|
|
|
 |
 |
|
| |
Notiziario Marketpress di
Lunedì 11 Febbraio 2013 |
|
| |
|
|
| |
PROPOSTA DI DIRETTIVA SULLA SICUREZZA DELLE RETI E DELL´INFORMAZIONE - LE DOMANDE PIÙ FREQUENTI
|
|
| |
|
|
| |
Bruxelles, 11 febbraio 2013 - Sistemi di informazione può essere influenzata da problemi di sicurezza, come ad esempio gli errori umani, eventi naturali, guasti tecnici o attacchi dannosi . Questi incidenti stanno diventando sempre più grande, più frequenti e più complesso . Il 57% delle persone che hanno risposto a una consultazione della Commissione ha dichiarato di aver sperimentato Network Information Security (Nis) incidenti rispetto all´anno precedente. Unamancanza di Nis può compromettere servizi vitali: si può smettere di funzionare delle imprese, generare sostanziali perdite finanziarie per l´economia dell´Ue e incidere negativamente sul benessere sociale. Sistemi di informazione digitale, in particolare Internet, lavorare a livello transfrontaliero. Un´interruzione in un paese dell´Ue può avere un effetto a catena in altri Stati membri o l´Ue nel suo complesso - per esempio, la circolazione transfrontaliera delle merci, dei servizi e delle persone potrebbe essere ostacolata. Chi ne trarrà vantaggio e in che modo? I cittadini ei consumatori, tuttavia essi si definiscono, avrà più fiducia nei servizi, tecnologie e sistemi che si basano su giorno per giorno. Questo significa una maggiore fiducia sarà un cyberspazio più inclusivo, in un´economia digitale che cresce ancora più velocemente, sostenendo la nostra ripresa economica. I governi e le imprese saranno in grado di contare su reti digitali e infrastrutture di fornire i loro servizi essenziali a casa e oltre i confini. Sicuro piattaforme eCommerce potrebbe portare più clienti online e creare nuove opportunità . I fornitori di prodotti Ict e servizi di sicurezza potranno beneficiare di specifiche misure di sicurezza, combinate con un approccio più armonizzato Ue. La domanda per i loro prodotti e servizi sono destinati ad aumentare, portando a prodotti innovativi ed economie di scala. Gli attivisti devono proteggersi on-line, al fine di esprimersi liberamente. Una Internet più sicura e flessibile significa che queste voci vitali saranno ascoltate e protetto oltre che accade oggi. L´economia europea beneficerà come i settori che si basano molto sulla sicurezza delle reti saranno supportate di offrire un servizio più affidabile.Armonizzate requisiti Nis porterà a misure di rischio più consistenti di gestione e di risposta e una rendicontazione più sistematica degli incidenti.Tutti questi dovrebbero creare condizioni più eque e stabile per tutti coloro che cercano di competere nel mercato unico europeo. Quando la direttiva entrerà in vigore? Gli Stati membri dovranno attuare la direttiva entro 18 mesi dalla sua adozione da parte del Consiglio e del Parlamento europeo. Perché le tecnologie digitali, reti e servizi bisogno di protezione? Poiché la maggior parte degli europei si basano su tecnologie digitali, reti e servizi per condurre il loro giorno per giorno la vita, anche se non sempre lo sanno. Ogni anno, 200 milioni di europei - il 40% di tutti i cittadini - acquista su internet. L´ Ict settore rappresenta da solo quasi il 6% del Pil dell´Ue, e in Europa il settore Ict e Ict investimenti connessi fornire circa la metà della nostra crescita della produttività. L´economia Internet ha generato il 21% della crescita del Pil dell´Ue nel corso degli ultimi 5 anni. Incidenti di sicurezza informatica principali messo posti di lavoro e le nostre possibilità di crescita economica a rischio. Qual è la dimensione del problema? Incidenti o violazioni della sicurezza informatica può avere un impatto importante sulla singole società e sul resto dell´economia europea. Secondo uno studio di Symantec e Ponemon Institute , una violazione dei dati potrebbe costare un qualcosa di società fino a Us $ 58 milioni, con altrettanto significativi effetti collaterali come danni di reputazione, perdita di