ELi küberturvalisuse strateegia digikümnendi jaoks: Küsimused ja vastused

Nüüd on aeg uueks ELi küberjulgeoleku visiooniks ja kavaks kolmel põhjusel. Esiteks ühendatakse internetti üha enam elutähtsaid teenuseid ning miljardeid igapäevaseid esemeid kodus ja tootmises. Rünnakuid, mille eesmärk on ära kasutada nende toodete ja teenuste nõrku kohti, on samuti palju ja need muutuvad üha keerukamaks. Rohepööre on ELi peamine prioriteet ja see saab olla edukas ainult siis, kui turvalisus on integreeritud kõigisse kavandatud investeeringutesse, vastasel juhul puudub usaldus tehnoloogia vastu. Teiseks on küberruum geopoliitilise võistluse koht ning avatud ülemaailmse interneti ja rahvusvahelise normide kehtestamise raamistiku idee on pidevalt kahtluse alla seatud. Pandeemia on suurendanud meie sõltuvust nendest digivahenditest ja -teenustest. Ühiskond ja majandus ei pöördu tagasi liikumispiirangute-eelsete normide juurde. Küberturvalisuse valdkonnas on vaja suuri investeeringuid ja tagada, et Euroopa oleks selles valdkonnas strateegiliselt autonoomne, juhtides turvaliste tehnoloogiate arendamist kogu digitaalses tarneahelas.

Strateegias kirjeldatakse, kuidas EL saab kasutada ja tugevdada kõiki oma vahendeid ja ressursse, et olla tehnoloogiliselt suveräänne ja strateegiliselt autonoomne. Samuti kirjeldatakse selles, kuidas EL saab tõhustada koostööd partneritega kogu maailmas, kes jagavad meie väärtusi, milleks on demokraatia, õigusriik ja inimõigused. See strateegiline autonoomia peab põhinema kõigi ühendatud teenuste ja toodete vastupidavusel. Kõik neli küberkogukonda – need, kes tegelevad siseturu, õiguskaitse, diplomaatia ja kaitsega – peavad tegema tihedamat koostööd, et suurendada ühist teadlikkust ohtudest. Lisaks peavad nad olema valmis rünnaku toimumise korral ühiselt reageerima, et EL saaks olla tugevam kui tema osade summa.

Välja on kuulutatud mitu uut strateegilist algatust. Need hõlmavad kogu ELi hõlmavat küberkilpi, mis koosneb turbekeskustest, mis kasutavad tehisintellekti ja masinõpet, et avastada varajasi signaale eelseisvatest küberrünnetest ja võimaldada võtta meetmeid enne kahju tekitamist, ühist küberüksust, mis koondab kõiki küberturvalisuse kogukondi, et jagada teadlikkust ohtudest ning reageerida ühiselt intsidentidele ja ohtudele, ning Euroopa lahendusi interneti turvalisuse tugevdamiseks kogu maailmas, sealhulgas avaliku ELi domeeninimede süsteemi lahendaja teenuse määrust, et tagada turvaliste asjade internet. Strateegiaga võetakse kasutusele rohkem ja tugevamaid küberdialooge kolmandate riikide ning piirkondlike ja rahvusvaheliste organisatsioonidega, sealhulgas NATOga, ÜRO tegevuskava küberruumi rahvusvahelise julgeoleku käsitlemiseks ning tugevamad ELi küberdiplomaatia vahendid küberrünnete ennetamiseks, ärahoidmiseks ja neile reageerimiseks. Samuti luuakse ELi välise kübersuutlikkuse suurendamise tegevuskava ja ELi institutsioonidevaheline kübersuutlikkuse suurendamise nõukogu, et suurendada ELi välise kübersuutlikkuse suurendamise tulemuslikkust ja tõhusust.

