Unia Europejska a bezpieczeństwo teleinformatyczne Krzysztof Silicki, NASK Dyrektor Techniczny
description
Transcript of Unia Europejska a bezpieczeństwo teleinformatyczne Krzysztof Silicki, NASK Dyrektor Techniczny
Unia Europejska a bezpieczeństwo teleinformatyczne
Krzysztof Silicki, NASK
Dyrektor TechnicznyPełnomocnik ds. CERT Polska
Przedstawiciel RP w Radzie ZarządzającejEuropejskiej Agencji Bezpieczeństwa Sieci i
Informacji
Polski Instytut Spraw Międzynarodowych, 23 kwietnia 2008
Bezpieczeństwo teleinformatyczne państwaTransnarodowy problem, międzynarodowa współpraca
Agenda
1. Europejska Agencja Bezpieczeństwa sieci i Informacji (ENISA)
2. Współpraca zespołów reagujących (TERENA TF CSIRT)
3. Safer Internet Plus4. Programy ramowe5. Ochrona krytycznej infrastruktury
IDEA POWSTANIA
DOKUMENTY REGULUJĄCE POWSTANIE ENISA:
Dyrektywa 2002/21/EC Parlamentu Europejskiego i Rady z 7 marca 2002 w sprawie ramowych uregulowań dla sieci komunikacji elektronicznej i usług – określa zadania dla krajów członkowskich wspólnego wypracowania uregulowań ochrony informacji i bezpieczeństwa sieci
Regulacja 460/2004 Parlamentu Europejskiego i Rady z 10 marca 2004 w sprawie powołania Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA)
Zakres i cele działania
ZAKRES I CELE DZIAŁANIA AGENCJI ENISA(regulacja 460/2004)
Agencja ma w zamierzeniach Unii Europejskiej:
wzmacniać zdolność gospodarki unijnej do przeciwdziałania i reagowania na problemy z zakresu bezpieczeństwa ICT.
dawać wsparcie Komisji Europejskiej i poszczególnym krajom członkowskim we wszystkich kwestiach związanych z wyżej wymienioną problematyką – także w stymulowaniu tworzenia i rozwijania prawa oraz najlepszych praktyk w tym zakresie.
ENISA nie wykonuje żadnych działań operacyjnych w dziedzinie bezpieczeństwa, ramy regulacji na to nie pozwalają
Jej działania dotyczą Filaru I (unii gospodarczej) – nie dotyczą zaś Filaru II (wspólna polityka zagraniczna i bezpieczeństwa) czy Filaru III (unii policyjno sądowniczej) czyli np. zagadnień przestepczości czy terroryzmu
www.enisa.eu
ZAKRES I CELE
praca na rzecz wzrostu świadomości w zakresie bezpieczeństwa poprzez promowanie najlepszych praktyk w tym zakresie
promocja i wypracowywanie najlepszych metod szacowania ryzyka i zarządzania ryzykiem związanych z korzystaniem z sieci teleinformatycznych
wykorzystanie rozmaitych istniejących inicjatyw, prac naukowych i badań w zakresie technologii bezpieczeństwa w celu lepszego ich wykorzystania
wymiana informacji oraz doświadczeń z wszystkimi interesariuszami zajmującymi się problematyką (przemysł, organizacje konsumenckie, światem naukowy, administracje państwowe, ciała standaryzacyjne)
współpraca z Komisją i krajami członkowskimi w celu promowania i wypracowania wspólnych metodologii przeciwdziałania, rozwiązywania i reagowania na problemy bezpieczeństwa
wspieranie powstawania standardów i najlepszych praktyk bezpieczeństwa dla produktów, usług oraz korzystania z nich
przykładanie dużej wagi do wspierania SME
Publikacje, raporty, najlepsze praktyki, rekomendacje
Aktywność zespołów CSIRT w Europie
TERENA TF-CSIRT (Trans European Research and Academic Networks Association – Task Force Computer Security Incident Response Teams)http://www.terena.nl/tech/task-forces/tf-csirt/
Trusted Introducer (Accredited Team)http://www.ti.terena.nl/
Program Safer Internet PLus
Ustanowiony przez Komisję Europejską Stymuluje powstawanie w krajach członkowskich
• Punktów typu Hotline – zgłaszanie nielegalnych treści w sieci• Ośrodków typu Awarenode – praca nad wzrostem
świadomości zagrożeń i bezpieczeństwa (szczególnie najmłodszych użytkowników Internetu)
Z programu wyrosły także europejskie stowarzyszenia, zrzeszające ośrodki z poszczególnych krajów:• INHOPE – zrzesza ponad 30 hotline’ów z Europy i świata
• www.inhope.org• INSAFE – sieć ośrodków z 25 krajów
• www.saferinternet.org Bardzo prężnie działający ruch współpracy w Europie w
dziedzinie SAFETY
ICT Work Programme 2007-08Security & Trust in other ICT-FP7 Objectives
Futu
re a
nd E
mer
ging
Te
chno
logi
es
Digital libraries
& Content
Sustainable & personalised
healthcare
ICT for Mobility,
Environment, Energy
ICT for Independent Living and Inclusion
End-to-end systems for Socio-economic goals
Tech
nolo
gy ro
adbl
ocks
Pervasive & Trusted Network & service
infrastructures
Cognitive systems, Interaction,
Robotics
Components, Systems,
Engineering
Research inSecurity & Trust
Embedded Systems DesignComputing SystemsNetworked Embedded & Control Systems
ICT for Cooperative Systems
Virtual Physiological Human ICT & Ageing
Security and Trust in FP7 - ICT WP 2007-08
Coordination ActionsResearch roadmaps, metrics and benchmarks, international cooperation, coordination activities
4 Projects: 3.3 m€
Networkinfrastructures
4 Projects11 m€
Dynamic, reconfigurableservice architectures
4 Projects18 m€
Identity management,privacy, trust policies
3 Projects20.5 m€
6 Projects: 22 m€Enabling technologies for trustworthy infrastructuresBiometrics, trusted computing, cryptography, secure SW
2 Projects5.8 m€
1 Project9.4 m€
9 Projects: 20 m€Critical Infrastructure Protection
110 M€
The Future Internet (FI)
ManagementSecurity,
Dependabilityand
TrustServices
TheVirtualPlane
Internet Beyond 3G Galileo
Internet of
Things
TheEngineering
Plane
Trustworthy Future Internet?(Security, Dependability, Privacy and Trust)
Securing the Architecture of the FI
Some questions …– How to secure the FI?How to secure the FI?
– Protocols? New crypto? Crypto at the quantum era?Protocols? New crypto? Crypto at the quantum era?– Multi-Technology interfaces? Scalable policies?Multi-Technology interfaces? Scalable policies?– Virtual Entities and virtualised Trusted Infrastructures?Virtual Entities and virtualised Trusted Infrastructures?
– How to protect Critical Infrastrcutures linked by vulnerable How to protect Critical Infrastrcutures linked by vulnerable networks?networks?
– How to secure open and evolving Service platforms?How to secure open and evolving Service platforms?– How to deal with “identities” of billions of “entities”?How to deal with “identities” of billions of “entities”?
and research priorities … – Secure, trusted and privacy respecting communications Secure, trusted and privacy respecting communications – Security and Network Management & controlSecurity and Network Management & control– Mobility, privacy & securityMobility, privacy & security– Virtualisation of resources & security; Virtualisation of resources & security; – ID of “services”; Trustworthy and Resilient servicesID of “services”; Trustworthy and Resilient services– Trustworthy user created content; security in mash-ups; …Trustworthy user created content; security in mash-ups; …
Protection against Emerging Threats
Some questions … • How to measure and assess the security and resilience of future systems?How to measure and assess the security and resilience of future systems?– How to protect the FI and CI’s against emerging threats?How to protect the FI and CI’s against emerging threats?– How to protect the end-users and their devices?How to protect the end-users and their devices?
and research priorities …– Self-protected and resilient networks and service platforms Self-protected and resilient networks and service platforms – Prediction and preventionPrediction and prevention– Autonomously adapting networked “objects”Autonomously adapting networked “objects”
Some questions … • How to protect our personal sphere? How to protect our personal sphere? – User centricity or “big brother”?User centricity or “big brother”?– What is trust in cyber space; properties & models?What is trust in cyber space; properties & models?– Security at which cost: in money, loss of personal freedom and of Security at which cost: in money, loss of personal freedom and of
democratic values?democratic values?and research priorities …
– Trust and Privacy in dynamic service coalitions; in the Internet of Things; Trust and Privacy in dynamic service coalitions; in the Internet of Things; in the Future Internetin the Future Internet
– Economic and social models for measuring and modelling TrustEconomic and social models for measuring and modelling Trust
Privacy, IDM and Trust
Warsztaty Komisji Europejskiej
•Komisja Europejska organizuje szereg warsztatów poświęconych tematyce bezpieczeństwa teleinformatycznego•Przykładem warsztaty analizujące skutki znanych ataków internetowych na wielką skalę, w ramach których to spotkań powstają pewne rekomendacje
Rekomendacje
CIIP – Ochrona Krytycznej Infrastruktury Teleinformatycznej
•Obecnie został rozesłany do krajów członkowskich kwestionariusz na temat stosowanego w poszczególnych krajach podejścia do zagadnienia
•Komisja Europejska pracuje nad dyrektywą w sprawie CIIP
Dziękuję za uwagę,