Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Provocări și implicații ale legislației cu privire la securitatea cibernetică

2017-03-21

Tehnologia a avut un impact în ceea ce privește aproape fiecare aspect al societății și va continua să aibă în anii următori. Multe dintre activitățile din prezent sunt din ce în ce mai dependente de sistemele informatice, de dispozitivele electronice și de rețelele de date – o tendință ce duce spre hiper-conectivitate. În același timp, observăm emergența noilor amenințări și vulnerabilități și implicit, riscurile de securitate care cresc ca număr, frecvență și impact.

Prin urmare, ascendența tehnologiei în societatea de astăzi și riscurile asociate utilizării acesteia demonstrează nevoia de protejare a informațiilor și a altor active la diferite niveluri și în cadrul diverselor domenii de activitate, nu doar pentru industrii, companii și utilizatori, ci și pentru țări. Legislația din mai multe țări solicită o securitate ridicată și îmbunătățită, bazată pe criterii morale și etice.

Promulgarea legilor cu privire la domeniul securității cibernetice evidențiază importanța punerii în aplicare la scară largă a cadrelor de reglementare, ceea ce ar contribui la reducerea incidentelor de securitate și la prevenirea infracțiunilor din domeniul IT, pe măsură ce se implementează și se stabilește o cultură a securității cibernetice. Dar, în ciuda beneficiilor pe care le-ar putea aduce o astfel de legislație la nivel de securitate a datelor, realitatea este că există diferite tensiuni, poziții și opinii, ceea ce presupune că adoptarea acesteia nu reprezintă o sarcină ușoară. În această secțiune, vom aborda unele dintre cele mai importante aspecte legislative în plan internațional și unele dintre provocările prezente și viitoare cu care se confruntă statele, companiile și utilizatorii, respectiv cetățenii din întreaga lume.

Securitatea cibernetică: organizare, colaborare și difuzare pe întreg globul

Am observat recent apariția unei tendințe către o nouă legislație cu privire la securitatea cibernetică din întreaga lume. Pe baza unei colaborări între sectorul public și cel privat, pentru schimbul facil de informații și pentru crearea unor agenții naționale de securitate cibernetică, scopul este de a dezvolta modalități de a face față riscurilor din era digitală și de a legifera eficient împotriva infracționalității cibernetice.

Uniunea Europeană

Uniunea Europeană a adoptat recent Directiva NIS pentru securitatea rețelelor și sistemelor informatice, din dorința de a promova legislația care îi încurajează tările membre să fie pregătite să răspundă incidentelor, să aibă o echipă de răspuns la incidentele de securitate IT (CSIRT) și o autoritate națională competentă în acest domeniu.

Crearea unei rețele CSIRT vizează promovarea unei cooperări rapide și eficiente, a unui schimb de informații cu privire la riscuri și a dezvoltării unei culturi a securității în cadrul sectoarelor vitale din economia și societățile din Europa, precum energia, transportul, finanțele, sănătatea și infrastructura digitală. Noile legi sunt menite să încurajeze dezvoltarea omogenă a abilităților din domeniul securității cibernetice și să prevină incidentele ce amenință activitățile economice, infrastructura, încrederea utilizatorilor, precum și operarea sistemelor și rețelelor critice pentru fiecare țară.

Statele Unite

La sfârșitul anului 2015, Congresul Statelor Unite a aprobat ceea ce se cunoaște ca fiind Actul de Securitate Cibernetică din 2015 pentru a proteja țara de atacurile cibernetice în mod responsabil și prompt, printr-un cadru ce promovează schimbul de informații între sectorul privat și guvern în ceea ce privește amenințările la adresa computerelor.

În temeiul actului, informațiile despre o amenințare identificată pe un sistem pot fi partajate în scopul prevenirii atacurilor sau a atenuării riscurilor care pot afecta alte companii , agenții sau utilizatori. Prin abordarea colectării de informații, a controalelor de securitate și a altor măsuri protective, organizațiile și guvernele sunt în măsură să coordoneze acțiunile defensive.

America Latină

În cadrul unui raport recent, a fost aplicat un model pentru a determina capacitatea de reacție în cadrul securității cibernetice în America Latină și în Caraibe. Documentul evidențiază importanța prezentării responsabile a informațiilor în organizațiile din sectorul public și din cel privat în momentul în care este identificată o vulnerabilitate.

Acesta subliniază, de asemenea, importanța unor cadre legislative, investigarea, procesarea dovezilor electronice și formarea judecătorilor și a procurorilor cu privire la spețele asociate securității cibernetice. Participarea la convenții internaționale, precum Convenția de la Budapesta și semnarea acordurilor transfrontaliere de cooperare, reprezintă alți factori decisivi. În mod similar, adoptarea celor mai bune practici, împreună cu utilizarea tehnologiilor de securitate sunt luate în considerare, pentru formarea unei “societăți cibernetice viguroase”.

