Szef francuskiej agencji ds. cyberbezpieczeństwa krytykuje nowe unijne projekty w tej dziedzinie

źródło: Ivan David Gomez Arce/Flickr

Według dyrektora francuskiej agencji ds. bezpieczeństwa cybernetycznego projekty unijnych aktów prawnych stanowią zagrożenie dla państw członkowskich, które już mają zaawansowane standardy cyberbezpieczeństwa. Chodzi o Francję i Niemcy.

 

Zdaniem dyrektora francuskiej agencji ANSSI Guillaume’a Pouparda Niemcy i Francja mogłyby zostać zmuszone do „zrobienia poważnego kroku w tył”, gdyby projekt europejskich przepisów dot. cyberbezpieczeństwa został zatwierdzony w obecnej formie. Paryż i Berlin są największymi przeciwnikami wniosku Komisji Europejskiej z ubiegłego roku o zreformowanie zasad cybernetycznego bezpieczeństwa. Oba te kraje są szczególnie zaniepokojone pomysłem, który sugeruje stworzenie systemu certyfikacji poziomu cyberbezpieczeństwa produktów technologicznych.

Ów wniosek KE dałby unijnej agencji rezydującej w Atenach nowe uprawnienia do nadzorowania systemu certyfikacji. Guillaume Poupard i Arne Schönbohm, który kieruje niemiecką agencją ds. cyberbezpieczeństwa, twierdzą, że ENISA powinna pozostać z tyłu, ponieważ nie ma ani doświadczenia, ani siły roboczej, by przejąć tę nową rolę. Zamiast tego chcą, by państwa członkowskie prowadziły dyskusje. ANSSI, obok niemieckiej agencji BSI, jest jedną z największych instytucji europejskich, odpowiedzialnych za zapobieganie naruszeniom cyberbezpieczeństwa i reagowania na ataki hakerskie wymierzone w firmy lub urzędy państwowe.

Wielka Brytania i USA wspólnie oskarżyły Rosję o wspieranie cyberszpiegostwa

Wspólny raport na ten temat ogłosiły amerykański Departament Bezpieczeństwa Krajowego (DHS) oraz brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC). Opisały w nim masowy atak hakerski na routery, który miał posłużyć do wielkiej kampanii wymierzonej w rządowe instytucje oraz operatorów krytycznej infrastruktury.
 
Wspólne

ENISA w cieniu agencji francuskich i niemieckich

Komisja Europejska chce przekazać agencji ENISA więcej środków i pracowników, ale nawet wtedy będzie ona pozostawać w cieniu dużych francuskich i niemieckich agencji. „Wiemy, jak to zrobić, mamy doświadczenie, rozwijamy je od 20 lat” – powiedział Guillaume Poupard o francuskim systemie certyfikacji. „Chcemy systemu na poziomie europejskim, ale nie powinno to sprawić, że europejskie państwa zejdą na drugi plan” – dodał.

Jeśli wprowadzenie ENISA w nowy system skończy się porażką, będzie to oznaczało, że długie negocjacje były bezużyteczne. Co więcej potencjalne słabe kryteria certyfikacji mogą, według Pouparda osłabić przemysł cyberbezpieczeństwa we wszystkich krajach członkowskich, nie tylko we Francji i Niemczech. „To ogromna strata czasu dla Europy. Wszystko dzieje się bardzo szybko, hakerzy są bardzo skuteczni. Jeśli stracimy pięć lat, to jest to wieczność” – stwierdził dyrektor francuskiej agencji ds. cyberbezpieczeństwa.

Propozycja Komisji Europejskiej, przedstawiona we wrześniu ubiegłego roku, została zainicjowana jeszcze przed tym, jak masowe ataki WannaCry i NotPetya sparaliżowały europejskie przedsiębiorstwa w maju i czerwcu 2017 r. KE podkreśla jednak, że te incydenty skłoniły ją do przedstawienia nowych gwarancji prawnych.

Londyn oskarża Moskwę o cyberatak na Ukrainę

Brytyjski wiceminister spraw zagranicznych oskarżył Rosję o przygotowanie ubiegłorocznego hakerskiego ataku na ukraińskie sieci komputerowe za pomocą oprogramowania typu „ransomware”, które szyfruje zaatakowany sprzęt i żąda okupu za odzyskanie danych. Cyberatak uderzył przede wszystkim w Ukrainę, ale także w te …

Zgodnie z projektem przepisów ENISA będzie musiała skonsultować się z firmami i państwami członkowskimi przed ustaleniem kryteriów systemu certyfikacji. Kiedy ENISA zatwierdzi różne poziomy bezpieczeństwa, przedstawiciele państw członkowskich będą musieli zagłosować nad każdą z nich w ramach przyśpieszonej procedury legislacyjnej w formie rozporządzenia.

„Jesteśmy przekonani, że to się nie uda”

Zdaniem francuskich i niemieckich szefów agencji, ENISA nadal ma zbyt duży wpływ na system. „Jesteśmy przekonani, że to się nie uda” – powiedział Poupard. I dodał: „Nie byliśmy zbyt zadowoleni z propozycji, ponieważ nie odpowiada ona na wszystkie pytania i jest znacznie mniej skuteczna”.

