Strategia UE w zakresie cyberbezpieczeństwa na cyfrową dekadę: Pytania i odpowiedzi

Nadszedł czas na nową wizję i plan UE w zakresie cyberbezpieczeństwa z trzech powodów. Po pierwsze, coraz więcej krytycznych i niezbędnych usług, a także miliardy dodatkowych przedmiotów codziennego użytku w domu i w produkcji łączy się z Internetem. Ataki mające na celu wykorzystanie słabych punktów tych produktów i usług są również coraz liczniejsze i coraz bardziej złożone. Zielona transformacja cyfrowa jest dla UE najwyższym priorytetem i może się ona powieść tylko wtedy, gdy bezpieczeństwo zostanie zintegrowane ze wszystkimi planowanymi inwestycjami, w przeciwnym razie nie będzie zaufania do technologii. Po drugie, cyberprzestrzeń jest miejscem konkursu geopolitycznego, a idea otwartego globalnego Internetu i międzynarodowych ram ustalania norm jest stale kwestionowana. Ponadto pandemia zwiększyła naszą zależność od tych narzędzi i usług cyfrowych. Społeczeństwo i gospodarka nie powrócą do norm sprzed blokady. Potrzebne są znaczne inwestycje w dziedzinie cyberbezpieczeństwa oraz zapewnienie strategicznej autonomii Europy w tym zakresie, prowadzącej do rozwoju bezpiecznych technologii w całym cyfrowym łańcuchu dostaw.

W strategii opisano, w jaki sposób UE może wykorzystać i wzmocnić wszystkie swoje narzędzia i zasoby, aby być technologicznie suwerenną i strategicznie autonomiczną. Opisano w nim również, w jaki sposób UE może zacieśnić współpracę z partnerami na całym świecie, którzy podzielają nasze wartości, takie jak demokracja, praworządność i prawa człowieka. Ta strategiczna autonomia musi opierać się na odporności wszystkich połączonych usług i produktów. Wszystkie cztery cyberwspólnoty – zajmujące się rynkiem wewnętrznym, egzekwowaniem prawa, dyplomacją i obroną – muszą ściślej współpracować na rzecz wspólnej świadomości zagrożeń. Ponadto muszą być gotowe do zbiorowej reakcji, gdy dojdzie do ataku, tak aby UE mogła być silniejsza niż suma jej części.

Ogłoszono szereg nowych inicjatyw strategicznych. Obejmują one ogólnounijną tarczę cyberbezpieczeństwa złożoną z centrów monitorowania bezpieczeństwa, które wykorzystują sztuczną inteligencję i uczenie maszynowe do wykrywania wczesnych sygnałów zbliżających się cyberataków i umożliwiają podjęcie działań przed wystąpieniem szkody, wspólną jednostkę ds. cyberprzestrzeni, która połączy wszystkie społeczności zajmujące się cyberbezpieczeństwem w celu dzielenia się wiedzą na temat zagrożeń i wspólnego reagowania na incydenty i zagrożenia, a także europejskie rozwiązania służące wzmocnieniu bezpieczeństwa internetu na całym świecie, w tym rozporządzenie w sprawie usługi rozpoznawania nazw systemów domeny publicznej UE w celu zapewnienia internetu bezpiecznych rzeczy. Strategia wprowadza więcej pogłębionych dialogów na temat cyberbezpieczeństwa z państwami trzecimi oraz organizacjami regionalnymi i międzynarodowymi, w tym NATO, program działania ONZ na rzecz bezpieczeństwa międzynarodowego w cyberprzestrzeni oraz silniejszy zestaw narzędzi unijnej dyplomacji cyfrowej w celu zapobiegania cyberatakom, powstrzymywania ich i reagowania na nie. Ponadto powstanie unijny program budowania zewnętrznych zdolności cybernetycznych oraz międzyinstytucjonalna rada UE ds. budowania zdolności cybernetycznych, aby zwiększyć skuteczność i efektywność budowania zewnętrznych zdolności cybernetycznych UE.

