Kyberturvallisuusstrategia
Nyt on aika laatia uusi kyberturvallisuutta koskeva EU:n visio ja suunnitelma kolmesta syystä. Ensinnäkin yhä kriittisemmät ja välttämättömämmät palvelut sekä miljardit muut kodin ja teollisuuden jokapäiväiset esineet ovat saamassa yhteyden Internetiin. Hyökkäykset, joilla pyritään hyödyntämään näiden tuotteiden ja palvelujen haavoittuvuuksia, ovat myös lisääntymässä ja monimutkaistumassa. Vihreä digitaalinen muutos on yksi EU:n ensisijaisista tavoitteista, ja se voi onnistua vain, jos turvallisuus integroidaan kaikkiin suunniteltuihin investointeihin. Muussa tapauksessa teknologiaan ei luoteta. Toiseksi kyberavaruus on geopoliittisen kilpailun paikka, ja ajatus avoimesta maailmanlaajuisesta internetistä ja kansainvälisestä normikehyksestä kyseenalaistetaan jatkuvasti. Pandemia on myös lisännyt riippuvuuttamme näistä digitaalisista välineistä ja palveluista. Yhteiskunta ja talous eivät palaa sulkutoimia edeltäviin normeihin. Kyberturvallisuuden alalla tarvitaan merkittäviä investointeja, jotta voidaan varmistaa, että Eurooppa on tässä suhteessa strategisesti riippumaton ja johtaa turvallisten teknologioiden kehittämistä koko digitaalisessa toimitusketjussa.
Strategiassa kuvataan, miten EU voi valjastaa ja vahvistaa kaikkia välineitään ja resurssejaan ollakseen teknologisesti riippumaton ja strategisesti riippumaton. Siinä kuvataan myös, miten EU voi tehostaa yhteistyötään sellaisten kumppaneiden kanssa eri puolilla maailmaa, jotka jakavat demokratiaa, oikeusvaltiota ja ihmisoikeuksia koskevat arvomme. Tämän strategisen riippumattomuuden on perustuttava kaikkien verkkoon liitettyjen palvelujen ja tuotteiden häiriönsietokykyyn. Kaikkien neljän kyberyhteisön – jotka ovat tekemisissä sisämarkkinoiden, lainvalvonnan, diplomatian ja puolustuksen kanssa – on työskenneltävä tiiviimmin yhteisen uhkatietoisuuden saavuttamiseksi. Lisäksi niiden on oltava valmiita reagoimaan kollektiivisesti hyökkäyksen toteutuessa, jotta EU voi olla vahvempi kuin osiensa summa.
Useita uusia strategisia aloitteita on julkistettu. Näitä ovat muun muassa EU:n laajuinen kyberturvallisuuden suojakilpi, joka koostuu turvallisuusoperaatiokeskuksista, jotka käyttävät tekoälyä ja koneoppimista havaitakseen välittömien kyberhyökkäysten varhaisia signaaleja ja mahdollistaa toimien toteuttamisen ennen vahinkojen aiheutumista, yhteinen kyberturvallisuusyksikkö, joka kokoaa yhteen kaikki kyberturvallisuusyhteisöt jakamaan tietoisuutta uhkista ja reagoimaan kollektiivisesti poikkeamiin ja uhkiin, sekä eurooppalaiset ratkaisut Internetin turvallisuuden vahvistamiseksi maailmanlaajuisesti, mukaan lukien EU:n julkisen verkkotunnusjärjestelmän selvittäjäpalvelun sääntely turvallisten esineiden internetin varmistamiseksi. Strategialla otetaan käyttöön enemmän ja vahvempia kybervuoropuheluja kolmansien maiden sekä alueellisten ja kansainvälisten järjestöjen, kuten Naton, kanssa, YK:n toimintaohjelma kansainvälisen turvallisuuden käsittelemiseksi kybertoimintaympäristössä ja vahvempi EU:n kyberdiplomatian välineistö kyberhyökkäysten ehkäisemiseksi, estämiseksi ja niihin vastaamiseksi. Lisäksi laaditaan EU:n ulkoisten kybervalmiuksien kehittämisohjelma ja EU:n toimielinten välinen kybervalmiuksien kehittämislautakunta EU:n ulkoisten kybervalmiuksien kehittämisen vaikuttavuuden ja tehokkuuden lisäämiseksi.
