Kiberdrošības stratēģija
Tagad ir pienācis laiks jaunam ES redzējumam un kiberdrošības plānam trīs iemeslu dēļ. Pirmkārt, arvien kritiskāki un svarīgāki pakalpojumi, kā arī miljardiem papildu ikdienas priekšmetu mājās un ražošanā tiek pieslēgti internetam. Uzbrukumi, kuru mērķis ir izmantot šo produktu un pakalpojumu vājās vietas, arī kļūst arvien biežāki un sarežģītāki. Zaļā digitālā pārveide ir viena no ES galvenajām prioritātēm, un tā var būt sekmīga tikai tad, ja drošība ir integrēta visās plānotajās investīcijās, pretējā gadījumā nebūs uzticēšanās tehnoloģijai. Otrkārt, kibertelpa ir ģeopolitiska konkursa vieta, un pastāvīgi tiek apstrīdēta ideja par atvērtu globālu internetu un starptautisku normu noteikšanas sistēmu. Visbeidzot, pandēmija ir paātrinājusi mūsu atkarību no šiem digitālajiem rīkiem un pakalpojumiem. Sabiedrība un ekonomika neatgriezīsies pie pirmsbloķēšanas normām. Kiberdrošības jomā ir vajadzīgas lielas investīcijas, lai nodrošinātu, ka Eiropa šajā ziņā ir stratēģiski autonoma, vadot drošu tehnoloģiju izstrādi visā digitālajā piegādes ķēdē.
Stratēģijā aprakstīts, kā ES var izmantot un stiprināt visus savus instrumentus un resursus, lai tā būtu tehnoloģiski suverēna un stratēģiski autonoma. Tajā arī aprakstīts, kā ES var pastiprināt sadarbību ar partneriem visā pasaulē, kuriem ir tādas pašas vērtības kā demokrātijai, tiesiskumam un cilvēktiesībām. Šīs stratēģiskās autonomijas pamatā jābūt visu savienoto pakalpojumu un produktu noturībai. Visām četrām kiberkopienām — tām, kas saistītas ar iekšējo tirgu, tiesībaizsardzību, diplomātiju un aizsardzību, — ir ciešāk jāsadarbojas, lai panāktu kopīgu izpratni par apdraudējumiem. Turklāt tām jābūt gatavām kolektīvi reaģēt uz uzbrukumu, lai ES varētu būt spēcīgāka par tās daļu summu.
Ir paziņots par vairākām jaunām stratēģiskām iniciatīvām. Tie ietver ES mēroga kibervairogu, ko veido drošības operāciju centri, kuri izmanto MI un mašīnmācīšanos, lai atklātu agrīnus signālus par nenovēršamiem kiberuzbrukumiem un ļautu rīkoties pirms kaitējuma nodarīšanas, kopīgu kibervienību, kas apvienos visas kiberdrošības kopienas, lai dalītos informācijā par apdraudējumiem un kopīgi reaģētu uz incidentiem un apdraudējumiem, un Eiropas risinājumus interneta drošības stiprināšanai visā pasaulē, tostarp publisku ES domēnu nosaukumu sistēmu atrisinātāju pakalpojumu regulu, lai nodrošinātu drošu lietu internetu. Stratēģija ievieš plašākus un spēcīgākus kiberdialogus ar trešām valstīm un reģionālām un starptautiskām organizācijām, tostarp NATO, rīcības programmu Apvienoto Nāciju Organizācijā, lai pievērstos starptautiskajai drošībai kibertelpā, un spēcīgāku ES kiberdiplomātijas instrumentu kopumu, lai novērstu kiberuzbrukumus, atturētu no tiem un reaģētu uz tiem. Tiks izstrādāta arī ES ārējo kiberspēju veidošanas programma un ES iestāžu kiberspēju veidošanas padome, lai palielinātu ES ārējo kiberspēju veidošanas efektivitāti un lietderību.
ES ir vajadzīgi elastīgi līdzekļi arvien sarežģītāku un biežāku kiberuzbrukumu atklāšanai un novēršanai. Pašlaik informācijas apmaiņas un analīzes centri (ISAC) palīdz nozares ieinteresētajām personām un publiskajām iestādēm apmainīties ar informāciju par apdraudējumiem. Taču mums ir pastāvīgi jāuzrauga tīkli un datorsistēmas, lai reāllaikā atklātu ielaušanos un anomālijas. Daudzi privāti uzņēmumi, publiskas organizācijas un valsts iestādes to dara, izmantojot drošības operāciju centrus. Tas ir ļoti grūts un ātrs darbs, tāpēc mākslīgais intelekts un jo īpaši mašīnmācīšanās metodes var sniegt nenovērtējamu atbalstu praktiķiem. Komisija ierosina izveidot drošības operāciju centru tīklu visā ES un atbalstīt esošo centru uzlabošanu un jaunu centru izveidi. Tā atbalstīs šo centru darbinieku apmācību un prasmju pilnveidi. Šis tīkls iestādēm un visām ieinteresētajām personām, tostarp Kopējai kibervienībai, laikus sniegs brīdinājumus par kiberdrošības incidentiem, piemēram, par novērošanas torņu tīklu.