UE potrzebuje sprawnych środków wykrywania i odpierania coraz bardziej złożonych i częstych cyberataków. Obecnie ośrodki wymiany i analizy informacji (ISAC) pomagają zainteresowanym stronom w przemyśle i organach publicznych w wymianie informacji na temat zagrożeń. Musimy jednak stale monitorować sieci i systemy komputerowe, aby wykrywać włamania i anomalie w czasie rzeczywistym. Wiele przedsiębiorstw prywatnych, organizacji publicznych i organów krajowych dokonuje tego za pośrednictwem centrów operacyjnych ds. bezpieczeństwa. Jest to bardzo wymagająca i szybka praca, dlatego sztuczna inteligencja, a w szczególności techniki uczenia maszynowego, mogą stanowić nieocenione wsparcie dla praktyków. Komisja proponuje utworzenie sieci centrów monitorowania bezpieczeństwa w całej UE oraz wspieranie udoskonalania istniejących centrów i tworzenia nowych. Będzie on wspierał szkolenia i rozwój umiejętności personelu obsługującego te ośrodki. Sieć ta będzie terminowo ostrzegać organy i wszystkie zainteresowane strony, w tym wspólną jednostkę ds. cyberprzestrzeni, o incydentach związanych z cyberbezpieczeństwem, jak sieć wież strażniczych.

Inwestycje w cały łańcuch dostaw technologii cyfrowych, przyczyniające się do transformacji cyfrowej lub do sprostania związanym z nią wyzwaniom, powinny wynieść co najmniej 20 % – co odpowiada 134,5 mld EUR – z 672,5 mld EUR Instrumentu na rzecz Odbudowy i Zwiększania Odporności składającego się z dotacji i pożyczek. Finansowanie unijne w wieloletnich ramach finansowych na lata 2021–2027 przewidziano na cyberbezpieczeństwo w ramach programu „Cyfrowa Europa”. Jednocześnie w ramach programu „Horyzont Europa” przewidziano finansowanie badań nad cyberbezpieczeństwem, ze szczególnym uwzględnieniem wsparcia dla MŚP. Ogółem może to wynieść 2 mld euro plus inwestycje państw członkowskich i przemysłu. Europejski Fundusz Obronny (EFR) będzie wspierał europejskie rozwiązania w zakresie cyberobrony w ramach europejskiej bazy technologiczno-przemysłowej sektora obronnego. Cyberbezpieczeństwo jest uwzględnione w zewnętrznych instrumentach finansowych wspierających naszych partnerów, w szczególności w Instrumencie Sąsiedztwa oraz Współpracy Międzynarodowej i Rozwojowej.

Wspólna jednostka ds. cyberprzestrzeni jest platformą, która pomoże lepiej chronić UE przed najpoważniejszymi atakami cybernetycznymi, zwłaszcza transgranicznymi. Opiera się on na koncepcji, zgodnie z którą wymiana informacji między odpowiednimi unijnymi i krajowymi zainteresowanymi stronami może znacznie pobudzić reakcję UE na ryzyko i zagrożenia w cyberprzestrzeni, zgodnie z apelem przewodniczącej Komisji zawartym w jej wytycznych politycznych z 2019 r. Dotyczy to w szczególności wszystkich społeczności, takich jak obronność, ludność cywilna, organy ścigania i działania zewnętrzne. Wspólna jednostka ds. cyberprzestrzeni mogłaby zatem pomóc uczestnikom w uzyskaniu wspólnego zrozumienia krajobrazu zagrożeń i pomóc im w koordynacji reakcji. Potrzebujemy wspólnej jednostki ds. cyberprzestrzeni z wielu powodów. Po pierwsze, UE nie ma obecnie przestrzeni do ułatwienia zorganizowanej współpracy między państwami członkowskimi a wszystkimi odpowiednimi unijnymi instytucjami, organami i agencjami ds. cyberbezpieczeństwa. Po drugie, istniejące sieci i społeczności muszą w pełni wykorzystać swój potencjał i zintensyfikować wymianę informacji, w tym z sektorem prywatnym. To jest coś, co dzisiaj nie dzieje się wystarczająco dużo. Po trzecie, wspólna jednostka ds. cyberprzestrzeni wypełniłaby luki i wzmocniłaby istniejące ramy współpracy między instytucjami, organami i agencjami UE a organami państw członkowskich w przypadku poważnych transgranicznych cyberincydentów lub zagrożeń. Ponadto dział ten zapewniłby przestrzeń do współpracy między społecznościami zajmującymi się cyberbezpieczeństwem cywilnym, dyplomatycznym, organów ścigania i obrony. Ponadto zapewniłoby to zainteresowanym stronom z sektora cyberbezpieczeństwa, w tym sprzedawcom produktów związanych z cyberbezpieczeństwem i partnerom z państw trzecich, centralny punkt wymiany informacji na temat zagrożeń. Wspólna jednostka ds. cyberprzestrzeni nie byłaby dodatkowym, samodzielnym organem ani nie wpływałaby na rolę i funkcje istniejących organów, ale pomogłaby je połączyć i wykorzystać wzajemną wiedzę fachową.

