisjonen ramser opp en liste med hvilke sektorer som blir pålagt å fortelle om sikkerhetsbrudd.
Her fremgår det at sentrale nettbedrifter er omfattet, typisk større nettskytilbydere, sosiale nettjenester, e-handelsvirksomhet og søkemotorer.
Det er også banksektoren og børsene, samt kritisk infrastruktur som kraftprodusenter. Transportbransjen likeså.
Helsesektoren på bred front, inkludert alle som håndterer sensitive pasientopplysninger er selvsagt også pålagt å informere om eventuelle sikkerhetsbrudd.
Endelig er også offentlige myndigheter pålagt den samme meldeplikten.
Hva må de fortelle? Eller sagt på en annen måte, hvor alvorlig må hendelsen være før man pålegges å fortelle om det?
Det er kun hendelser som «i betydelig grad» påvirker sikkerheten i kjernetjenester tilbudt av markedsaktører og offentlig forvaltning som utløser rapporteringskravet, heter det.
Et strømbrudd utløst av datahacking, nedetid på system for hotellbestilling eller utfall av systemer for flyovervåkning etter kyberangrep er alle eksempler på hendelser som skal rapporteres.
– Den nasjonale etaten kan kreve at offentligheten informeres. Slik kunngjøring blir valgfritt. Offentlighetens interesser må veies i slike tilfeller, og sårbarheter bør ikke blottlegges før nødvendige sikkerhetsoppdateringer foreligger, opplyser EU-kommisjonen i proposisjonen.
Les også:
- [13.03.2013] Vil fase ut epost
- [27.11.2012] Vil ha meldeplikt om IT-angrep