EU tarvitsee ketteriä keinoja yhä monimutkaisempien ja yleisempien kyberhyökkäysten havaitsemiseksi ja torjumiseksi. Tällä hetkellä tietojenvaihto- ja analysointikeskukset (ISAC) auttavat teollisuuden sidosryhmiä ja viranomaisia vaihtamaan uhkia koskevia tietoja. Meidän on kuitenkin jatkuvasti seurattava verkkoja ja tietokonejärjestelmiä havaitaksemme tunkeutumiset ja poikkeamat reaaliajassa. Monet yksityiset yritykset, julkiset organisaatiot ja kansalliset viranomaiset tekevät tämän turvaoperaatiokeskusten kautta. Tämä on erittäin vaativaa ja nopeatempoista työtä, minkä vuoksi tekoäly ja erityisesti koneoppimistekniikat voivat tarjota korvaamatonta tukea alan toimijoille. Komissio ehdottaa turvaoperaatiokeskusten verkoston perustamista kaikkialle EU:hun sekä nykyisten keskusten parantamisen ja uusien keskusten perustamisen tukemista. Se tukee näitä keskuksia ylläpitävän henkilöstön koulutusta ja taitojen kehittämistä. Verkosto antaa viranomaisille ja kaikille asianomaisille sidosryhmille, myös yhteiselle kyberturvallisuusyksikölle, oikea-aikaisia varoituksia kyberturvallisuuspoikkeamista, kuten vartiotorniverkko.
Investointien koko digitaaliteknologian toimitusketjuun, jolla edistetään digitaalista siirtymää tai siitä johtuviin haasteisiin vastaamista, olisi oltava vähintään 20 prosenttia – 134,5 miljardia euroa – 672,5 miljardin euron elpymis- ja palautumistukivälineestä, joka koostuu avustuksista ja lainoista. Vuosien 2021–2027 monivuotisessa rahoituskehyksessä kyberturvallisuuteen on tarkoitus myöntää EU:n rahoitusta Digitaalinen Eurooppa -ohjelmasta. Samaan aikaan Horisontti Eurooppa -puiteohjelmasta on tarkoitus rahoittaa kyberturvallisuustutkimusta, jossa keskitytään erityisesti pk-yritysten tukemiseen. Yhteensä tämä voisi olla 2 miljardia euroa sekä jäsenvaltioiden ja teollisuuden investoinnit. Euroopan puolustusrahastosta (EKR) tuetaan eurooppalaisia kyberpuolustusratkaisuja osana Euroopan puolustuksen teollista ja teknologista perustaa. Kyberturvallisuus sisältyy ulkoisiin rahoitusvälineisiin, joilla tuetaan kumppaneitamme, erityisesti naapuruus-, kehitys- ja kansainvälisen yhteistyön välineeseen.
Yhteinen kyberturvallisuusyksikkö on foorumi, joka auttaa suojelemaan EU:ta paremmin kaikkein vakavimmilta kyberturvallisuushyökkäyksiltä, erityisesti rajatylittäviltä hyökkäyksiltä. Se perustuu ajatukseen, jonka mukaan tietojen jakaminen asiaankuuluvien EU:n ja kansallisten sidosryhmien kesken voi antaa merkittävän sysäyksen EU:n reagoinnille kyberturvallisuusriskeihin ja -uhkiin komission puheenjohtajan vuoden 2019 poliittisissa suuntaviivoissaan esittämän kehotuksen mukaisesti. Tämä koskee erityisesti yhteisöjä, kuten puolustus-, siviili-, lainvalvonta- ja ulkoisia toimia. Yhteinen kyberturvallisuusyksikkö voisi auttaa osallistujia muodostamaan yhteisen käsityksen uhkaympäristöstä ja koordinoimaan toimiaan. Yhteistä kyberturvallisuusyksikköä tarvitaan monestakin syystä. Ensinnäkin EU:lla ei tällä hetkellä ole tiloja, joilla se voisi helpottaa jäsenneltyä yhteistyötä jäsenvaltioiden ja kaikkien asiaankuuluvien EU:n kyberturvallisuusinstituutioiden, -elinten ja -virastojen välillä. Toiseksi olemassa olevien verkostojen ja yhteisöjen on hyödynnettävä koko potentiaalinsa ja tehostettava tiedonvaihtoa, myös yksityisen sektorin kanssa. Tämä on jotain, joka ei tapahdu tarpeeksi tänään. Kolmanneksi yhteinen kyberturvallisuusyksikkö täydentäisi EU:n toimielinten, elinten ja virastojen sekä jäsenvaltioiden viranomaisten välisiä nykyisiä yhteistyöpuitteita merkittävien rajatylittävien kyberturvallisuuspoikkeamien tai -uhkien varalta ja antaisi niille lisäpontta. Yksikkö tarjoaisi myös mahdollisuuden siviili-, diplomaatti-, lainvalvonta- ja puolustusalan kyberturvallisuusyhteisöjen yhteistyölle. Lisäksi se antaisi kyberturvallisuusalan sidosryhmille, myös kyberturvallisuustuotteiden toimittajille ja kolmansien maiden kumppaneille, yhteyspisteen uhkia koskevien tietojen jakamista varten. Yhteinen kyberturvallisuusyksikkö ei muodostaisi erillistä lisäelintä tai vaikuttaisi nykyisten viranomaisten rooliin ja tehtäviin, mutta se auttaisi niitä kokoamaan yhteen ja hyödyntämään toistensa asiantuntemusta.
Yksikkö on tarkoitus perustaa neljässä vaiheessa: 1. käytettävissä olevien valmiuksien määrittely ja kartoitus; 2. luoda puitteet jäsennellylle yhteistyölle ja avunannolle; 3. kehyksen täytäntöönpano; 4. Kapasiteetin laajentaminen teollisuuden ja kumppaneiden avustuksella.