clienti e quote di mercato. Un 2012 studio Pwc trovato che il 93% delle grandi imprese e il 76% delle piccole imprese ha avuto una breccia sicurezza informatica nel corso dell´anno passato, con perdite stimate di £ 15,000-30,000 anche per le piccole imprese. Recenti problemi su larga scala hanno incluso: un grande rivenditore mondiale online (Amazon) ha registrato un numero di interruzioni in questi ultimi giorni e anni - paralizzante loro mercato Nel gennaio 2011, la Commissione ha dovuto sospendere la negoziazione nel sistema di scambio delle emissioni a causa di violazioni della sicurezza a registri nazionali. Nel 2011, una società di certificazione (Diginotar) non ha riferito che i suoi sistemi sono stati violati e non la revoca dei certificati digitali (cioè i certificati che garantiscono la sicurezza delle comunicazioni su internet) che sono stati rilasciati in modo fraudolento. Ciò ha provocato un gran numero di certificati non validi che circolano online, compromettere la sicurezza dei servizi Internet e, infine, che colpisce la fiducia in internet. Perché il nuovo approccio? Sono esistenti misure regolamentari o iniziative non funziona? Sforzi compiuti in passato sono stati in troppo piccola scala e troppo frammentato, con il carattere volontario degli sforzi passati lasciando molte lacune nella nostra sicurezza informatica in generale. Ad esempio, l´applicazione delle vigenti norme comunitarie, solo le società di telecomunicazioni e responsabili del trattamento devono adottare misure di sicurezza, e le società di telecomunicazioni solo sono tenuti a segnalare incidenti di sicurezza significativi. La nuova direttiva proposta lavora per livellare il campo di gioco mediante l´applicazione a tutti i proprietari di infrastrutture critiche. Che cosa significano le proposte relative alla gestione del rischio e la comunicazione degli incidenti di sicurezza significa per le imprese e le altre organizzazioni? La Commissione propone di estendere l´obbligo di segnalare incidenti informatici significativi: Società Internet Key (ad esempio i fornitori di cloud di grandi dimensioni, social network, piattaforme e-commerce, motori di ricerca). Settore bancario e della borsa - Mcafee ha recentemente riferito che i truffatori, con malware, e replicare lo stesso schema in diversi paesi, aveva tentato di rubare fino a € 2 miliardi di conti in Europa, Stati Uniti e Colombia. Nel 2010 il London Stock Exchange sperimentato un grave attacco informatico presso la sede centrale, che ha compromesso il suo sistema di trading. Energia (ad esempio, energia elettrica e gas) - Generazione, trasmissione e distribuzione di energia sono altamente dipendenti dalla rete sicura e sistemi informativi. Trasporto (operatori del trasporto aereo, ferroviario e marittimo e della logistica) . , ad esempio, dell´infrastruttura aeronautica si basa su flussi di informazioni continue e senza interruzioni e le banche dati, che non possono mancare Salute - dispositivi medici elettronici si trovano in tutta ospedali e cliniche, per cui è essenziale che solo noto, i dispositivi autorizzati sono in grado di connettersi alla rete. Cartelle cliniche on-line o per via elettronica medici sono sempre più utilizzate ed è essenziale per proteggere questa salute informazioni personali e finanziarie dal cybercrime. Le pubbliche amministrazioni - eGovernment e eParticipation sono in aumento con la domanda dei cittadini per i servizi tempestivi e conveniente e con essa i rischi Nis per le amministrazioni statali e locali. Will ogni incidente devono essere segnalati? Incidenti No. Solo che hanno un impatto significativo sulla sicurezza dei servizi di base forniti da operatori di mercato e le amministrazioni pubbliche dovranno essere notificate all´autorità nazionale competente. Ad esempio, l´interruzione di energia elettrica causata da un incidente Nis e avendo un effetto negativo sulle imprese, l´indisponibilità di un sistema di prenotazione online che impedisce agli utenti di prenotare