Komisja twierdzi, że sprzeciw Francji i Niemiec wobec nadzoru ENISA nad nowym systemem spowolni jedynie proces przechodzenia na europejską certyfikację bezpieczeństwa cybernetycznego. Paryż i Berlin chcą, by państwa członkowskie uzyskały dodatkowy poziom kontroli, zanim ENISA zatwierdzi poziomy certyfikacji.

„Zapewniam państwa członkowskie, że tego rodzaju wpływy >>mogą mieć z czasem swoje konsekwencje<<” – powiedziała Despina Spanou, Dyrektor ds. Społeczeństwa cyfrowego, zaufania i cyberbezpieczeństwa w Komisji Europejskiej, pracująca nad prawodawstwem. Większy udział państw członkowskich może przeciągnąć zatwierdzanie rocznych kryteriów certyfikacji o „dodatkowy rok, co opóźni realizację programów” – obawia się Spanou.

KE przedstawiła projekt nowego podatku od działalności w internecie

Komisja Europejska chce opodatkować firmy, które aktywnie prowadzą działalność w internecie. Do tej pory ten obszar, choć przynosi coraz większe zyski, był słabo opodatkowany. Bruksela zastrzega, że nie chodzi jej o zaszkodzenie branży, ale o utrudnienie jej unikania płacenia podatków.
 
Według …

Orzecznictwo

W Parlamencie Europejskim debata skupiła się wokół obowiązku certyfikowania przez firmy swoich produktów przed wprowadzeniem ich do sprzedaży. Tymczasem wniosek Komisji Europejskiej sugeruje jedynie dobrowolną certyfikację. Guillaume Poupard chce, by przepisy wymagały certyfikacji produktów, które mogą stanowić poważne zagrożenie dla bezpieczeństwa. Chodzi np. o cyfrowe technologie w ochronie zdrowia czy samochody z dostępem do internetu.

Mimo to Francuz zgadza się z główną ideą wniosku KE: certyfikacja bezpieczeństwa cybernetycznego powinna obejmować całą UE, by ratować przedsiębiorstwa. „Potrzebujemy czegoś naprawdę europejskiego” – powiedział Poupard.

Według niego system musi być czymś więcej niż tylko porozumieniem między państwami członkowskimi, by wzajemnie uznawać krajowe certyfikaty. Chce, by agencje miały te same kryteria ustalania poziomów bezpieczeństwa. „Byłoby koszmarem, gdyby niektóre kraje zatwierdziły niewiarygodne kryteria dla produktów sprzedawanych później w innych państwach członkowskich” – powiedział Poupard.

ANSSI rozpoczęła prace nad nowymi technologiami zgodnie z agendą polityczną prezydenta Francji Emmanuela Macrona w obszarze sztucznej inteligencji. W ubiegłym miesiącu prezydent Macron ogłosił, że do 2022 r. Francja zainwestuje 1,5 mld euro z publicznych funduszy w badania nowych technologii.

Bezpieczne przesyłanie wiadomości w języku francuskim

Guillaume Poupard reprezentuje także JEDI, przełomową europejską inicjatywy na rzecz innowacji, stworzoną przez francuskich i niemieckich ekspertów z inicjatywy Emmanuela Macrona dla rozwoju zaawansowanych technologii. Projekt stworzenia bezpiecznego systemu komunikacji dla francuskiego rządu jest ważny, ponieważ jego zdaniem amerykańscy i azjatyccy usługodawcy prawdopodobnie przechowują dane poza Europą.

W zeszłym tygodniu francuskie Ministerstwo Cyfryzacji ogłosiło, że będzie pracować nad bezpieczną aplikacją do przesyłania wiadomości dla pracowników administracji państwowej, zamiast używanego dotąd WhatsAppa, czyli aplikacji należącej do Facebooka.

Poupard powiedział, że obecnie jest zainteresowany bardziej bezpiecznymi technologiami, gdyż w zeszłym miesiącu okazało się, że dane 87 mln użytkowników Facebooka zostały wykorzystane przez firmę Cambridge Analytica. Skandal ten pomógł ludziom „lepiej zrozumieć znaczenie ochrony własnych danych” – twierdzi szef francuskiej agencji ds. cyberbezpieczeństwa.

Cambridge Analytica: Nawet 87 mln użytkowników Facebooka dotkniętych aferą. Mark Zuckerberg przeprasza

Dyrektor wykonawczy Facebooka wystąpił na konferencji prasowej. Mark Zuckerberg przyznał, że jego firma popełniła „ogromny błąd”, ale zdementował jednocześnie pogłoski o jego możliwym odejściu ze stanowiska. Tymczasem okazuje się, że firma Cambridge Analytica pozyskała nielegalnie dane aż 87 mln użytkowników …

„Miejsce, w którym istnieje sens przechowywania danych z ekonomicznego, etycznego i prawnego punktu widzenia, to Europa. Jest to zgodne z celami JEDI i Francji oraz planami Komisji Europejskiej dotyczącymi inwestowania w technologie, które mogą konkurować z amerykańskimi gigantami. Musimy popracować nad rozwojem naszej cyfrowej autonomii w Europie, a nie nad suwerennością czy wykorzystaniem danych” – dodał Poupard.

Francja jest jednym państw członkowskich, które stworzyły specjalną strategię dotyczącą sztucznej inteligencji. W środę (24 kwietnia) KE ogłosiła program finansowania sztucznej inteligencji, mający na celu pomoc firmom europejskim w dogonieniu ich amerykańskich i azjatyckich konkurentów.