EL vajab paindlikke vahendeid üha keerukamate ja sagedasemate küberrünnete avastamiseks ja tõrjumiseks. Praegu aitavad teabe jagamise ja analüüsimise keskused (ISACid) tööstuse sidusrühmadel ja avaliku sektori asutustel vahetada ohuteavet. Kuid me peame pidevalt jälgima võrke ja arvutisüsteeme, et avastada sissetungid ja anomaaliad reaalajas. Paljud eraettevõtted, avalik-õiguslikud organisatsioonid ja riiklikud ametiasutused teevad seda turvaoperatsioonide keskuste kaudu. See on väga nõudlik ja kiire tempoga töö, mistõttu võib tehisintellekt ja eelkõige masinõppemeetodid pakkuda praktikutele hindamatut tuge. Komisjon teeb ettepaneku luua kogu ELis turbekeskuste võrgustik ning toetada olemasolevate keskuste täiustamist ja uute loomist. Sellega toetatakse neid keskusi käitavate töötajate koolitamist ja oskuste arendamist. See võrgustik annab ametiasutustele ja kõigile huvitatud sidusrühmadele, sealhulgas ühisele küberüksusele, õigeaegseid hoiatusi küberturvalisuse intsidentide kohta, nagu näiteks vahitornide võrk.

Investeeringud kogu digitehnoloogia tarneahelasse, mis aitavad kaasa digipöördele või sellest tulenevate probleemide lahendamisele, peaksid moodustama toetustest ja laenudest koosnevast 672,5 miljardi euro suurusest taaste- ja vastupidavusrahastust vähemalt 20 % ehk 134,5 miljardit eurot. Küberturvalisuse jaoks on 2021.–2027. aasta mitmeaastases finantsraamistikus ette nähtud ELi rahastamine programmi „Digitaalne Euroopa“ raames. Samal ajal on programmi „Euroopa horisont“ raames ette nähtud küberturvalisuse alaste teadusuuringute rahastamine, pöörates erilist tähelepanu VKEde toetamisele. Kokku võib see ulatuda 2 miljardi euroni, millele lisanduvad liikmesriikide ja tööstuse investeeringud. Euroopa Kaitsefond toetab Euroopa küberkaitselahendusi osana Euroopa kaitsesektori tehnoloogilisest ja tööstuslikust baasist. Küberturvalisus on lisatud meie partnerite toetamiseks mõeldud välisrahastamisvahenditesse, eelkõige naabruspoliitika, arengu- ja rahvusvahelise koostöö rahastamisvahendisse.

Ühine küberüksus on platvorm, mis aitab ELi paremini kaitsta kõige tõsisemate, eelkõige piiriüleste küberrünnete eest. See põhineb kontseptsioonil, et teabe jagamine asjaomaste ELi ja riiklike sidusrühmade vahel võib anda märkimisväärse tõuke ELi reageerimisele küberturvalisuse riskidele ja ohtudele, nagu on märgitud komisjoni presidendi 2019. aasta poliitilistes suunistes esitatud üleskutses. See kehtib eelkõige kogukondades, nagu kaitse-, tsiviil-, õiguskaitse- ja välistegevus. Seega võiks ühine küberüksus aidata osalejatel jõuda ühisele arusaamale ohumaastikust ja aidata neil oma reageerimist koordineerida. Me vajame ühist küberüksust mitmel põhjusel. Esiteks ei ole ELil praegu ruumi, et hõlbustada struktureeritud koostööd liikmesriikide ja kõigi asjaomaste ELi küberturvalisuse institutsioonide, organite ja asutuste vahel. Teiseks peavad olemasolevad võrgustikud ja kogukonnad kasutama täielikult ära oma potentsiaali ja tõhustama teabevahetust, sealhulgas erasektoriga. See on midagi, mida täna piisavalt ei juhtu. Kolmandaks täidaks ühine küberüksus lüngad olemasolevas ELi institutsioonide, organite ja asutuste ning liikmesriikide ametiasutuste vahelises koostööraamistikus suurte piiriüleste küberintsidentide või -ohtude korral ning annaks sellele hoogu juurde. Üksus annaks tsiviil-, diplomaatilistele, õiguskaitse- ja kaitsevaldkonna küberturvalisuse kogukondadele võimaluse teha koostööd. Lisaks annaks see küberturvalisuse sidusrühmadele, sealhulgas küberturvalisuse toodete müüjatele ja kolmandate riikide partneritele teabekeskuse ohtude kohta teabe jagamiseks. Ühine küberüksus ei oleks täiendav eraldiseisev organ ega mõjutaks olemasolevate asutuste rolli ja ülesandeid, vaid aitaks neid kokku viia ja üksteise eksperditeadmisi kasutada.

