ЄС щороку організовує Місяць кібербезпеки. У сьогоднішньому інтерв’ю ми пояснимо, яка мета цієї події.

кібербезпеки

Ми говоримо про місяць кібербезпеки з Ing. Генріх Слезак з CSIRT.SK

Ви можете сказати нам, що таке CyberSecMonth?

Європейський місячник кібербезпеки (ЄКСМ) - це кампанія Європейського Союзу з просування кібербезпеки серед громадян ЄС. Він прагне змінити сприйняття загроз безпеці шляхом сприяння інформаційній безпеці, освіті, обміну передовою практикою та конкурсами. CSIRT.SK також брав участь у цій діяльності через лекції та змагання з аналізу шкідливого коду. Більше інформації можна знайти в нашому прес-релізі за адресою http://www.csirt.gov.sk/aktualne-7d7.html?id=116 або безпосередньо на веб-сайті ECSM https://cybersecuritymonth.eu/

Однією із заявлених цілей CyberSecMonth є цитування "підвищити обізнаність щодо інформаційної безпеки та мережевої безпеки (NIS), як зазначено в запропонованій Директиві про NIS". Директива про СНД - це перший законодавчий акт ЄС щодо кібербезпеки. Що містить та регулює ця директива?

Метою цієї директиви є забезпечення високого рівня мережевої та інформаційної безпеки в Європі. Засобом досягнення цієї мети є набір вимог до держав-членів, які включають, зокрема, підвищення готовності та співпраці та вжиття заходів для управління ризиками безпеки та повідомлення про серйозні випадки компетентним національним органам. Державам-членам потрібно буде визначити основних постачальників послуг, прийняти національну стратегію ННГ, призначити один або декілька національних компетентних органів та єдину контактну точку з питань безпеки ННГ, призначити один або кілька ЦДІВП і забезпечити їх співпрацю на національному рівні. Директива також стосується співпраці між державами-членами через Групу співробітництва та мережу CSIRT. Директива накладає вимоги щодо безпеки та зобов’язання щодо повідомлення про події на основних постачальників послуг та операторів цифрових послуг.

Хто є основним постачальником послуг, а хто постачальником цифрових послуг? Ви можете навести нам приклад інциденту, про який обов’язково повідомляти?

Оператори базових та цифрових послуг, наскільки нам відомо, ще не визначені, ідентифікація відбуватиметься відповідно до майбутнього Закону про кібербезпеку.

Інциденти, про які потрібно буде повідомляти, повинні мати серйозний руйнівний ефект згідно зі ст. 6 Директиви про СНД. Прикладом такого інциденту може бути напр. вторгнення в інформаційну систему, витік конфіденційної інформації або DDoS провайдерам основних або цифрових послуг.

На вашу думку, чи потрібно таке законодавство? Чого в ній бракує найбільше, або що в ній найсуперечніше?

На думку CSIRT.SK, таке законодавство є необхідним; у спільноті безпеки Словаччини відсутність законодавства, що регулює інформацію, відповідно. кібербезпека. Директива про СНД не передбачає державам-членам точної форми та способу її реалізації, але встановлює основу та базовий рівень вимог безпеки, які держава-член потім інтегрує у своє законодавче середовище та адаптує до власних потреб. Рівень безпеки, який держава-член встановлює у своєму законодавстві, може бути вищим, ніж той, який вимагає Директива про СНД.

Чи повинен ЄС бути більш активним у цій галузі? Як ви вважаєте, якою є оптимальна роль держави чи ЄС у галузі кібербезпеки?