Unia Europejska dopiero zaczyna walkę z cyberprzestępczością

Od przyjęcia przez Radę Europejską Decyzji Ramowej w sprawie ataków na systemy informatyczne minęło ponad 8 lat. Jest to okres, w którym w bardzo istotny sposób zmieniło się zarówno otoczenie technologiczne, jak i biznesowe, przy jednoczesnej znacznej ewolucji samych zagrożeń. Dlatego, według ekspertów firmy doradczej Deloitte, przyjęta 4 lipca br. przez Parlament Europejski propozycja nowej dyrektywy, zastępującej decyzję ramową z 200. r., jest właściwym krokiem na drodze do budowania odporności przed zagrożeniami w cyberprzestrzeni. Jednak z uwagi na złożony i ulotny charakter regulowanych zagadnień, propozycja dyrektywy nie jest wolna od niedoskonałości.

Wśród zalet projektowanej dyrektywy eksperci Deloitte wymieniają przede wszystkim:

- duży nacisk na poszerzenie oraz zintensyfikowanie międzynarodowej współpracy oraz wymiany informacji pomiędzy organami ścigania w sprawach związanych ze ściganiem sprawców ataków na systemy informatyczne,

- odniesienie się do kwestii ochrony infrastruktury krytycznej, czyli tych systemów, których niedostępność w istotny sposób wpływa na bezpieczeństwo publiczne oraz życie obywateli w kluczowych dla funkcjonowania państwa sektorach, takich jak: transport, energetyka, telekomunikacja, finanse czy ochrona zdrowia,

- próbę nakłonienia państw członkowskich do nałożenia większej odpowiedzialności na dostawców usług i innych przedsiębiorców za bezpieczeństwo ich systemów i przetwarzanych w nich danych, a także do szerszej współpracy z sektorem publicznym,

- zwrócenie uwagi na potrzebę stałego doskonalenia umiejętności i poszerzania wiedzy organów ścigania i wymiaru sprawiedliwości w zakresie zagrożeń i bezpieczeństwa systemów teleinformatycznych.

Niektóre z proponowanych przepisów nowej dyrektywy budzą wątpliwości, a przede wszystkim:

- brak propozycji konkretnych rozwiązań zwłaszcza w obszarze zapobiegania zagrożeniom i wykrywania ich, przeniesienie odpowiedzialności za opracowanie tych regulacji na kraje członkowskie, co może skutkować brakiem kompatybilnych i skutecznych rozwiązań,

- zbytnie skupienie uwagi na kwestii penalizacji określonych w propozycji dyrektywy przestępstw, co miałoby stanowić czynnik odstraszający potencjalnych ich sprawców.

Jedynym krajem Unii, którego nie obejmie obowiązek wdrożenia przepisów jest Dania. Z uwagi na transgraniczny charakter sieci i wielu usług może to w efekcie oznaczać skupienie się na jej terytorium działalności, która w pozostałych krajach - w myśl nowych przepisów - jest z nimi niezgodna.

Kolejną niejasną propozycją jest ta, by nie karać osób nieświadomych charakteru popełnianych czynów "na przykład w sytuacji, gdy osoba [popełniająca czyn] nie wiedziała, że dostęp jest nieautoryzowany". Może to doprowadzić do stworzenia furtki do uniknięcia przez cyberprzestępców odpowiedzialności w wyniku zasłonięcia się niewiedzą.

W uzasadnieniu do jednej z postulowanych zmian, członkowie Komisji ds. Przemysłu, Badań Naukowych i Energii napisali, że "wprowadzenie sankcji jest krokiem w dobrym kierunku, jednak kompleksowe podejście Unii do walki z cyberprzestępczością nie powinno skupiać się jedynie na wzmocnieniu efektywności w egzekwowania prawa, lecz powinno stworzyć strategię i instrumenty pozwalające zapobiegać aktom przestępstw".

Komentarz ten bardzo dobrze podsumowuje cały projekt, wyrażając jednocześnie obawy, co do skuteczności podejmowanych działań w dłuższej perspektywie. Trzeba jeszcze dużo pracy by mieć pewność, że przepisy krajowe uwzględnią specyfikę internetu i cyberzagrożeń, dając organom ścigania i przedsiębiorcom realne narzędzie do walki z nadużyciami - podkreśla Piotr Szeptyński.

Kraje członkowskie będą miały 2 lata na dostosowanie wewnętrznych przepisów do nowej dyrektywy.

Polecamy w wydaniu internetowym chip.pl: "Robią sobie jaja z Samsunga. Dosłownie..."