Az Európai Bizottság megerősítené az informatikai támadásokkal szembeni védelmet Európában – Brüsszel, 2010. szeptember 30.

Az Európai Bizottság 2010. szeptember 30-án két olyan új intézkedést jelentett be, amelyek következményeképpen Európa hatékonyabban védekezhetne a kulcsfontosságú informatikai rendszereit fenyegető támadások ellen. A Bizottság egyrészt irányelvjavaslatot terjesztett elő a különböző újfajta számítógépes bűncselekmények – például a tömeges informatikai támadások – elleni fellépésről, másrészt rendeletjavaslatot dolgozott ki az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) megerősítéséről és korszerűsítéséről. A két kezdeményezésről az európai digitális menetrend és a Stockholmi Program rendelkezett, amelyek célul tűzték ki a bizalom és a hálózatbiztonság fokozását (lásd: IP/10/581, MEMO/10/199 és MEMO/10/200). Az előterjesztett irányelvjavaslat lehetőséget biztosítana arra, hogy bíróság elé állítsák az informatikai támadások elkövetőit és a kapcsolódó rosszindulatú számítógépes programok előállítóit, és ezentúl súlyosabb büntetőjogi szankciók várnának ezekre a bűnözőkre. A tagállamok ezenkívül kötelesek lennének haladéktalanul reagálni az informatikai támadások ügyében hozzájuk intézett sürgős segítségkérésekre, aminek eredményeképpen hatékonyabbá válna az e területen folytatott európai igazságügyi és rendőrségi együttműködés. Mindemellett megerősödne és korszerűsödne az ENISA, ami hozzájárulna ahhoz, hogy az EU, a tagállamok és a magánszektor szereplői felkészültebben és szakszerűbben tudják megelőzni és felderíteni a kiberbiztonsággal kapcsolatos kihívásokat, és hatékonyabb válaszlépéseket adhassanak azokra. Mindkét javaslat rövidesen az Európai Parlament és az uniós Miniszterek Tanácsa elé kerül elfogadás céljából.

Cecilia Malmström, az uniós belügyekért felelős biztos a következőképpen nyilatkozott: „A bűnözők állandóan újabb módszereken törik a fejüket. A rosszindulatú számítógépes programok segítségével a hatalmukba tudják keríteni a számítógépeket, és ellophatják a hitelkártyák adatait, különleges információk birtokába juthatnak, és akár nagyszabású támadásokat is indíthatnak. Elérkezett tehát az ideje annak, hogy fokozzuk az – egyre gyakrabban szervezett formában is megjelenő – számítógépes bűnözés elleni erőfeszítéseinket. A ma előterjesztett javaslatok fontos lépést jelentenek, mivel bűncselekménnyé nyilvánítják a rosszindulatú számítógépes programok előállítását és értékesítését, és javítják az európai szintű rendőrségi együttműködést.”
Neelie Kroes, a Bizottság digitális menetrendért felelős alelnöke elmondta: „Ahhoz, hogy minden európai polgár belépjen a digitális korszakba, elengedhetetlen, hogy biztonságban érezhessük magunkat az interneten. A számítógépes veszélyek nem ismernek határt. Az Európai Hálózat- és Információbiztonsági Ügynökség korszerűsítésével új szakértelmet tudunk bevonni, és fellendül az Európában bevált módszerek egymás közötti átadása. Uniós intézményeinknek és a kormányoknak minden eddiginél szorosabban együtt kell működniük egymással annak érdekében, hogy értesüljünk az újfajta számítógépes fenyegetések jellegéről és kiterjedéséről. Ahhoz, hogy hatékony válaszadási mechanizmusokat dolgozhassunk ki internethasználó polgáraink és a vállalkozások védelme érdekében, szükségünk van az ENISA tanácsaira és támogatására.”

Európa igyekszik a legmesszebbmenőkig kiaknázni a hálózati és információs rendszerek nyújtotta lehetőségeket, eközben azonban nem szolgáltathatja ki magát a véletlenszerű vagy természeti események (például az elszakadt tenger alatti kábelek) vagy különböző rosszindulatú cselekmények (például a számítógépes rendszerekbe történő jogosulatlan behatolás vagy más informatikai támadások) előidézte zavaroknak. A rosszindulatú cselekményeket néha olyan, egyre bonyolultabb eszközökkel követik el, amelyek a tulajdonosok tudta nélkül képesek tömegesen „foglyul” ejteni és manipulálni a számítógépeket – mintha egyfajta internetes robothadsereg jönne létre (e hálózatok neve más néven botnet). A fertőzött számítógépekkel a későbbiekben pusztító informatikai támadásokat lehet indítani az akár állami, akár magántulajdonban lévő informatikai rendszerek ellen, ahogy erre 2007-ben Észtországban ténylegesen sor is került: átmeneti időre megbénult a nyilvános internetes szolgáltatások többsége, valamint számos kormányzati, parlamenti és rendőrségi szerver is. Az EU 2005 februárjában fogadta el az információs rendszerek elleni támadásokról szóló első szabályokat, az információs rendszerek elleni támadások száma azonban azóta is egyre nő. 2009 márciusában egy fertőzött számítógépekből álló hálózat több mint száz ország kormányzati és magánszervezeteinek számítógépes rendszerét támadta meg, és több különleges, illetve titkos dokumentum birtokába jutott. A rosszindulatú számítógépes programok ekkor is egy összehangolt támadás keretében távolról irányítható hálózatot, azaz botnetet hoztak létre a fertőzött számítógépekből.