i suoi hotel o di un provider di servizi cloud che inibisce agli utenti di accedere al loro contenuto, la compromesso di controllo del traffico aereo a causa di un guasto o di un attacco informatico. L´autorità nazionale competente può esigere che il pubblico sia informato. Avviso pubblico non sarà obbligatorio. Wider interesse pubblico devono essere considerati in tale giudizio e vulnerabilità non deve essere indicato fino a fix di sicurezza adeguate sono disponibili. Perché le società target Internet direttiva? La proposta di direttiva comprende aziende internet perché è assurdo lavorare per proteggere le infrastrutture critiche Internet senza obbligare tali società ad assumersi la responsabilità per il loro ruolo più ampio in questo ecosistema. Che dire di fornitori di servizi Internet o dei proprietari di rete? Queste aziende sono già la notifica degli inconvenienti sotto la gestione del rischio e gli obblighi di notifica degli incidenti ai sensi della direttiva europea per le telecomunicazioni quadro. Enisa (Agenzia europea per la sicurezza delle informazioni) ha recentemente pubblicato la sua relazione sulla notifica degli incidenti nel 2011. In totale, 51 casi sono stati segnalati. La maggior parte degli incidenti segnalati colpiti telefonia mobile o mobile internet (60%). Gli incidenti che riguardano la telefonia mobile o mobile internet colpito circa 300.000 utenti. Fenomeni naturali come tempeste, inondazioni e neve pesante avere un grande impatto sulla rete di alimentazione dei fornitori. Fenomeni naturali possono causare incidenti di lunga durata, circa 45 ore in media. Dato che gli Stati membri hanno ora più maturi sistemi nazionali di notifica degli incidenti rispetto al 2011, Enisa si aspetta che la prossima relazione annuale conterrà 10 volte più incidenti. Chi è esentato dagli obblighi di segnalazione? I produttori di hardware e sviluppatori di software sono esenti dagli obblighi di gestione del rischio e il reporting. Lo stesso vale per specifici settori o sotto-settori, ad esempio le assicurazioni, l´acqua, l´approvvigionamento alimentare. I settori attualmente disciplinati dalla direttiva proposta sono quelle per le quali l´importanza di garantire la sicurezza informatica è ampiamente riconosciuta. La consultazione pubblica sulla sicurezza delle reti ha ricordato anche questi settori. Servizi fiduciari non sono coperte come sono coperti dalla proposta della Commissione di un regolamento adottato nel giugno 2012. Sono coinvolte aziende di media se forniscono servizi di tipo It? La direttiva riguarda Nis abilitanti Internet Key, cioè quei giocatori i cui servizi, forniti attraverso Internet, potenziare principali attività economiche e sociali. Quando tali attività o servizi sono sospesi per un paio d´ore ci potrebbe essere un impatto significativo. La tabella allegata fornisce alcuni esempi di giocatori che potrebbero essere interessati. Le agenzie di stampa e gli editori, anche quando forniscono It e / o servizi on-line, non sono coperti. Non sono abilitanti internet chiave come eCommerce grande o piattaforme cloud, i motori di prenotazione o social network. Né sono i browser web come Mozilla Firefox o siti web come Wikipedia o di sistemi di gestione dei contenuti come Wordpress. Che cosa intende fare per garantire alle imprese non finire che fare con 27 sistemi di reporting per violazioni? Sistemi di segnalazione comuni sarà sviluppato attraverso misure di attuazione della direttiva. Modelli specifici potrebbe essere sviluppato da Enisa, che ha già riunito le autorità di regolamentazione nazionali per lo sviluppo armonizzate le misure nazionali per la gestione del rischio e la notifica degli incidenti nel quadro delle norme Ue sulle telecomunicazioni. Enisa sta attraversando lo stesso processo per l´articolo 4 della direttiva e-privacy. Non regolamento sulla sicurezza limite di libertà e di apertura? No. Questa strategia e la proposta di direttiva sottolineano che la sicurezza e la libertà vanno di pari