Asia-Pacific

Un alt studiu ce urmărește stabilirea nivelului de sofisticare în securitatea cibernetică, concentrat pe țări din regiunea Asia-Pacific, consideră de asemenea legislația ca pe un indicator de bază al peisajului de securitate. În 2016, mai multe țări din această regiune au lansat noi politici sau strategii de securitate și au actualizat, de asemenea, standardele existente, în scopul de a se adapta la noile provocări și la problemele emergente.

Spre exemplu, Australia a implementat o strategie de securitate cibernetică, ce prevede fonduri suplimentare și a solicitat un angajament sporit din partea sectorului privat în vederea conformității cu politicile cibernetice. Alte țări, precum Noua Zeelandă, au lansat strategii naționale de securitate cibernetică, cu accent pe îmbunătățirea rezistenței la atac, pe cooperarea internațională și pe capacitatea de a răspunde în fața situaților de infracționalitate cibernetică.

Provocări și implicații ale adoptării legilor privind securitatea cibernetică

Stadiul actual al riscurilor prezintă necesitatea unor cadre de reglementare pentru managementul securității – o tendință din ce în ce  mai populară de organizare. În mod similar, atunci când ne referim la legislație, vorbim despre aplicarea standardelor la scară largă, în vederea reglementării securității cibernetice la nivel național. În general, legislația este destul de eficientă atunci când vine vorba despre reglementarea comportamentului. Cu toate acestea, există provocări ce trebuie depășite pentru aplicarea eficientă a legilor. De exemplu, Global Agenda Council Report privind securitatea cibernetică prezintă provocările cu care se confruntă țările în care a început legiferarea în acest domeniu, pe baza subiectelor din cadrul Convenției din Budapesta. Cu toate acestea, țările respective pot intra în alte convenții globale sau regionale, sau pot lua parte chiar la inițiative locale specifice.

Dovezile sugerează că, având în vedere influența tehnologiei și obiceiurile pe care aceasta le insuflă, punerea în aplicare a legislației poate avea impact asupra diferitelor părți interesate, de la companii de tehnologie până la utilizatori. Aceste tensiuni duc la diferite conflicte și provocări, pe care le vom analiza în continuare.

Întârzierea în adoptarea de legi

Diferite considerații determină crearea unor legi în diferite țări, astfel încât promulgarea acestora depinde de o multitudine de factori; de exemplu, problemele politice, sau alte probleme ce afectează inițiativele locale sau aderarea la acordurile internaționale ce încurajează același nivel de dezvoltare pentru colaborarea transfrontalieră.

Totuși, din cauza acestor condiții și caracteristici, legislația este adesea amânată. Spre exemplu, până în 2016, aproape jumătate din țările care au ratificat participarea lor la Convenția de la Budapesta au avut nevoie de un deceniu sau chiar mai mult pentru a finaliza ratificarea, din cauza întârzierii în dezvoltarea legilor – printre altele. Mai mult decât atât, Convenția de la Budapesta se concentrează doar asupra anumitor aspecte juridice din gama de posibilităților ce țin de domeniul de aplicare al securității cibernetice.

Legile ce se pierd în context și în timp

În legătură cu aspectul anterior, ar trebui luat de asemenea în considerare faptul că tehnologia avansează într-un ritm rapid; dezvoltarea standardelor poate, prin urmare, să se piardă în contextul progreselor tehnologice. Asemeni proceselor în care organizațiile continuă să actualizeze standardele lor ca răspuns la evoluția riscurilor și a noilor tehnologii, legea trebuie să fie în prima linie în ceea ce privește răspunsul la problemele emergente ce ar trebui reglementate.

Probabil, modul de rectificare a acestei neconcordanțe între inovația tehnologică (și riscurile pe care le implică) și adoptarea unor măsuri juridice adecvate constă în punerea unui accent pe reglementarea comportamentului uman, în special în condițiile în care tehnologiile pot deveni depășite într-o perioadă relative scurtă. Acest lucru se dovedește a fi cel mai fiabil mod pentru ca reglementarea să fie eficace, dar este important, de asemenea, de reținut că acesta ar putea duce la creșterea tensiunilor în viitor. Un exemplu în acest sens ar putea fi încercarea de a reglementa utilizarea rețelelor de socializare, ce nu sunt sprijinite prin cadrul legislativ.