A Bizottság ma előterjesztett csomagja megerősíti az informatikai zavarokra adandó európai válaszlépéseket. A Bizottság számítógépes bűnözésről szóló javaslata a már 2005 óta hatályos szabályokra épül, de bevezet néhány új súlyosbító körülményt és súlyosabb büntetőjogi szankciókat, amelyekre a veszélyek növekedése és az információs rendszerekkel szembeni nagyszabású támadások elleni hatékonyabb küzdelemhez van szükség.
A javaslat ezenkívül megnyitná az utat a tagállamokban működő bírói karok és rendőrségek közötti együttműködés javítása előtt, továbbá kötelezné a tagállamokat, hogy használják ki hatékonyabban a kapcsolattartó pontok (gov.CERT-ek) jelenleg is folyamatosan rendelkezésre álló hálózatát, és meghatározott időn belül reagáljanak a sürgős megkeresésekre.
Végül a javasolt irányelv előírná egy, az informatikai támadások nyilvántartására és nyomonkövetésére szolgáló rendszer kialakítását.

Megerősített együttműködés az országok között és az iparágakon belül
Az európai válaszlépések összehangolása érdekében a Bizottság most új rendeletet terjesztett elő a 2004-ben létrehozott Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) megerősítésére és korszerűsítésére. Ezzel megerősítené az uniós tagállamok és a bűnüldöző hatóságok közötti, valamint az iparágon belüli együttműködést. Az ENISA fontos szerepet kapna a bizalomépítés terén, ami az információs társadalom fejlődésének alapja: meg kellene erősítenie a felhasználók biztonságát és magánéletének védelmét.
Az ENISA új megbízatása keretében közös tevékenységekbe vonná be az uniós tagállamokat és a magánszektor szereplőit Európa-szerte: például kiberbiztonsági gyakorlatokat indítana, segítené a hálózatok ellenállóképességének fejlesztésére a köz- és magánszféra közötti partnerségeket, gazdasági elemzéseket és kockázatértékeléseket, valamint ismeretterjesztő kampányokat kezdeményezne.
A korszerűsítés után az ENISA rugalmasabb és alkalmazkodóbb lenne, és a szabályozási kérdésekben támogatni tudná és tanácsokkal tudná ellátni az uniós országokat és intézményeket.
Végül az egyre nagyobb kiberbiztonsági kihívások miatt a javasolt rendelet öt évvel meghosszabbítaná az ENISA megbízatását, továbbá fokozatosan növelné pénzügyi és humánerőforrásait. A Bizottság javaslata szerint meg kell erősíteni az ENISA irányítási szerkezetét is: erősebb felügyeleti szerepet kell biztosítani az igazgatótanácsnak, amelyben az uniós tagállamok és az Európai Bizottság képviselői vesznek részt.

Háttér
Az információs rendszerek elleni támadásokról szóló irányelvjavaslat elfogadásával hatályát vesztené a 2005/222/IB tanácsi kerethatározat. A tagállamok legkésőbb a számítógépes bűnözésről szóló új irányelv elfogadásától számított két éven belül kötelesek lennének az irányelvnek megfelelni, és azt átültetni nemzeti jogukba.
Az ENISA 2004-ben jött létre, és jelenlegi megbízatása 2012 márciusáig tart. A mostani javaslat szerint megbízatása újabb öt évvel hosszabbodna meg. A rendeletjavaslat kidolgozását széleskörű folyamat előzte meg, amelynek során figyelembe vették az ügynökségről készített értékelést, az ügynökség igazgatótanácsának ajánlásait, két nyilvános konzultációt és egy költség/haszon elemzést is magában foglaló hatásvizsgálatot.

További információk
Cecilia Malmström, az uniós belügyekért felelős biztos honlapja:
http://ec.europa.eu/commission_2010-2014/malmstrom/index_en.htm
Neelie Kroes a Bizottság digitális menetrendért felelős alelnökének honlapja:
http://ec.europa.eu/commission_2010-2014/kroes/index_en.htm
Információs társadalommal foglalkozó híroldal:
http://ec.europa.eu/information_society/newsroom/cf/menu.cfm
MEMO/10/459
MEMO/10/463


Legfrissebb sérülékenységek
CVE-2023-33960 – OpenProject sérülékenysége
CVE-2023-32324 – OpenPrinting CUPS sérülékenysége
CVE-2023-28066 – Dell OS Recovery Tool sérülékenysége
CVE-2023-26278 – IBM QRadar WinCollect Agent sérülékenysége
CVE-2023-26277 – IBM QRadar WinCollect Agent sérülékenysége
CVE-2023-33175 – Python ToUI modul sérülékenysége
CVE-2023-27988 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-32074 – Nextcloud User OIDC (OpenID Connect) sérülékenysége
CVE-2023-0950 – LibreOffice sérülékenysége
CVE-2023-2868 – Barracuda Email Security Gateway sérülékenysége
Tovább a sérülékenységekhez »