Investīcijām visā digitālo tehnoloģiju piegādes ķēdē, kas veicina digitālo pārkārtošanos vai palīdz risināt no tās izrietošās problēmas, vajadzētu būt vismaz 20 % jeb 134,5 miljardiem EUR no 672,5 miljardu EUR lielā Atveseļošanas un noturības mehānisma, ko veido dotācijas un aizdevumi. ES finansējums kiberdrošībai daudzgadu finanšu shēmā 2021.–2027. gadam ir paredzēts programmā “Digitālā Eiropa”. Tikmēr finansējums kiberdrošības pētniecībai ir paredzēts pamatprogrammā “Apvārsnis Eiropa”, īpašu uzmanību pievēršot MVU atbalstam. Kopumā tas varētu sasniegt 2 miljardus eiro, kā arī dalībvalstu un nozares ieguldījumus. Eiropas Aizsardzības fonds (EAF) atbalstīs Eiropas kiberaizsardzības risinājumus kā daļu no Eiropas aizsardzības tehnoloģiskās un rūpnieciskās bāzes. Kiberdrošība ir iekļauta ārējos finanšu instrumentos, lai atbalstītu mūsu partnerus, jo īpaši Kaimiņattiecību, attīstības sadarbības un starptautiskās sadarbības instrumentā.
Kopējā kibervienība ir platforma, kas palīdzēs labāk aizsargāt ES no visnopietnākajiem kiberdrošības uzbrukumiem, jo īpaši pārrobežu uzbrukumiem. Tā pamatā ir koncepcija, ka informācijas apmaiņa starp attiecīgajām ES un valstu ieinteresētajām personām var ievērojami veicināt ES reakciju uz kiberdrošības riskiem un apdraudējumiem, kā aicināts Komisijas priekšsēdētājas 2019. gada politiskajās pamatnostādnēs. Tas jo īpaši attiecas uz visām kopienām, piemēram, aizsardzību, civilo, tiesībaizsardzības un ārējo darbību. Tādējādi Kopējā kibervienība varētu palīdzēt dalībniekiem iegūt vienotu izpratni par apdraudējumu ainu un palīdzēt viņiem koordinēt savu reakciju. Kopējā kibervienība mums ir vajadzīga daudzu iemeslu dēļ. Pirmkārt, ES pašlaik nav iespēju veicināt strukturētu sadarbību starp dalībvalstīm un visām attiecīgajām ES kiberdrošības iestādēm, struktūrām un aģentūrām. Otrkārt, ir pilnībā jāizmanto esošo tīklu un kopienu potenciāls un jāpastiprina informācijas apmaiņa, tostarp ar privāto sektoru. Tas ir kaut kas, kas šodien nenotiek pietiekami. Treškārt, Kopējā kibervienība novērstu nepilnības un veicinātu esošo satvaru sadarbībai starp ES iestādēm, struktūrām un aģentūrām un dalībvalstu iestādēm lielu pārrobežu kiberincidentu vai apdraudējumu gadījumā. Visbeidzot, šī vienība nodrošinātu iespēju civilajām, diplomātiskajām, tiesībaizsardzības un aizsardzības kiberdrošības kopienām sadarboties. Turklāt tas kiberdrošības jomā ieinteresētajām personām, tostarp kiberdrošības produktu pārdevējiem un trešo valstu partneriem, nodrošinātu kontaktpunktu informācijas apmaiņai par apdraudējumiem. Kopējā kibervienība nebūtu papildu, atsevišķa struktūra un neietekmētu esošo iestāžu lomu un funkcijas, bet gan palīdzētu tās apvienot un savstarpēji izmantot speciālās zināšanas.
Nodaļas izveide ir paredzēta četros posmos: 1. definēt un kartēt pieejamās spējas; 2. strukturētas sadarbības un palīdzības sistēmas izveide; 3. regulējuma īstenošanu; 4. jaudas palielināšana ar nozares un partneru ieguldījumu.
