Strategie kybernetické bezpečnosti EU pro digitální dekádu: Otázky a odpovědi

Nastal čas pro novou vizi a plán EU v oblasti kybernetické bezpečnosti, a to ze tří důvodů. Za prvé, stále více a více kritických a základních služeb, stejně jako miliardy dalších každodenních předmětů v domácnosti a ve výrobě, se připojují k internetu. Počet útoků, jejichž cílem je zneužít zranitelnosti těchto produktů a služeb, se rovněž zvyšuje a složitost roste. Zelená digitální transformace je pro EU nejvyšší prioritou a může být úspěšná pouze tehdy, bude-li bezpečnost začleněna do všech plánovaných investic, jinak nebude existovat důvěra v tuto technologii. Za druhé, kyberprostor je místem geopolitické soutěže a myšlenka otevřeného globálního internetu a mezinárodního rámce pro stanovování norem je neustále zpochybňována. Pandemie také urychlila naši závislost na těchto digitálních nástrojích a službách. Společnost a ekonomika se nevrátí k normám před omezením volného pohybu osob. V oblasti kybernetické bezpečnosti jsou zapotřebí značné investice a je třeba zajistit, aby Evropa byla v tomto ohledu strategicky autonomní a vedla ve vývoji bezpečných technologií v celém digitálním dodavatelském řetězci.

Strategie popisuje, jak může EU využít a posílit všechny své nástroje a zdroje, aby byla technologicky suverénní a strategicky autonomní. Popisuje také, jak může EU zintenzivnit spolupráci s partnery po celém světě, kteří sdílejí naše hodnoty demokracie, právního státu a lidských práv. Tato strategická autonomie musí být založena na odolnosti všech propojených služeb a produktů. Všechny čtyři kybernetické komunity – ty, které se zabývají vnitřním trhem, prosazováním práva, diplomacií a obranou – musí více usilovat o společné povědomí o hrozbách. Kromě toho musí být připraveny kolektivně reagovat v případě, že dojde k útoku, aby EU mohla být silnější než součet jejích částí.

Byla oznámena řada nových strategických iniciativ. Patří mezi ně celounijní kybernetický štít složený z bezpečnostních operačních středisek, která používají umělou inteligenci a strojové učení k odhalování včasných signálů bezprostředních kybernetických útoků a umožňují přijmout opatření před tím, než dojde ke škodě, společná kybernetická jednotka, která sdruží všechny komunity v oblasti kybernetické bezpečnosti, aby sdílely povědomí o hrozbách a společně reagovaly na incidenty a hrozby, a evropská řešení pro posílení bezpečnosti internetu na celém světě, včetně regulace služeb resolveru veřejného systému doménových jmen EU s cílem zajistit internet bezpečných věcí. Strategie zavádí intenzivnější a silnější kybernetické dialogy se třetími zeměmi a regionálními a mezinárodními organizacemi, včetně NATO, akční program OSN zaměřený na mezinárodní bezpečnost v kyberprostoru a silnější soubor nástrojů EU pro diplomacii v oblasti kybernetiky s cílem předcházet kybernetickým útokům, odrazovat od nich a reagovat na ně. Kromě toho bude vypracována agenda EU pro budování vnějších kybernetických kapacit a interinstitucionální rada EU pro budování kybernetických kapacit s cílem zvýšit účinnost a účelnost budování vnějších kybernetických kapacit EU.

