Unia Europejska a bezpieczeństwo teleinformatyczne

Prezentacja na temat: "Unia Europejska a bezpieczeństwo teleinformatyczne"— Zapis prezentacji:

1 Unia Europejska a bezpieczeństwo teleinformatyczne
Bezpieczeństwo teleinformatyczne państwa Transnarodowy problem, międzynarodowa współpraca Unia Europejska a bezpieczeństwo teleinformatyczne Krzysztof Silicki, NASK Dyrektor Techniczny Pełnomocnik ds. CERT Polska Przedstawiciel RP w Radzie Zarządzającej Europejskiej Agencji Bezpieczeństwa Sieci i Informacji Polski Instytut Spraw Międzynarodowych, 23 kwietnia 2008

2 Agenda Europejska Agencja Bezpieczeństwa sieci i Informacji (ENISA) Współpraca zespołów reagujących (TERENA TF CSIRT) Safer Internet Plus Programy ramowe Ochrona krytycznej infrastruktury

3 IDEA POWSTANIA DOKUMENTY REGULUJĄCE POWSTANIE ENISA: Dyrektywa 2002/21/EC Parlamentu Europejskiego i Rady z 7 marca 2002 w sprawie ramowych uregulowań dla sieci komunikacji elektronicznej i usług – określa zadania dla krajów członkowskich wspólnego wypracowania uregulowań ochrony informacji i bezpieczeństwa sieci Regulacja 460/2004 Parlamentu Europejskiego i Rady z 10 marca 2004 w sprawie powołania Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA)

4 Zakres i cele działania
ZAKRES I CELE DZIAŁANIA AGENCJI ENISA (regulacja 460/2004) Agencja ma w zamierzeniach Unii Europejskiej: wzmacniać zdolność gospodarki unijnej do przeciwdziałania i reagowania na problemy z zakresu bezpieczeństwa ICT. dawać wsparcie Komisji Europejskiej i poszczególnym krajom członkowskim we wszystkich kwestiach związanych z wyżej wymienioną problematyką – także w stymulowaniu tworzenia i rozwijania prawa oraz najlepszych praktyk w tym zakresie. ENISA nie wykonuje żadnych działań operacyjnych w dziedzinie bezpieczeństwa, ramy regulacji na to nie pozwalają Jej działania dotyczą Filaru I (unii gospodarczej) – nie dotyczą zaś Filaru II (wspólna polityka zagraniczna i bezpieczeństwa) czy Filaru III (unii policyjno sądowniczej) czyli np. zagadnień przestepczości czy terroryzmu

5

6 ZAKRES I CELE praca na rzecz wzrostu świadomości w zakresie bezpieczeństwa poprzez promowanie najlepszych praktyk w tym zakresie promocja i wypracowywanie najlepszych metod szacowania ryzyka i zarządzania ryzykiem związanych z korzystaniem z sieci teleinformatycznych wykorzystanie rozmaitych istniejących inicjatyw, prac naukowych i badań w zakresie technologii bezpieczeństwa w celu lepszego ich wykorzystania wymiana informacji oraz doświadczeń z wszystkimi interesariuszami zajmującymi się problematyką (przemysł, organizacje konsumenckie, światem naukowy, administracje państwowe, ciała standaryzacyjne) współpraca z Komisją i krajami członkowskimi w celu promowania i wypracowania wspólnych metodologii przeciwdziałania, rozwiązywania i reagowania na problemy bezpieczeństwa wspieranie powstawania standardów i najlepszych praktyk bezpieczeństwa dla produktów, usług oraz korzystania z nich przykładanie dużej wagi do wspierania SME

7 Publikacje, raporty, najlepsze praktyki, rekomendacje

8 Aktywność zespołów CSIRT w Europie
TERENA TF-CSIRT (Trans European Research and Academic Networks Association – Task Force Computer Security Incident Response Teams) Trusted Introducer (Accredited Team)

