EU-organet for IT-sikkerhet, Enisa, utgir i dag en 14 siders rapport om rapportering av brudd mot kybersikkerhet: Cyber Incident Reporting in the EU.
Rapporten kartlegger EU-lovgivning som regulerer rapportering av kyberbrudd. Enisa viser til at det foregår mye underrapportering, og at dette undergraver muligheten for myndigheter, bransje og publikum til å få innsikt i hva som faktisk skjer. Det innebærer igjen at man ikke lærer av dårlige erfaringer, og ikke kan gjennomføre tilstrekkelige og nødvendige sikkerhetstiltak. Enisa mener EU-reglene skulle være tilstrekkelige, og foreslår tiltak for å sikre en felles tolkning og oppfølging gjennom hele unionen og i EØS-landene.
Rapporten viser til fem store tilfeller av kyberbrudd de to siste årene:
- I juni i år ble LinkedIn-passordene til 6,5 millioner brukere lekket, og brukere ble oppfordret til å bytte passord.
- I julen 2011 førte stormen Dagmar til strømbrudd som rammet mobil- og internettilgangen til millioner av brukere i Norge, Sverige og Finland i opptil to uker.
- I oktober i fjor sviktet RIMs datasentral i Storbritannia, og millioner av Blackberry-brukere i EU og andre land var avskåret fra å sende og motta e-post. Nedetiden rammet særlig finanssektoren.
- Sommeren 2011 opplevde Diginotar, en nederlandske utsteder av sikkerhetssertifikater, et datainnbrudd som gjorde det mulig for uvedkommende å lage over 500 falske PKI-sertifikater. De falske sertifikatene ble brukt til å avlytte rundt en halv million borgere i Iran.
- I april 2010 presterte den kinesiske teleoperatøren China Telecom å kapre 15 prosent av verdens internettrafikk, blant annet til og fra store e-handelssteder som amazon.de og dell.com. Trafikken ble dirigert gjennom kinesiske servere i 20 minutter. Millioner av brukere verden over ble utsatt for avlytting fra kinesiske myndigheter.
Kyberbruddene etter stormen Dagmar ble rapportert i samsvar med reglene, også til Enisa og EU, fra Norge, Sverige og Finland. Tilfellet med Diginotar ble også fanget opp. Det ble derimot ikke kyberbruddene knyttet til lekkasjen av Linkedin-passordene, nedetiden til Blackberry-nettet og den kinesiske kapringen av nettrafikk.
Underrapporteringen vedvarer trass i den omfattende ajourføringen av EU-lovgivningen de siste årene.
Telekom-pakken fra 2009 tilførte det såkalte rammeverkdirektivet (Framework directive) en egen artikkel – Article 13a – om tilbyderes ansvar for å garantere tilgjengelighet og for å rapportere brudd og nedetid. De siste to årene har det vært samarbeidet tett mellom EU, Enisa og nasjonale telemyndigheter rundt implementeringen av Article 13a, sikkerhetstiltak og rapporteringsrutiner.
Den samme telekom-pakken førte til at EUs personverndirektiv fikk en ny Article 4 om sikkerhet knyttet til håndtering av personopplysninger, deriblant pålegg om sikkerhetstiltak og om rapportering ved brudd. I fjor etablerte Enisa en ekspertgruppe, med blant annet representanter for nasjonale datatilsyn, som skal anbefale hvordan Article 4 skal implementeres teknisk.
I januar i år vedtok EU-kommisjonen å erstatte dagens personverndirektiv med en personvernforordning for å sikre rask implementering av nye og tidsmessige regler i hele EU- og EØS-området. (Poenget er at mens et direktiv må behandles i medlemslandenes nasjonalforsamlinger, trer en forordning i kraft straks EUs sentrale organer har gjort et endelig vedtak.) Artiklene 30, 31 og 32 i det vedtatte utkastet inneholder pålegg om hensiktsmessige tekniske og organisatoriske sikkerhetstiltak overfor alle som håndterer personopplysninger, og pålegger også aktører i privat sektor umiddelbart å melde om brudd. Reglene pålegger også å underrette ofrene direkte dersom bruddene kan tenkes å gi uvedkommende tilgang til deres personopplysninger.
EU har også nylig publisert et forslag til regulering av tjenester knyttet til ID for elektroniske transaksjoner. Artikkel 15 i dette forslaget bruker rammeverkdirektivets artikkel 13a som modell, og spesifiserer sikkerhets- og rapporteringskrav som pålegges tjenestetilbydere.
Enisa mener nye og kommende sentrale regler er tilstrekkelige til å gi hensiktsmessig sikkerhet, samt varsling og rapportering av kyberbrudd.
Underrapporteringen som konstateres i rapporten skyldes ikke lovverket, men manglende forståelse og implementering. EUs IT-sikkerhetsorgan mener det er påkrevet at EU og nasjonale data- og teletilsyn diskuterer for å klargjøre rekkevidden av lovgivningen rundt elektronisk kommunikasjon, og særlig oppdatere tolkningen av hva begrepet elektroniske tjenester omfatter.
Rapporten understreker at hensikten med pålegg om rapportering og varsling, er å forebygge brudd og begrense skadevirkninger av bruddene som skjer trass i pålagte og implementerte sikkerhetstiltak. Det advares mot å knytte regelverk for nært til spesifikke teknologikrav. Det anbefales en «nedenfra og opp» tilnærming, med samarbeid mellom myndigheter og eksperter fra privat sektor. Målet må være å gjøre det så enkelt som mulig å implementere effektive tiltak, og oppmuntre utstyrsleverandører til å legge effektiv sikkerhet i sine produkter.
Ved sikkerhetsbrudd må det sikres at responsen blir så effektiv som mulig, og at krav til rapportering ikke sinker nødvendige mottiltak.
Enisa understreker skillet mellom rapportering for å sjekke at aktører implementerer lovverket, og informasjon som gjør det mulig å bekjempe en trussel og bedre sikkerhetsnivået. Det er behov for en betydelig opptrapping av innmelding av konkrete tilfeller og utveksling av informasjon med tanke på å lære og å utvikle bedre allmenne tiltak.
Enisa understreker at kost/nytte-analyse må anvendes på rapporteringsrutiner. Man må unngå både overflødige detaljer rundt underordnede trusler, og allmenn underrapportering. Det anbefales å utrede muligheter for felles automatiske verktøy og grensesnitt for kostnadseffektiv rapportering med et hensiktsmessig detaljnivå.
