Unia Europejska walczy z cyberprzestępczością. Pracuje nad nowym prawem

Po ponad ośmiu latach od przyjęcia przez Radę Europejską Decyzji Ramowej w sprawie ataków na systemy informatyczne Parlament Europejski przygotował projekt dyrektywy zastępującej ten dokument.

 – To czas wielu zmian w obszarze technologii, w biznesie, również w obszarze nadużyć i zagrożeń. Dobrym krokiem jest zatem to, że te zmiany się dzieją i staramy się dostosować ustawodawstwo do rzeczywistości, także wirtualnej – mówi Piotr Szeptyński, menadżer w Deloitte.

Dynamiczny rozwój internetu oraz wzrost liczby użytkowników smartfonów i e-handlu sprawia, że rośnie również liczba cyberprzestępstw. Celem co piątego ataku phishingowego (polegającego na wyłudzaniu poufnych informacji osobistych) byli użytkownicy banków i innych organizacji finansowych – wynika z danych ekspertów Kaspersky Lab, którzy wzięli pod uwagę okres między majem 2012 r. a końcem kwietnia 2013 r.

Z kolei wyniki globalnego badania przeprowadzonego wiosną bieżącego roku przez B2B International i Kaspersky Lab pokazują, że około 37 proc. banków przynajmniej jeden raz padło ofiarą ataków phishingowych w ciągu poprzednich 12 miesięcy. A bankowość to tylko jeden z obszarów działalności cyberprzestępców.

Aby przeciwdziałać cyberprzestępczości Europol powołał na początku roku Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3), teraz PE zajmuje się nowymi regulacjami mającymi ukrócić tego rodzaju przestępstwa.

 – Jest to próba zintensyfikowania między innymi współpracy organów ściągania i wymiarów sprawiedliwości krajów członkowskich. Często jej brakuje z uwagi na ponadnarodowy, transgraniczny charakter działalności w internecie – wyjaśnia Piotr Szeptyński.

Projektowana dyrektywa kładzie nacisk na ochronę tzw. infrastruktury krytycznej. Ataki na te systemy mogłyby w istotny sposób wpływać na bezpieczeństwo publiczne oraz życie obywateli w kluczowych sektorach, jak transport, energetyka, telekomunikacja, finanse czy ochrona zdrowia. Jednym z jej celów jest także nakłonienie państw członkowskich do nałożenia większej odpowiedzialności m.in. na dostawców usług za bezpieczeństwo ich systemów i przetwarzanych w nich danych.

Jednak niektóre z proponowanych przepisów nowej dyrektywy budzą zastrzeżenia, że system ochrony przed cyberatakami będzie nieszczelny.

 – Nie wszystkie kraje członkowskie zostaną nowymi przepisami objęte. Z pewnych względów Dania nie bierze udziału w implementacji tych przepisów. Można sobie wyobrazić sytuację, w której Dania stanie się miejscem, w którym skupi się działalność np. przestępców komputerowych – mówi Piotr Szeptyński.

Dania zastrzegła sobie w traktacie z Amsterdamu prawo do rezygnacji z uczestnictwa w kwestiach wspólnej polityki bezpieczeństwa i obrony (WPBiO). Zagrożeniem jest też to, że w dyrektywie brakuje propozycji konkretnych rozwiązań, zwłaszcza w obszarze zapobiegania zagrożeniom i ich wykrywania. A jak wskazuje menadżer Deloitte, przeniesienie odpowiedzialności za opracowanie tych regulacji na kraje członkowskie, może sprawić, że zostaną stworzone niekompatybilne, a tym samym nieskuteczne rozwiązania.

 – Organy ścigania dostaną nowe narzędzia do ręki, na razie o konkretach jeszcze nie ma mowy. Póki ich brakuje nie możemy mówić, czy jest to krok wystarczający – uważa Piotr Szeptyński.

W projekcie dyrektywy pada propozycja zaostrzenia kar za tego typu przestępstwa. Ale zdaniem eksperta to również za mało, aby bronić się przed tego typu atakami.

 – Urzędnicy europejscy skupiają się na kwestii penalizacji czynów, wzmocnienia egzekwowania prawa. A istotne jest samo wykrywanie i zapobieganie nadużyciom, a takie działania skupiają się między innymi na budowaniu świadomości, nie tylko na budowaniu odpowiedniego otoczenia regulacyjnego – tłumaczy Piotr Szeptyński.

Kraje członkowie UE będą miały dwa lata na dostosowanie przepisów do nowej dyrektywy.