9 Program Safer Internet PLus
Ustanowiony przez Komisję Europejską Stymuluje powstawanie w krajach członkowskich Punktów typu Hotline – zgłaszanie nielegalnych treści w sieci Ośrodków typu Awarenode – praca nad wzrostem świadomości zagrożeń i bezpieczeństwa (szczególnie najmłodszych użytkowników Internetu) Z programu wyrosły także europejskie stowarzyszenia, zrzeszające ośrodki z poszczególnych krajów: INHOPE – zrzesza ponad 30 hotline’ów z Europy i świata INSAFE – sieć ośrodków z 25 krajów Bardzo prężnie działający ruch współpracy w Europie w dziedzinie SAFETY

10 Research in Security & Trust
ICT Work Programme Security & Trust in other ICT-FP7 Objectives End-to-end systems for Socio-economic goals Digital libraries & Content Sustainable & personalised healthcare Research in Security & Trust ICT for Mobility, Environment, Energy ICT for Independent Living and Inclusion Technology roadblocks Pervasive & Trusted Network & service infrastructures ICT for Cooperative Systems Virtual Physiological Human ICT & Ageing Cognitive systems, Interaction, Robotics Under 1.1: (c) Technologies and systems architectures for the Future Internet, aimed at overcoming the expected long term limitations of current internet capabilities, architecture and protocols, driven by the need for: generalised mobility; scalability from the perspective of devices, service attributes and application environments; security; trusted domains; new forms of routing and content delivery with dynamic peering of end to end delivery and control, of ad-hoc connectivity in a generalised wireless environment. The work of exploratory nature will address how various classes of new requirements constrain the foreseeable evolution of the internet and identify corresponding long term solutions. Under 3.3 Embedded Systems Design (a) Theory and methods for system design: Methods that can increase system development productivity while achieving predictable system properties, including dependability and security. This will require a formal framework for systems design in addition to holistic and adaptive component-based design and verification methods. Key issues encompass heterogeneity (building embedded systems from components with different characteristics); composability; predictability of extra-functional properties such as performance and robustness (e.g. safety, security, timing and resources); concepts and tools for specifying and evaluating security properties; adaptivity for coping with uncertainty; and unification of approaches from computer science, electronic engineering and control. Under 3.4 Computing Systems Reference architectures for generic embedded platforms: Development of a limited number of reference designs/architectures for embedded platforms that allow industrial users to engineer new applications with minimal effort. Reference designs/architectures should be as generic as possible, cutting across application domains, and be accompanied by appropriate tools and component libraries. The initial priorities are conceptualisation, analysis, design, demonstration and evaluation of the prototype platforms. The architectures will concentrate on composability, networking, robustness/security, diagnosis/maintainability, and resource management, evolvability and self-organisation. Under 3.7 Networked Embedded and Control Systems Middleware: seamless connectivity and inter-working of embedded systems through new platforms that support composability, scalability and minimal power consumption while offering open interfaces to third parties for application development. Emphasis is on (1) programmability; (2) dynamic reconfiguration and ontologies; (3) enabling privacy, security and trust; and (4) predictable connectivity and QoS awareness. Cooperating objects and Wireless Sensor Networks: spontaneous cooperation of objects in spatial proximity in order to jointly execute a given task. This will require (1) new methods and algorithms to support different cooperation concepts and modes; (2) hardware/software platforms including operating systems or kernels and communication protocols to enable distributed optimal execution; and (3) programming abstractions and support tools to facilitate third party programming of self-organising systems composed of heterogeneous objects. Research challenges also include dynamic resource discovery and management, semantics that allow object/service definition and querying for data and resources, advanced control that makes the systems reactive to the physical world, as well as security and privacy-enabling features. While the developed technology should be generic, it should be driven by an entire class of ambitious future applications in which scalability and deployment should be addressed. International cooperation on foundational research with the USA and other countries is encouraged. Control of large-scale complex distributed systems: New engineering approaches that ensure efficient, robust, predictable, safe and secure behaviour for manufacturing and process plants and for large scale infrastructures such as distributed energy production, energy distribution, airports or seaports etc. Under 5.3: Virtual Physiological Human Coordination and support actions on (1) Enhancing security and privacy in VPH, in particular for patient data processed over distributed networks. The proposed solutions will address the implications of the use of genetic data, e.g. genetic predispositions, and identify the required technology developments and implementation challenges. Under 6.2: ICT for Cooperative Systems ICT research in Co-operative Systems will deliver advanced, reliable, fast and secure vehicle-to-vehicle and vehicle-to-infrastructure communication for new functionalities, real-time traffic management and new levels of support to active safety systems in vehicles and to the driver. Under 7.1 ICT and Ageing: (b) Open systems reference architectures, standards and platforms enabling systems and services for independent living, smart workplaces and mobility. These should support seamless integration and plug-and play operation of sensors, devices, sub-systems and integrated care services into cost-effective, self-maintaining, reliable, privacy-respecting and trusted systems. (c) RTD roadmaps and socio-economic research including recommendations on how to best address ethical and privacy questions associated to ICT and ageing. Future and Emerging Technologies Components, Systems, Engineering Embedded Systems Design Computing Systems Networked Embedded & Control Systems