EU potřebuje pružné prostředky pro odhalování a odvracení stále složitějších a častějších kybernetických útoků. Střediska pro sdílení a analýzu informací (ISAC) v současné době pomáhají zúčastněným stranám v průmyslu a veřejným orgánům při výměně informací o hrozbách. Ale musíme neustále monitorovat sítě a počítačové systémy, abychom detekovali vniknutí a anomálie v reálném čase. Mnoho soukromých společností, veřejných organizací a vnitrostátních orgánů tak činí prostřednictvím středisek bezpečnostních operací. Jedná se o vysoce náročnou a rychlou práci, což je důvod, proč umělá inteligence, a zejména techniky strojového učení, může poskytnout neocenitelnou podporu odborníkům z praxe. Komise navrhuje vybudovat síť bezpečnostních operačních středisek v celé EU a podporovat zdokonalování stávajících středisek a zřizování nových. Bude podporovat odbornou přípravu a rozvoj dovedností zaměstnanců provozujících tato střediska. Tato síť bude orgánům a všem zúčastněným stranám, včetně Společné kybernetické jednotky, poskytovat včasná varování o kybernetických bezpečnostních incidentech, jako je síť strážních věží.

Investice do celého dodavatelského řetězce digitálních technologií, které přispívají k digitální transformaci nebo k řešení výzev, které z ní vyplývají, by měly činit nejméně 20 % – což odpovídá 134,5 miliardy EUR – z Nástroje pro oživení a odolnost ve výši 672,5 miliardy EUR sestávajícího z grantů a úvěrů. Financování EU ve víceletém finančním rámci na období 2021–2027 se předpokládá pro kybernetickou bezpečnost v rámci programu Digitální Evropa. Mezitím se předpokládá financování výzkumu v oblasti kybernetické bezpečnosti v rámci programu Horizont Evropa se zvláštním zaměřením na podporu malých a středních podniků. Celkem by to mohlo činit 2 miliardy EUR plus investice členských států a průmyslu. Evropský obranný fond (ERF) bude podporovat evropská řešení kybernetické obrany jako součást evropské technologické a průmyslové základny obrany. Kybernetická bezpečnost je součástí vnějších finančních nástrojů na podporu našich partnerů, zejména nástroje pro sousedství a rozvojovou a mezinárodní spolupráci.

Společná kybernetická jednotka je platforma, která pomůže lépe chránit EU před nejzávažnějšími kybernetickými útoky, zejména přeshraničními. Vychází z koncepce, že sdílení informací mezi příslušnými zúčastněnými stranami na úrovni EU a na vnitrostátní úrovni může významně podpořit reakci EU na kybernetická bezpečnostní rizika a hrozby, jak uvedla předsedkyně Komise ve svých politických směrech z roku 2019. To platí zejména pro všechny komunity, jako je obrana, civilní oblast, vymáhání práva a vnější činnost. Společná kybernetická jednotka by tak mohla účastníkům pomoci získat společné chápání prostředí hrozeb a pomoci jim koordinovat jejich reakci. Společnou kybernetickou jednotku potřebujeme z mnoha důvodů. Zaprvé, EU v současné době nemá prostor pro usnadnění strukturované spolupráce mezi členskými státy a všemi příslušnými orgány, institucemi a jinými subjekty EU v oblasti kybernetické bezpečnosti. Za druhé, stávající sítě a komunity musí plně využít svůj potenciál a zintenzivnit sdílení informací, a to i se soukromým sektorem. To je něco, co se dnes dostatečně neděje. Za třetí, společná kybernetická jednotka by zaplnila mezery ve stávajícím rámci pro spolupráci mezi orgány, institucemi a jinými subjekty EU a orgány členských států v případě závažných přeshraničních kybernetických incidentů nebo hrozeb a podpořila by jej. V neposlední řadě by oddělení poskytlo prostor pro spolupráci civilních, diplomatických, donucovacích a obranných komunit v oblasti kybernetické bezpečnosti. Kromě toho by se zúčastněné strany v oblasti kybernetické bezpečnosti, včetně prodejců produktů kybernetické bezpečnosti a partnerů ze třetích zemí, staly kontaktním místem pro sdílení informací o hrozbách. Společná kybernetická jednotka by nebyla dalším samostatným subjektem ani by neovlivnila úlohu a funkce stávajících orgánů, ale pomohla by je spojit a vzájemně využívat odborných znalostí.