Utworzenie działu przewiduje się w czterech etapach: 1. definiowanie i mapowanie dostępnych możliwości; 2. ustanowienie ram zorganizowanej współpracy i pomocy; 3. wdrożenie ram; 4. zwiększenie zdolności produkcyjnych przy udziale przemysłu i partnerów.

Budowa wspólnej platformy operacyjnej wymaga zaufania i odpowiedniego zaangażowania wszystkich odpowiednich uczestników. Nie może to nastąpić z dnia na dzień i musi zostać starannie zdefiniowane i przygotowane przed uruchomieniem wszystkich zdolności jednostki. Ponadto konieczne jest najpierw stworzenie właściwie funkcjonujących mechanizmów wśród zainteresowanych podmiotów instytucjonalnych UE, przede wszystkim państw członkowskich, zanim będzie można rozszerzyć je na zainteresowane strony z sektora prywatnego. Zgodnie z tym, co zrobiono w ostatnich miesiącach, od chwili obecnej do lutego Komisja będzie nadal konsultować się z odpowiednimi zainteresowanymi stronami w celu określenia najwłaściwszego procesu, kamieni milowych i terminów realizacji działu.

Każda połączona rzecz zawiera luki, które mogą być wykorzystywane i wpływać na inne usługi, sieci, a nawet całe gospodarki. Przepisy dotyczące rynku wewnętrznego obejmują zabezpieczenia przed niepewnymi produktami i usługami. Certyfikacja na podstawie aktu o cyberbezpieczeństwie ma na celu zachęcanie do stosowania bezpiecznych produktów i usług bez uszczerbku dla wyników. Pierwszy kroczący program prac Unii, który ma zostać przyjęty w pierwszym kwartale 2021 r., umożliwi przemysłowi, organom krajowym i organom normalizacyjnym przygotowanie się do przyszłych europejskich systemów certyfikacji cyberbezpieczeństwa. Potrzebujemy jednak jeszcze bardziej kompleksowego podejścia. Komisja planuje już aktualizację przepisów dyrektywy w sprawie urządzeń radiowych. Komisja rozważy również nowe przepisy horyzontalne dotyczące wszystkich produktów skomunikowanych i powiązanych usług, w tym nowy obowiązek dochowania należytej staranności przez producentów urządzeń skomunikowanych w celu wyeliminowania luk w oprogramowaniu, wymagający kontynuacji aktualizacji oprogramowania i zabezpieczeń, a także zapewniający po zakończeniu eksploatacji usunięcie danych osobowych i innych danych szczególnie chronionych. Uzupełniłoby to zarówno rozporządzenie w sprawie ogólnego bezpieczeństwa produktów (które ma zostać zaktualizowane w 2021 r., ale nie dotyczy bezpośrednio cyberbezpieczeństwa), jak i inicjatywę dotyczącą prawa do naprawy przestarzałego oprogramowania przedstawioną w planie działania UE dotyczącym gospodarki o obiegu zamkniętym.

Jeśli chcesz uzyskać dostęp do zasobu – takiego jak strona internetowa – pod konkretną nazwą domeny, taką jak .eu lub .com w Internecie, Twoje żądanie musi zostać przetłumaczone lub „usunięte” z nazwy witryny na numer. Dokładniej rzecz ujmując, numeryczny adres IP (Internet Protocol). Usługa resolwera przekieruje żądanie do serwerów systemu nazw domen (DNS), abyś mógł uzyskać dostęp do strony internetowej. Jednak podstawowa struktura Internetu, a także jego podstawowe protokoły i infrastruktura wspierająca są podatne na ataki i zakłócenia. Obejmuje to system nazw domen (DNS). Większość przedsiębiorstw w UE korzysta z kilku publicznych resolwerów DNS obsługiwanych przez podmioty spoza UE. Jeżeli jedna z tych usług resolwerowych zostanie zakłócona, organom UE znacznie trudniej będzie poradzić sobie z możliwymi złośliwymi cyberatakami oraz poważnymi incydentami geopolitycznymi i technicznymi. Dlatego też Komisja zachęca unijne przedsiębiorstwa, dostawców usług internetowych i dostawców przeglądarek do dywersyfikacji ich zależności od usług rozpoznawania DNS. Aby pomóc im w dalszym rozwoju, Komisja będzie wspierać rozwój publicznej europejskiej usługi resolwera DNS. „DNS4EU” zaoferuje alternatywną, europejską usługę dostępu do globalnego internetu. Będzie on przejrzysty, zgodny z najnowszymi standardami i zasadami bezpieczeństwa, ochrony danych i prywatności już w fazie projektowania oraz domyślnie będzie stanowił część europejskiego sojuszu przemysłowego na rzecz danych i chmury obliczeniowej.