Enisa – het Europese agentschap voor netwerk- en informatiesecurity opgericht in 2004 – heeft een eerste evaluatie achter de rug. Het krijgt de tijd en de ruimte om verder te werken aan zijn streven het referentiepunt inzake informatiesecurity voor de Europese lidstaten te worden.

Als één van de 29 Europese agentschappen die op een heleboel gebieden het Europees beleid ondersteunen en helpen implementeren, heeft Enisa zeker niet de lichtste klus te klaren. Netwerk- en informatiebeveiliging is immers een breed en complex onderwerp waar zelfs organisaties en bedrijven met heel wat meer mensen en meer budget dan Enisa amper greep op krijgen. Het agentschap met thuisbasis in Heraklion op Kreta (met binnenkort ook een satellietvestiging in Athene) gaat zich dan ook toespitsen op een aantal duidelijke taken en precieze onderwerpen. Concreet wil Enisa de lidstaten en de Commissie van dienst zijn, hen adviseren en helpen bij het creëren en uitwisselen van kennis en diensten. Het is zeker niet de bedoeling zelf operationele securitydiensten, zoals een ‘computer emergency response team’-service (CERT) aan te bieden.

MTP’s met duidelijke focus

Enisa wil vier thema’s uitwerken in het kader van ‘multiannual thematic projects’ (MTP). Dat zijn het weerbaarder maken van netwerken (network resilience), de uitbouw van betere samenwerkingsverbanden (co-operation models), het onderkennen van nieuwe bedreigingen (emerging risks) en de securitynoden van kleine bedrijven (kmo’s en microbedrijven).

Met name voor die kmo’s is er nog heel wat werk aan de winkel, stelt Andrea Pirotti, executive director van Enisa, “zeker als je weet dat haast 90 procent van alle economische activiteit binnen de Europese Unie gedragen wordt door kmo’s.” Security en vertrouwen vormen de fundering voor het vrij verkeer van personen, goederen, diensten, kapitaal en nu ook kennis. Dat veronderstelt een efficiënt en onbedreigd gebruik van ict-systemen en -netwerken, ook voor en door kmo’s en eindgebruikers.

Enisa stelt voor zichzelf concrete doelstellingen voorop. Wat inzicht in nieuwe gevaren betreft wil de organisatie tegen 2010 het referentiepunt zijn voor ten minste 30 ‘stakeholders’ (instellingen, etc) uit minstens 15 lidstaten. Een voorbeeld van zo’n gevaar zijn de ontluikende cyberoorlogen tussen landen. Tegen 2010 hoopt Enisa zowel de Commissie als meer dan de helft van de lidstaten te hebben bijgestaan in beslissingsprocessen rond het weerbaarder maken van netwerken. Hier werkt Enisa zowel aan reglementeringen en aanbevelingen voor maatregelen door providers, als aan mogelijke technologische oplossingen (zoals IPv6, MPLS en DNSsec)

Succes en uitdagingen

Pirotti en zijn team hebben ook al verwezenlijkingen op hun actief, zoals de stimulerende rol die Enisa speelt bij het opzetten van CERT’s in de lidstaten. Daarbij wordt zowel informatie (zoals ‘best practices’) uitgewisseld, als landen met elkaar in contact gebracht met het oog op samenwerking. Het resultaat is dat vandaag haast alle landen van de Unie een CERT hebben, of concrete plannen daartoe, of in ieder geval de eerste ernstige stappen naar een CERT hebben gezet. Zelfs België staat bij het lijstje van landen die een CERT plannen. Het agentschap heeft ook op andere punten landen bij elkaar gebracht (zoals Finland dat Slovenië helpt bij een ‘awareness raising’ programma). Het heeft daarnaast een hele rits onderzoeken op zijn actief, bijvoorbeeld naar de mogelijkheid om doorheen Europa op uniforme wijze informatie over securityproblemen te verzamelen. Een grote uitdaging voor Enisa blijft de kleine omvang van de organisatie: 50 mensen in totaal, waarvan 25 à 30 experten, met een totaalbudget van ca. 8 miljoen euro. Dat vang je op door het creëren van netwerken met en tussen experten, klinkt het dan, maar het is ook weer een uitdaging voor Enisa om daarin zijn plaats te verwerven. Het hele securitygebeuren draait in belangrijke mate op het onderlinge vertrouwen tussen experten en hun samenwerking is vaak veeleer informeel van opzet. Om die reden bleek ook een suggestie om een CERT op Europese schaal – een EuroCERT – op te richten geen haalbare kaart.

Bovendien moet Enisa ook voldoende visibiliteit en ‘gewicht’ bij zijn doelpubliek verwerven – de Commissie, de lidstaten en de instellingen in die lidstaten. Het publiceren van informatie speelt hier een belangrijke rol (*). In dat opzicht moet ook het initiatief van een jaarlijkse ‘summer school’ worden gezien. De eerste editie van het event bracht een reeks experten rond het algemene thema ‘network security’ met als ondertoon de bescherming van vitale systemen voor de economie. De jaarlijkse summer school zal telkens een ander thema kiezen. Dat het event op Kreta doorgaat, zal allicht ook geen afbreuk doen aan de verwachte populariteit.

(*) Voorbeelden hiervan zijn een ‘who is who’-directory inzake niche-beveiligingsorganisaties in Europa, en onderzoeken over een breed spectrum van onderwerpen, zoals hoe ‘security awarenes’ bij brede lagen van de bevolking opkrikken. Nagelnieuw is de studie over “Obtaining support and funding from senior management, while planning an awareness initiative”, vol concrete tips, inclusief formules om kosten en baten te kwantificeren. Deze en andere publicaties kunnen in elektronisch formaat worden gedownload op de site van Enisa, www.enisa.europa.eu

Guy Kindermans