Zřízení oddělení je plánováno ve čtyřech krocích: 1. definování a mapování dostupných schopností; 2. vytvoření rámce pro strukturovanou spolupráci a pomoc; 3. provádění rámce; 4. rozšiřování kapacit s přispěním průmyslu a partnerů.

Vytvoření společné operační platformy vyžaduje důvěru a řádné zapojení všech příslušných účastníků. To se nemůže stát přes noc a musí to být pečlivě definováno a připraveno před zavedením všech schopností jednotky. Kromě toho je nezbytné nejprve vytvořit řádně fungující mechanismy mezi institucionálními zúčastněnými stranami EU, především členskými státy, než bude možné je rozšířit na zúčastněné strany ze soukromého sektoru. V souladu s tím, co bylo učiněno v posledních měsících, bude Komise od nynějška do února pokračovat v konzultacích s příslušnými zúčastněnými stranami s cílem určit nejvhodnější proces, milníky a harmonogramy pro vytvoření oddělení.

Každá propojená věc obsahuje zranitelná místa, která mohou být zneužita a ovlivnit jiné služby, sítě nebo dokonce celé ekonomiky. Pravidla vnitřního trhu zahrnují záruky proti nezabezpečeným produktům a službám. Cílem certifikace podle aktu o kybernetické bezpečnosti je motivovat k bezpečným produktům a službám, aniž by byla ohrožena výkonnost. První průběžný pracovní program Unie, který má být přijat v prvním čtvrtletí roku 2021, umožní průmyslu, vnitrostátním orgánům a normalizačním orgánům připravit se na budoucí evropské systémy certifikace kybernetické bezpečnosti. Potřebujeme však ještě komplexnější přístup. Komise již plánuje aktualizovat pravidla podle směrnice o rádiových zařízeních. Rovněž zváží nová horizontální pravidla pro všechny připojené výrobky a související služby, včetně nové povinnosti péče pro výrobce připojených zařízení, pokud jde o řešení slabých míst softwaru, což vyžaduje pokračování aktualizací softwaru a bezpečnosti, jakož i zajištění výmazu osobních a jiných citlivých údajů na konci životnosti. To by doplnilo jak nařízení o obecné bezpečnosti výrobků (které má být aktualizováno v roce 2021, ale neřeší kybernetickou bezpečnost přímo), tak iniciativu „právo na opravu zastaralého softwaru“ předloženou v akčním plánu pro oběhové hospodářství.

Chcete-li získat přístup ke zdroji – jako je webová stránka – pod konkrétním názvem domény, jako je .eu nebo .com, na internetu, je třeba váš požadavek přeložit nebo „vyřešit“ z názvu stránky na číslo. Konkrétně numerická adresa internetového protokolu (IP). Služba resolveru pak odkáže požadavek na servery DNS (Domain Name System), abyste měli přístup k webové stránce. Základní struktura internetu, stejně jako jeho základní protokoly a podpůrná infrastruktura, je však náchylná k útokům a narušení. Jedná se o systém doménových jmen (Domain Name System - DNS). Většina podniků v EU se spoléhá na několik veřejných překladačů DNS provozovaných subjekty mimo EU. Pokud je jedna z těchto služeb resolveru narušena, je pro orgány EU mnohem obtížnější vypořádat se s možnými nepřátelskými kybernetickými útoky a významnými geopolitickými a technickými incidenty. Komise proto vybízí společnosti z EU, poskytovatele internetových služeb a prodejce prohlížečů, aby diverzifikovali svou závislost na službách řešení DNS. S cílem dále jim pomoci bude Komise podporovat rozvoj veřejné evropské služby resolveru DNS. „DNS4EU“ nabídne alternativní evropskou službu pro přístup ke globálnímu internetu. Bude transparentní, bude odpovídat nejnovějším standardům a pravidlům v oblasti bezpečnosti, ochrany údajů a soukromí již od návrhu a bude součástí Evropské průmyslové aliance pro data a cloud.