信息化觀察網(wǎng)

網(wǎng)絡(luò)安全在社會(huì)管理中的作用日趨明顯，為此，歐盟將歐盟網(wǎng)絡(luò)與信息安全局 (ENISA) 指定為歐盟最高網(wǎng)絡(luò)安全常規(guī)機(jī)構(gòu)，作為歐盟產(chǎn)品網(wǎng)絡(luò)安全漏洞評(píng)估的關(guān)鍵評(píng)審，旨在為歐盟成員國(guó)網(wǎng)絡(luò)安全威脅響應(yīng)起到居中協(xié)調(diào)作用。

ENISA 的臨時(shí)身份原本在 2013 年續(xù)期后將延續(xù)到 2020 年，但新通過(guò)的《網(wǎng)絡(luò)安全法案》提前終結(jié)了這一尷尬地位。

網(wǎng)絡(luò)攻擊對(duì)民主和經(jīng)濟(jì)的危害比槍炮更甚，而我們對(duì)此準(zhǔn)備不足。所以我們提起了 ENISA 議程。

該機(jī)構(gòu)將監(jiān)管新法案中有關(guān)歐盟產(chǎn)品、過(guò)程和服務(wù)認(rèn)證的規(guī)定實(shí)施情況，幫助改善物聯(lián)網(wǎng)設(shè)備安全。ENISA 此后亦將成為歐盟常設(shè)機(jī)構(gòu)。

ENISA 一直以來(lái)都被認(rèn)為是不具備執(zhí)法權(quán)的網(wǎng)絡(luò)安全智庫(kù)，但 5 月新規(guī)讓歐盟理事會(huì)得以向非歐盟的網(wǎng)絡(luò)攻擊者施加制裁。個(gè)人或團(tuán)體都有可能面臨制裁，包括禁止前往歐盟國(guó)家、資產(chǎn)凍結(jié)、阻止歐盟資金流向疑犯等。

歐盟及 ENISA 職能的升級(jí)與固化，是歐盟對(duì)惡意網(wǎng)絡(luò)行動(dòng)聯(lián)合外交響應(yīng)策略的一部分，旨在集合所有歐盟成員國(guó)的力量震懾潛在網(wǎng)絡(luò)攻擊者。

近幾年來(lái)，WannaCry、NotPetya 等大型勒索軟件攻擊令歐盟公司企業(yè)和組織機(jī)構(gòu)損失慘重，暴露出歐盟機(jī)構(gòu)在面對(duì)重大網(wǎng)絡(luò)攻擊的束手無(wú)策、缺乏準(zhǔn)備。英國(guó)國(guó)家醫(yī)療服務(wù)體系 (NHS) 為 WannaCry 支付了 9,200 萬(wàn)英鎊的賬單，而 NotPetya 令歐洲公司企業(yè)巨虧 10 億美元，僅丹麥航運(yùn)巨頭馬士基集團(tuán)就損失了 3 億多美元。最近，挪威鋁業(yè) Norsk Hydro 也因勒索軟件攻擊遭遇了數(shù)千萬(wàn)美元損失。

ENIST 將聚焦安全及 IT 產(chǎn)品可能面臨的風(fēng)險(xiǎn)。其具體審查的方面包括產(chǎn)品分類、網(wǎng)絡(luò)安全標(biāo)準(zhǔn)或技術(shù)規(guī)范，以及安全評(píng)估是獨(dú)立執(zhí)行還是機(jī)構(gòu)本身自行進(jìn)行。

所有歐盟成員國(guó)均承認(rèn)該認(rèn)證等級(jí)，期望該認(rèn)證能便于跨國(guó)貿(mào)易和減少成本。

歐盟計(jì)劃引入的認(rèn)證體系將產(chǎn)品風(fēng)險(xiǎn)分為三級(jí)：基本風(fēng)險(xiǎn)、實(shí)質(zhì)性風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)。