Eterogenitatea tehnică și juridică

Ar trebui să considerăm că metodele din diverse țări diferă în funcție de modurile în care aderă la convențiile internaționale sau regionale, iar aceste diferențe pot determina chiar inițiative specifice pentru dezvoltarea legilor. Discrepanțele legale și tehnice fac dificilă răspunderea, investigarea și rularea în ceea ce privește incidentele legate de securitatea cibernetică și inhibă colaborarea internațională. De exemplu, inițiativele regionale sau bilaterale sunt dezvoltate pentru a satisface nevoile specifice, așa cum este cazul Scutului de Confidențialitate EU-SUA, un cadru de lucru unde se caută protejarea drepturilor fundamentale ale oricărei persoane din Uniunea Europeană ale cărei date personale sunt transferate către companii din Statele Unite. Acest proiect, desigur, nu ia în considerare colaborarea cu alte țări sau regiuni.

Conflicte pe baza legilor și ale principiilor de bază

În același context, legislația este în general eficientă atunci când vine vorba de reglementarea comportamentului. Cu toate acestea, legile în discuție pot fi întotdeauna îmbunătățite, mai ales dacă luăm în considerare existența unor proiecte care ar putea submina nu numai principiile pe care se bazează internetul, dar și anumite drepturi fundamentale ale omului. În ideea în care internetul este liber, fără granițe fizice, există cazuri în care, deși legislația se aplică la nivel național, conflictele constituționale sau legale apar, în special la nivel de semnificații sau de concepții ale vieții private și ale libertății de exprimare. În acest caz, dezbaterea eternă cu privire la viața private și la securitate ar putea intra în scenă.

Limitări ale domeniului de aplicare

În mod similar, absența unei legislații sau a acordurilor privind aspectele specifice ale anumitor probleme pot submina colaborarea internațională, chiar și în cadrul aceluiași teritoriu. Sectorul public și cel privat se confruntă  cu o provocare în ceea ce privește accesul la informații pentru investigații, cu implicații pentru securitate, dreptul la confidențialitate și pentru interesele comerciale, în principal cele ale companiilor tech.

Spre exemplu, există bine-cunoscutul caz între FBI și Apple, unde un judecător american  a solicitat cooperarea din partea gigantului tehnologic în scopul de a debloca iPhone-ul unui terorist implicat într-un atac sau un alt caz recent, unde un judecător din Rio de Janeiro a ordonat blocarea aplicației WhatsApp pe teritoriul Braziliei și amenzi împotriva Facebook. Astfel de evenimente demonstrează necesitatea unor acorduri locale și transfrontaliere de colaborare, care să evite conflictele de interese.

Eforturile pentru dezvoltarea și popularizarea culturii privind securitatea cibernetică

Promulgarea legilor cu privire la securitatea cibernetică a câștigat notorietate la nivel internațional în ultimii ani, ținând cont de număr, frecvență și de impactul incidentelor înregistrate în întreaga lume. Numeroase inițiative vizează legislația din acest domeniu ca pe un factor esențial ce va ajuta la maturitatea țărilor.

Scopul este, prin urmare, de a dispune de măsuri legale aplicate pentru protecția la diferite niveluri și în diferite domenii. Având acest lucru în vedere, legislatorii au început, de asemenea, să ia în considerare cerințele necesare pentru securitatea din țările lor, inclusiv capacitatea de a răspunde la incidentele la scară largă, capacitatea de a colabora cu alte țări, dezvoltarea unei culturi de securitate care poate fi insuflată în cadrul populației. Nu mai trebuie precizate problemele deja recunoscute, precum confidențialitatea, protecția datelor personale și infracționalitatea cibernetică.

Avem de-a face cu o evoluție la nivelul dezvoltării noii legislații, ce definește modul în care activele unei țări sunt protejate în contextul securității cibernetice, precum și promovarea cooperării și a colaborării dintre sectorul public și cel privat din fiecare țară. De asemenea, acest lucru este valabil la nivel internațional, pentru a contracara amenințările actuale și emergente, dar și atacurile.

Cu toate acestea, în spatele beneficiilor evidente ale acestei noi legislații se ascund provocări ce trebuie depășite pentru ca aceasta să se poată materializa. Depășirea acestor provocări constă în înțelegerea necesităților și a condițiilor care există atât în sectorul public, cât și în cel privat, precum și a tuturor părților interesate, în calitatea de utilizatori și de cetățeni. Obstacolele și limitările privind colaborarea pot fi constituite din lipsa de încredere, dintr-o legislație ineficientă sau din interese divergente între diferitele sectoare de activitate.

Având în vedere aceste probleme, nevoia de a defini reguli pentru toate părțile interesate devine clară – reguli bazate pe acorduri internaționale, regionale sau naționale, unde să fie luate în considerare toate părțile participante – în scopul de a face legislația cu adevărat eficientă. Fără, îndoială, există încă multe de făcut și este nevoie de colaborarea între guverne, sectorul academic și, desigur, utilizatori. În acest fel, se va lucra cu un singur obiectiv comun: funcționarea și dezvoltarea unei culturi în ceea ce privește securitatea cibernetică.

 

MIGUEL ÁNGEL MENDOZA

CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *