Unia Europejska a bezpieczeństwo teleinformatyczne

Krzysztof Silicki, NASK

Dyrektor TechnicznyPełnomocnik ds. CERT Polska

Przedstawiciel RP w Radzie ZarządzającejEuropejskiej Agencji Bezpieczeństwa Sieci i

Informacji

Polski Instytut Spraw Międzynarodowych, 23 kwietnia 2008

Bezpieczeństwo teleinformatyczne państwaTransnarodowy problem, międzynarodowa współpraca

Agenda

1. Europejska Agencja Bezpieczeństwa sieci i Informacji (ENISA)

2. Współpraca zespołów reagujących (TERENA TF CSIRT)

3. Safer Internet Plus4. Programy ramowe5. Ochrona krytycznej infrastruktury

IDEA POWSTANIA

DOKUMENTY REGULUJĄCE POWSTANIE ENISA:

Dyrektywa 2002/21/EC Parlamentu Europejskiego i Rady z 7 marca 2002 w sprawie ramowych uregulowań dla sieci komunikacji elektronicznej i usług – określa zadania dla krajów członkowskich wspólnego wypracowania uregulowań ochrony informacji i bezpieczeństwa sieci

Regulacja 460/2004 Parlamentu Europejskiego i Rady z 10 marca 2004 w sprawie powołania Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA)

Zakres i cele działania

ZAKRES I CELE DZIAŁANIA AGENCJI ENISA(regulacja 460/2004)

Agencja ma w zamierzeniach Unii Europejskiej:

wzmacniać zdolność gospodarki unijnej do przeciwdziałania i reagowania na problemy z zakresu bezpieczeństwa ICT.

dawać wsparcie Komisji Europejskiej i poszczególnym krajom członkowskim we wszystkich kwestiach związanych z wyżej wymienioną problematyką – także w stymulowaniu tworzenia i rozwijania prawa oraz najlepszych praktyk w tym zakresie.

ENISA nie wykonuje żadnych działań operacyjnych w dziedzinie bezpieczeństwa, ramy regulacji na to nie pozwalają

Jej działania dotyczą Filaru I (unii gospodarczej) – nie dotyczą zaś Filaru II (wspólna polityka zagraniczna i bezpieczeństwa) czy Filaru III (unii policyjno sądowniczej) czyli np. zagadnień przestepczości czy terroryzmu

www.enisa.eu

ZAKRES I CELE

praca na rzecz wzrostu świadomości w zakresie bezpieczeństwa poprzez promowanie najlepszych praktyk w tym zakresie

promocja i wypracowywanie najlepszych metod szacowania ryzyka i zarządzania ryzykiem związanych z korzystaniem z sieci teleinformatycznych

wykorzystanie rozmaitych istniejących inicjatyw, prac naukowych i badań w zakresie technologii bezpieczeństwa w celu lepszego ich wykorzystania

wymiana informacji oraz doświadczeń z wszystkimi interesariuszami zajmującymi się problematyką (przemysł, organizacje konsumenckie, światem naukowy, administracje państwowe, ciała standaryzacyjne)

współpraca z Komisją i krajami członkowskimi w celu promowania i wypracowania wspólnych metodologii przeciwdziałania, rozwiązywania i reagowania na problemy bezpieczeństwa

wspieranie powstawania standardów i najlepszych praktyk bezpieczeństwa dla produktów, usług oraz korzystania z nich

przykładanie dużej wagi do wspierania SME

Publikacje, raporty, najlepsze praktyki, rekomendacje

Aktywność zespołów CSIRT w Europie

TERENA TF-CSIRT (Trans European Research and Academic Networks Association – Task Force Computer Security Incident Response Teams)http://www.terena.nl/tech/task-forces/tf-csirt/

Trusted Introducer (Accredited Team)http://www.ti.terena.nl/

Program Safer Internet PLus

Ustanowiony przez Komisję Europejską Stymuluje powstawanie w krajach członkowskich

• Punktów typu Hotline – zgłaszanie nielegalnych treści w sieci• Ośrodków typu Awarenode – praca nad wzrostem

świadomości zagrożeń i bezpieczeństwa (szczególnie najmłodszych użytkowników Internetu)

Z programu wyrosły także europejskie stowarzyszenia, zrzeszające ośrodki z poszczególnych krajów:• INHOPE – zrzesza ponad 30 hotline’ów z Europy i świata

• www.inhope.org• INSAFE – sieć ośrodków z 25 krajów

• www.saferinternet.org Bardzo prężnie działający ruch współpracy w Europie w

dziedzinie SAFETY

ICT Work Programme 2007-08Security & Trust in other ICT-FP7 Objectives

Futu

re a

nd E

mer

ging

Te

chno

logi

es

Digital libraries

& Content

Sustainable & personalised

healthcare

ICT for Mobility,

Environment, Energy

ICT for Independent Living and Inclusion

End-to-end systems for Socio-economic goals

Tech

nolo

gy ro

adbl

ocks

Pervasive & Trusted Network & service

infrastructures

Cognitive systems, Interaction,

Robotics

Components, Systems,

Engineering

Research inSecurity & Trust

Embedded Systems DesignComputing SystemsNetworked Embedded & Control Systems

ICT for Cooperative Systems

Virtual Physiological Human ICT & Ageing

Security and Trust in FP7 - ICT WP 2007-08

Coordination ActionsResearch roadmaps, metrics and benchmarks, international cooperation, coordination activities

4 Projects: 3.3 m€

Networkinfrastructures

4 Projects11 m€

Dynamic, reconfigurableservice architectures

4 Projects18 m€

Identity management,privacy, trust policies

3 Projects20.5 m€

6 Projects: 22 m€Enabling technologies for trustworthy infrastructuresBiometrics, trusted computing, cryptography, secure SW

2 Projects5.8 m€

1 Project9.4 m€

9 Projects: 20 m€Critical Infrastructure Protection

110 M€

The Future Internet (FI)

ManagementSecurity,

Dependabilityand

TrustServices

TheVirtualPlane

Internet Beyond 3G Galileo

Internet of

Things

TheEngineering

Plane

Trustworthy Future Internet?(Security, Dependability, Privacy and Trust)

Securing the Architecture of the FI

Some questions …– How to secure the FI?How to secure the FI?

– Protocols? New crypto? Crypto at the quantum era?Protocols? New crypto? Crypto at the quantum era?– Multi-Technology interfaces? Scalable policies?Multi-Technology interfaces? Scalable policies?– Virtual Entities and virtualised Trusted Infrastructures?Virtual Entities and virtualised Trusted Infrastructures?

– How to protect Critical Infrastrcutures linked by vulnerable How to protect Critical Infrastrcutures linked by vulnerable networks?networks?

– How to secure open and evolving Service platforms?How to secure open and evolving Service platforms?– How to deal with “identities” of billions of “entities”?How to deal with “identities” of billions of “entities”?

and research priorities … – Secure, trusted and privacy respecting communications Secure, trusted and privacy respecting communications – Security and Network Management & controlSecurity and Network Management & control– Mobility, privacy & securityMobility, privacy & security– Virtualisation of resources & security; Virtualisation of resources & security; – ID of “services”; Trustworthy and Resilient servicesID of “services”; Trustworthy and Resilient services– Trustworthy user created content; security in mash-ups; …Trustworthy user created content; security in mash-ups; …

Protection against Emerging Threats

Some questions … • How to measure and assess the security and resilience of future systems?How to measure and assess the security and resilience of future systems?– How to protect the FI and CI’s against emerging threats?How to protect the FI and CI’s against emerging threats?– How to protect the end-users and their devices?How to protect the end-users and their devices?

and research priorities …– Self-protected and resilient networks and service platforms Self-protected and resilient networks and service platforms – Prediction and preventionPrediction and prevention– Autonomously adapting networked “objects”Autonomously adapting networked “objects”

Some questions … • How to protect our personal sphere? How to protect our personal sphere? – User centricity or “big brother”?User centricity or “big brother”?– What is trust in cyber space; properties & models?What is trust in cyber space; properties & models?– Security at which cost: in money, loss of personal freedom and of Security at which cost: in money, loss of personal freedom and of

democratic values?democratic values?and research priorities …

– Trust and Privacy in dynamic service coalitions; in the Internet of Things; Trust and Privacy in dynamic service coalitions; in the Internet of Things; in the Future Internetin the Future Internet

– Economic and social models for measuring and modelling TrustEconomic and social models for measuring and modelling Trust

Privacy, IDM and Trust

Warsztaty Komisji Europejskiej

•Komisja Europejska organizuje szereg warsztatów poświęconych tematyce bezpieczeństwa teleinformatycznego•Przykładem warsztaty analizujące skutki znanych ataków internetowych na wielką skalę, w ramach których to spotkań powstają pewne rekomendacje

Rekomendacje

CIIP – Ochrona Krytycznej Infrastruktury Teleinformatycznej

•Obecnie został rozesłany do krajów członkowskich kwestionariusz na temat stosowanego w poszczególnych krajach podejścia do zagadnienia

•Komisja Europejska pracuje nad dyrektywą w sprawie CIIP

Dziękuję za uwagę,

Krzysztof.Silicki@nask.pl