Yhteisen operatiivisen alustan luominen edellyttää luottamusta ja kaikkien asiaankuuluvien osallistujien asianmukaista osallistumista. Tämä ei voi tapahtua yhdessä yössä, ja se on määriteltävä ja valmisteltava huolellisesti ennen kuin kaikki yksikön valmiudet otetaan käyttöön. Lisäksi on ensin luotava asianmukaisesti toimivia mekanismeja EU:n institutionaalisten sidosryhmien, pääasiassa jäsenvaltioiden, välille, ennen kuin sitä voidaan laajentaa yksityisen sektorin sidosryhmiin. Kuten viime kuukausina on tehty, komissio jatkaa helmikuuhun mennessä asiaankuuluvien sidosryhmien kuulemista määrittääkseen sopivimmat prosessit, välitavoitteet ja aikataulut yksikön toiminnalle.
Jokainen verkkoon liitetty asia sisältää haavoittuvuuksia, joita voidaan hyödyntää ja jotka vaikuttavat muihin palveluihin, verkkoihin tai jopa kokonaisiin talouksiin. Sisämarkkinasääntöihin sisältyy suojatoimia epävarmoja tuotteita ja palveluja vastaan. Kyberturvallisuusasetuksen mukaisella sertifioinnilla pyritään kannustamaan turvallisiin tuotteisiin ja palveluihin suorituskyvystä tinkimättä. Vuoden 2021 ensimmäisellä neljänneksellä hyväksyttävän ensimmäisen unionin jatkuvan työohjelman ansiosta teollisuus, kansalliset viranomaiset ja standardointielimet voivat valmistautua tuleviin eurooppalaisiin kyberturvallisuuden sertifiointijärjestelmiin. Tarvitsemme kuitenkin vielä kattavamman lähestymistavan. Komissio suunnittelee jo radiolaitedirektiivin sääntöjen päivittämistä. Se harkitsee myös uusia horisontaalisia sääntöjä kaikille verkkoon liitetyille tuotteille ja niihin liittyville palveluille, mukaan lukien verkkoon liitettyjen laitteiden valmistajien uusi huolellisuusvelvoite ohjelmistojen haavoittuvuuksien korjaamiseksi, mikä edellyttää ohjelmisto- ja tietoturvapäivitysten jatkamista sekä henkilötietojen ja muiden arkaluonteisten tietojen poistamisen varmistamista käyttöiän lopussa. Tämä täydentäisi sekä yleistä tuoteturvallisuutta koskevaa asetusta (jota on määrä päivittää vuonna 2021 mutta jossa ei käsitellä suoraan kyberturvallisuutta) että kiertotalouden toimintasuunnitelmassa esitettyä ”oikeutta korjata vanhentuneita ohjelmistoja” koskevaa aloitetta.
Jos haluat käyttää tietyn verkkotunnuksen, kuten .eu- tai .com-verkkotunnuksen, alla olevaa resurssia – kuten verkkosivua – Internetissä, pyyntösi on käännettävä tai ”ratkaistava” sivuston nimestä numeroon. Tarkemmin sanottuna numeerinen Internet Protocol (IP) -osoite. Ratkaisupalvelu ohjaa pyynnön sitten DNS (Domain Name System) -palvelimille, jotta voit käyttää verkkosivua. Internetin perusrakenne sekä sen ydinprotokollat ja sitä tukeva infrastruktuuri ovat kuitenkin alttiita hyökkäyksille ja häiriöille. Tämä koskee myös DNS-järjestelmää (Domain Name System). Useimmat EU:n yritykset turvautuvat muutamiin EU:n ulkopuolisten tahojen ylläpitämiin julkisiin DNS-ratkaisijoihin. Jos jokin näistä ratkaisupalveluista häiriintyy, EU:n viranomaisten on paljon vaikeampi puuttua mahdollisiin haitallisiin kyberhyökkäyksiin ja merkittäviin geopoliittisiin ja teknisiin poikkeamiin. Tämän vuoksi komissio kannustaa EU:n yrityksiä, Internet-palveluntarjoajia ja selainten myyjiä monipuolistamaan riippuvuuttaan DNS-resoluutiopalveluista. Auttaakseen niitä edelleen komissio tukee julkisen eurooppalaisen DNS resolver -palvelun kehittämistä. ”DNS4EU” tarjoaa vaihtoehtoisen eurooppalaisen palvelun maailmanlaajuisen internetin käyttämiseksi. Se on avoin, noudattaa uusimpia sisäänrakennetun turvallisuuden, tietosuojan ja yksityisyyden suojan standardeja ja oletusarvoisia sääntöjä ja on osa dataa ja pilvipalveluja koskevaa eurooppalaista teollista allianssia.
Related content
EU:n kyberturvallisuusstrategialla pyritään parantamaan kykyä sietää kyberuhkia ja varmistamaan, että kansalaiset ja yritykset hyötyvät luotettavasta digitaaliteknologiasta.