11 Security and Trust in FP7 - ICT WP 2007-08
110 M€ Network infrastructures 4 Projects 11 m€ Identity management, privacy, trust policies 3 Projects 20.5 m€ Dynamic, reconfigurable service architectures 4 Projects 18 m€ 2 Projects 5.8 m€ 1 Project 9.4 m€ 9 Projects: 20 m€ Critical Infrastructure Protection 6 Projects: 22 m€ Enabling technologies for trustworthy infrastructures Biometrics, trusted computing, cryptography, secure SW Coordination Actions Research roadmaps, metrics and benchmarks, international cooperation, coordination activities 4 Projects: 3.3 m€

12 The Future Internet (FI)
Management Security, Dependability and Trust Services The Virtual Plane Trustworthy Future Internet? (Security, Dependability, Privacy and Trust) Ubiquitous Systems’ Inter-connectivity  Widespread Vulnerability Internet Beyond 3G Galileo Internet of Things The Engineering Plane

13 Securing the Architecture of the FI
Some questions … How to secure the FI? Protocols? New crypto? Crypto at the quantum era? Multi-Technology interfaces? Scalable policies? Virtual Entities and virtualised Trusted Infrastructures? How to protect Critical Infrastrcutures linked by vulnerable networks? How to secure open and evolving Service platforms? How to deal with “identities” of billions of “entities”? and research priorities … Secure, trusted and privacy respecting communications Security and Network Management & control Mobility, privacy & security Virtualisation of resources & security; ID of “services”; Trustworthy and Resilient services Trustworthy user created content; security in mash-ups; …

14 Protection against Emerging Threats
Some questions … How to measure and assess the security and resilience of future systems? How to protect the FI and CI’s against emerging threats? How to protect the end-users and their devices? and research priorities … Self-protected and resilient networks and service platforms Prediction and prevention Autonomously adapting networked “objects”

15 Privacy, IDM and Trust Some questions … How to protect our personal sphere? User centricity or “big brother”? What is trust in cyber space; properties & models? Security at which cost: in money, loss of personal freedom and of democratic values? and research priorities … Trust and Privacy in dynamic service coalitions; in the Internet of Things; in the Future Internet Economic and social models for measuring and modelling Trust

16 Warsztaty Komisji Europejskiej
Komisja Europejska organizuje szereg warsztatów poświęconych tematyce bezpieczeństwa teleinformatycznego Przykładem warsztaty analizujące skutki znanych ataków internetowych na wielką skalę, w ramach których to spotkań powstają pewne rekomendacje

17 Rekomendacje

18 CIIP – Ochrona Krytycznej Infrastruktury Teleinformatycznej
Komisja Europejska pracuje nad dyrektywą w sprawie CIIP Obecnie został rozesłany do krajów członkowskich kwestionariusz na temat stosowanego w poszczególnych krajach podejścia do zagadnienia

19 Dziękuję za uwagę,