Lai izveidotu kopīgu darbības platformu, ir vajadzīga visu attiecīgo dalībnieku uzticēšanās un pienācīga iesaiste. Tas nevar notikt vienas nakts laikā, un tas ir rūpīgi jādefinē un jāsagatavo, pirms tiek izvērstas visas vienības spējas. Turklāt vispirms ir jāizveido pienācīgi funkcionējoši mehānismi starp ES institucionālajām ieinteresētajām personām, galvenokārt dalībvalstīm, pirms tos var attiecināt arī uz privātā sektora ieinteresētajām personām. Saskaņā ar pēdējos mēnešos paveikto Komisija no šā brīža līdz februārim turpinās apspriesties ar attiecīgajām ieinteresētajām personām, lai noteiktu vispiemērotāko procesu, atskaites punktus un termiņus nodaļas izveidei.
Katrā saistītā lietā ir neaizsargātība, ko var izmantot un kas ietekmē citus pakalpojumus, tīklus vai pat visu ekonomiku. Iekšējā tirgus noteikumi ietver aizsardzības pasākumus pret nedrošiem produktiem un pakalpojumiem. Kiberdrošības aktā paredzētās sertifikācijas mērķis ir stimulēt drošus produktus un pakalpojumus, neapdraudot sniegumu. Pirmā Savienības mainīgā darba programma, kas jāpieņem 2021. gada pirmajā ceturksnī, ļaus nozarei, valstu iestādēm un standartizācijas struktūrām sagatavoties turpmākajām Eiropas kiberdrošības sertifikācijas shēmām. Tomēr mums ir vajadzīga vēl visaptverošāka pieeja. Komisija jau plāno atjaunināt noteikumus saskaņā ar Radioiekārtu direktīvu. Tā arī apsvērs jaunus horizontālus noteikumus attiecībā uz visiem savienotajiem produktiem un saistītajiem pakalpojumiem, tostarp jaunu pienākumu savienoto ierīču ražotājiem rūpēties par programmatūras ievainojamību novēršanu, pieprasot turpināt programmatūras un drošības atjauninājumus, kā arī dzīves cikla beigās nodrošināt persondatu un citu sensitīvu datu dzēšanu. Tas papildinātu gan Produktu vispārējā drošuma regulu (kas jāatjaunina 2021. gadā, bet tieši neattiecas uz kiberdrošību), gan aprites ekonomikas rīcības plānā izklāstīto iniciatīvu “tiesības uz novecojušas programmatūras labošanu”.
Ja vēlaties piekļūt resursam, piemēram, tīmekļa lapai, ar konkrētu domēna nosaukumu, piemēram, .eu vai .com internetā, jūsu pieprasījums ir jātulko vai “jāatrisina” no vietnes nosaukuma uz numuru. Konkrētāk, skaitliskā interneta protokola (IP) adrese. Pēc tam atrisinātāja pakalpojums nosūtīs pieprasījumu uz domēnu nosaukumu sistēmas (DNS) serveriem, lai jūs varētu piekļūt tīmekļa lapai. Tomēr interneta pamatstruktūra, kā arī tā galvenie protokoli un atbalsta infrastruktūra ir neaizsargāta pret uzbrukumiem un traucējumiem. Tas ietver domēnu nosaukumu sistēmu (DNS). Lielākā daļa ES uzņēmumu paļaujas uz dažiem publiskiem DNS risinātājiem, ko pārvalda trešo valstu struktūras. Ja kāds no šiem atrisinātāju pakalpojumiem tiek pārtraukts, ES iestādēm kļūst daudz grūtāk tikt galā ar iespējamiem ļaunprātīgiem kiberuzbrukumiem un lieliem ģeopolitiskiem un tehniskiem incidentiem. Tāpēc Komisija mudina ES uzņēmumus, interneta pakalpojumu sniedzējus un pārlūkprogrammu pārdevējus dažādot savu atkarību no DNS atrisināšanas pakalpojumiem. Lai tām palīdzētu arī turpmāk, Komisija atbalstīs publiska Eiropas DNS atrisinātāja pakalpojuma izstrādi. “DNS4EU” piedāvās alternatīvu Eiropas pakalpojumu, lai piekļūtu globālajam internetam. Tā būs pārredzama, atbildīs jaunākajiem drošības, datu aizsardzības un integrēta privātuma un privātuma pēc noklusējuma standartiem un noteikumiem un būs daļa no Eiropas Datu un mākoņdatošanas industriālās alianses.
Related content
ES kiberdrošības stratēģijas mērķis ir veidot noturību pret kiberdraudiem un nodrošināt, ka iedzīvotāji un uzņēmumi gūst labumu no uzticamām digitālajām tehnoloģijām.