Üksuse loomine on ette nähtud neljas etapis: 1. olemasolevate võimete määratlemine ja kaardistamine; 2. struktureeritud koostöö ja abi raamistiku loomine; 3. raamistiku rakendamine; 4. suutlikkuse suurendamine tööstuse ja partnerite kaasabil.

Ühise tegevusplatvormi loomine nõuab usaldust ja kõigi asjaomaste osalejate nõuetekohast kaasamist. See ei saa toimuda üleöö ning see tuleb hoolikalt kindlaks määrata ja ette valmistada enne üksuse kõigi võimete kasutuselevõttu. Lisaks on vaja kõigepealt luua nõuetekohaselt toimivad mehhanismid ELi institutsiooniliste sidusrühmade, eelkõige liikmesriikide vahel, enne kui seda on võimalik laiendada erasektori sidusrühmadele. Kooskõlas viimastel kuudel tehtuga jätkab komisjon kuni veebruarini konsulteerimist asjaomaste sidusrühmadega, et teha kindlaks kõige asjakohasem menetlus, vahe-eesmärgid ja ajakava üksuse loomiseks.

Iga ühendatud asi sisaldab haavatavusi, mida saab ära kasutada ja mis mõjutavad teisi teenuseid, võrke või isegi terveid majandusi. Siseturu eeskirjad sisaldavad kaitsemeetmeid ebaturvaliste toodete ja teenuste vastu. Küberturvalisuse määruse kohase sertifitseerimise eesmärk on stimuleerida ohutuid tooteid ja teenuseid, ilma et see kahjustaks tulemuslikkust. Esimene liidu jooksev tööprogramm, mis võetakse vastu 2021. aasta esimeses kvartalis, võimaldab tööstusel, riikide ametiasutustel ja standardiorganisatsioonidel valmistuda tulevasteks Euroopa küberturvalisuse sertifitseerimise kavadeks. Kuid me vajame veelgi terviklikumat lähenemisviisi. Komisjon juba kavandab raadioseadmete direktiivi kohaste eeskirjade ajakohastamist. Samuti kaalutakse uusi horisontaalseid norme kõigi ühendatud toodete ja nendega seotud teenuste kohta, sealhulgas ühendatud seadmete tootjate uut hoolsuskohustust tarkvara nõrkustega tegelemisel, millega nõutakse tarkvara- ja turvauuenduste jätkamist ning tagatakse olelusringi lõpus isikuandmete ja muude tundlike andmete kustutamine. See täiendaks nii üldise tooteohutuse määrust (mida ajakohastatakse 2021. aastal, kuid milles ei käsitleta otseselt küberturvalisust) kui ka ringmajanduse tegevuskavas esitatud aegunud tarkvara parandamise õiguse algatust.

Kui soovite juurdepääsu ressursile – näiteks veebilehele – konkreetse domeeninime all, nagu .eu või .com internetis, tuleb teie taotlus tõlkida või „lahendada“ saidi nimest numbrini. Täpsemalt öeldes internetiprotokolli (IP) numbriline aadress. Seejärel suunab solveerimisteenus päringu domeeninimede süsteemi (DNS) serveritesse, et saaksite veebilehele juurde pääseda. Interneti põhistruktuur ning selle põhiprotokollid ja tugitaristu on aga rünnakute ja häirete suhtes haavatavad. See hõlmab domeeninimede süsteemi (DNS). Enamik ELi ettevõtjaid tugineb mõnele avalikule domeeninimede süsteemi lahendajale, mida käitavad ELi-välised üksused. Kui üks neist lahendusteenustest on häiritud, on ELi ametiasutustel palju raskem tegeleda võimalike pahatahtlike küberrünnete ning suurte geopoliitiliste ja tehniliste intsidentidega. Seepärast julgustab komisjon ELi ettevõtjaid, internetiteenuse osutajaid ja veebilehitseja müüjaid mitmekesistama oma sõltuvust domeeninimede süsteemi lahendusteenustest. Nende edasiseks abistamiseks toetab komisjon Euroopa avaliku domeeninimede süsteemi lahendaja teenuse arendamist. „DNS4EU“ pakub alternatiivset Euroopa teenust juurdepääsuks ülemaailmsele internetile. See on läbipaistev, vastab uusimatele turvalisuse, andmekaitse ja lõimprivaatsuse ning vaikimisi standarditele ja eeskirjadele ning moodustab osa Euroopa andme- ja pilvandmetöötluse tööstusliidust.