passo. Security consente ai cittadini di cogliere tutte le opportunità che le tecnologie digitali offrono. E ´nel pieno rispetto della Carta dei diritti fondamentali dell´Ue, rispetto della privacy, con la protezione dei dati personali, la libertà d´impresa, il diritto di proprietà, il diritto a un ricorso effettivo dinanzi a un giudice e il diritto di essere sentiti. Intende l´Ue definirà i requisiti minimi o il livello di sicurezza? No, la Commissione non è uno standard di definizione del corpo. La proposta di direttiva mira a sollevare la qualità e la garanzia di sicurezza informatica, ma non impone norme tecniche specifiche o per conferire a particolari soluzioni tecnologiche. T ha più ampia strategia di Enisa chiede di lavorare con gli organismi di normalizzazione e di tutti i soggetti interessati a sviluppare le linee guida e le prescrizioni per la l´adozione di parametri di riferimento sicurezza delle reti e delle buone prassi la proposta di direttiva, tuttavia, impongono l´adozione di un livello minimo di sicurezza obbligando gli operatori di infrastrutture critiche, le società Internet Key e le amministrazioni pubbliche di gestire i rischi e segnalare incidenti rilevanti. Inoltre, esso illustra un insieme minimo di capacità Nis che sono tenuti gli Stati membri a mettere in atto (ad esempio, un buon funzionamento del Computer Emergency Response Team (Cert), che è dotato di personale e risorse). Gli Stati membri sono liberi di andare oltre e adottare o mantenere i requisiti di sicurezza più severi. Perché è stato scelto armonizzazione minima della proposta di direttiva Nis? L´attuale livello di Nis in Europa varia tra gli Stati membri e le industrie. E ´quindi importante per prima cosa stabilire un livello minimo comune, prima di passare a più cooperazione avanzata. Gli Stati membri e le imprese che vogliono essere all´avanguardia in termini di Nis andando al di là dei requisiti minimi sono liberi di farlo, anche in questa fase. Non è Enisa già facendo abbastanza in materia di sicurezza informatica nell´Unione? Sicurezza informatica efficace non può essere affidata a un unico corpo. Enisa continuerà a fornire la propria esperienza e consulenza a livello comunitario sulla base del suo mandato nel nuovo quadro di cooperazione, che sarà stabilito dalla proposta di direttiva Nis. Come è l´approccio dell´Unione europea diverso l´approccio degli Stati Uniti? Il presidente Obama ha da tempo riconosciuto sicurezza informatica come una priorità assoluta e di recente ha annunciato che emetterà un decreto legge sulla sicurezza informatica. L´ordine esecutivo può contenere raccomandazioni per gli operatori di infrastrutture critiche, come l´energia e il trasporto di partecipare a un programma di volontariato e di seguire una serie di norme di sicurezza informatica. La guida non è pensato per prescrivere un tipo di sicurezza rispetto ad un altro. La differenza principale è che nelle società Executive Order statunitensi saranno incoraggiati, ma non è tenuto a adottare alcune tecniche non-standard, da definire con l´Istituto di normalizzazione e tecnologia. Che prove ci sono che l´apertura e la comunicazione è migliore per le imprese di coprire? L´obbligo di segnalare gli incidenti darà alle imprese l´incentivo a garantire che i processi di sicurezza siano in atto adeguate. Essere preparati è di vitale importanza, dato il costo impressionante potenziale di una sola violazione dei dati. Essere aperti e denunciare gli episodi è anche un modo per garantire la sopravvivenza a lungo termine di una società. Ad esempio, un´autorità di certificazione Diginotar olandese, non è riuscito a segnalare una violazione significativa ha subito nel 2011. Quando la violazione è stato presentato, Diginotar soffriva di una catastrofica perdita di reputazione e successivamente andò in bancarotta. Essere aperti su un problema, e ciò che una società sta facendo per risolvere il problema, è possibile ripristinare la fiducia. |
|
| |
|
|
| |
<<BACK |
|
|
|
|
|
|
|
