Od przyjęcia przez Radę Europejską Decyzji Ramowej w sprawie ataków na systemy informatyczne (2005/222/JHA) minęło ponad 8 lat. Jest to okres, w którym w bardzo istotny sposób zmieniło się zarówno otoczenie technologiczne jak i biznesowe, przy jednoczesnej znacznej ewolucji samych zagrożeń.
Zalety rozwiązania
- duży nacisk na poszerzenie oraz zintensyfikowanie międzynarodowej współpracy oraz wymiany informacji pomiędzy organami ścigania w sprawach związanych ze ściganiem sprawców ataków na systemy informatyczne,
- odniesienie się do kwestii ochrony infrastruktury krytycznej, czyli tych systemów, których niedostępność w istotny sposób wpływa na bezpieczeństwo publiczne oraz życie obywateli w kluczowych dla funkcjonowania państwa sektorach, takich jak: transport, energetyka, telekomunikacja, finanse czy ochrona zdrowia,
- próbę nakłonienia państw członkowskich do nałożenia większej odpowiedzialności na dostawców usług i innych przedsiębiorców za bezpieczeństwo ich systemów i przetwarzanych w nich danych
a także do szerszej współpracy z sektorem publicznym,
- zwrócenie uwagi na potrzebę stałego doskonalenia umiejętności i poszerzania wiedzy organów ścigania i wymiaru sprawiedliwości w zakresie zagrożeń i bezpieczeństwa systemów teleinformatycznych.
Wątpliwości
- brak propozycji konkretnych rozwiązań zwłaszcza w obszarze zapobiegania zagrożeniom
i wykrywania ich, przeniesienie odpowiedzialności za opracowanie tych regulacji na kraje członkowskie, co może skutkować brakiem kompatybilnych i skutecznych rozwiązań,
- zbytnie skupienie uwagi na kwestii penalizacji określonych w propozycji dyrektywy przestępstw, co miałoby stanowić czynnik odstraszający potencjalnych ich sprawców.
Nie jest także jasne, czy urzędnicy europejscy proponując, by kraje członkowskie zachęcały do zgłaszania podatności systemów informatycznych na cyberzagrożenia, chcą aby tzw. niezależni eksperci w świetle prawa wykonywali niezamówione testy penetracyjne czy też chodzi o upowszechnienie inicjatyw typu „bug bounty” promujących informowanie w odpowiedzialny sposób o błędach bezpieczeństwa systemów i usług – mówi Piotr Szeptyński, Menedżer w Deloitte.
- Jedynym krajem Unii, którego nie obejmie obowiązek wdrożenia przepisów jest Dania. Z uwagi na transgraniczny charakter sieci i wielu usług może to w efekcie oznaczać skupienie się na jej terytorium działalności, która w pozostałych krajach - w myśl nowych przepisów - jest z nimi niezgodna.
- Kolejną niejasną propozycją jest ta, by nie karać osób nieświadomych charakteru popełnianych czynów "na przykład w sytuacji, gdy osoba [popełniająca czyn] nie wiedziała, że dostęp jest nieautoryzowany". Może to doprowadzić do stworzenia furtki do uniknięcia przez cyberprzestępców odpowiedzialności w wyniku zasłonięcia się niewiedzą.
- W uzasadnieniu do jednej z postulowanych zmian, członkowie Komisji ds. Przemysłu, Badań Naukowych i Energii napisali, że "wprowadzenie sankcji jest krokiem w dobrym kierunku, jednak kompleksowe podejście Unii do walki z cyberprzestępczością nie powinno skupiać się jedynie na wzmocnieniu efektywności w egzekwowania prawa, lecz powinno stworzyć strategię i instrumenty pozwalające zapobiegać aktom przestępstw".
Komentarz ten bardzo dobrze podsumowuje cały projekt wyrażając jednocześnie obawy, co do skuteczności podejmowanych działań w dłuższej perspektywie. Trzeba jeszcze dużo pracy by mieć pewność, że przepisy krajowe uwzględnią specyfikę Internetu i cyberzagrożeń, dając organom ścigania i przedsiębiorcom realne narzędzie do walki z nadużyciami - podkreśla Piotr Szeptyński.
Kraje członkowie będą miały 2 lata na dostosowanie wewnętrznych przepisów do nowej dyrektywy.
autor: Cezary Tchorek-Helm