Stratégia kybernetickej bezpečnosti EÚ v digitálnej dekáde: Otázky a odpovede

Nastal čas na novú víziu EÚ a plán kybernetickej bezpečnosti z troch dôvodov. Po prvé, čoraz viac kritických a základných služieb, ako aj miliardy ďalších každodenných predmetov v domácnosti a vo výrobe sa pripájajú na internet. Počet útokov, ktorých cieľom je zneužiť zraniteľné miesta v týchto produktoch a službách, sa tiež zvyšuje a zvyšuje sa ich zložitosť. Zelená digitálna transformácia je najvyššou prioritou EÚ a môže byť úspešná len vtedy, ak sa bezpečnosť začlení do všetkých plánovaných investícií, inak nebude dôvera v technológiu. Po druhé, kybernetický priestor je miestom geopolitickej súťaže a myšlienka otvoreného globálneho internetu a rámca stanovovania medzinárodných noriem je neustále spochybňovaná. Pandémia napokon urýchlila našu závislosť od týchto digitálnych nástrojov a služieb. Spoločnosť a hospodárstvo sa nevrátia k normám spred uzamknutia. Veľké investície sú potrebné v oblasti kybernetickej bezpečnosti a na zabezpečenie toho, aby bola Európa v tejto súvislosti strategicky nezávislá, čo povedie k vývoju bezpečných technológií v celom digitálnom dodávateľskom reťazci.

V stratégii sa opisuje, ako môže EÚ využiť a posilniť všetky svoje nástroje a zdroje, aby bola technologicky suverénna a strategicky autonómna. Opisuje sa v nej aj to, ako môže EÚ zintenzívniť spoluprácu s partnermi na celom svete, ktorí zdieľajú naše hodnoty demokracie, právneho štátu a ľudských práv. Táto strategická autonómia musí byť založená na odolnosti všetkých prepojených služieb a produktov. Všetky štyri kybernetické komunity – tie, ktoré sa zaoberajú vnútorným trhom, presadzovaním práva, diplomaciou a obranou – musia užšie spolupracovať na spoločnom povedomí o hrozbách. Okrem toho musia byť pripravené spoločne reagovať, keď dôjde k útoku, aby EÚ mohla byť silnejšia ako súčet jej častí.

Bolo oznámených niekoľko nových strategických iniciatív. Patrí medzi ne celoúnijný kybernetický štít zložený z centier bezpečnostných operácií, ktoré využívajú umelú inteligenciu a strojové učenie na odhaľovanie včasných signálov hroziacich kybernetických útokov a umožňujú prijať opatrenia pred tým, ako dôjde k poškodeniu, spoločná kybernetická jednotka, ktorá spojí všetky komunity kybernetickej bezpečnosti s cieľom vymieňať si informovanosť o hrozbách a kolektívne reagovať na incidenty a hrozby, a európske riešenia na posilnenie bezpečnosti internetu na celom svete vrátane regulácie verejnej služby EÚ na riešenie názvov systémov domén s cieľom zabezpečiť internet bezpečných vecí. V stratégii sa zavádza viac intenzívnejších kybernetických dialógov s tretími krajinami a regionálnymi a medzinárodnými organizáciami vrátane NATO, akčný program Organizácie Spojených národov na riešenie medzinárodnej bezpečnosti v kybernetickom priestore a silnejší súbor nástrojov kybernetickej diplomacie EÚ na predchádzanie kybernetickým útokom, odrádzanie od nich a reakciu na ne. Okrem toho bude existovať program EÚ na budovanie vonkajších kybernetických kapacít a medziinštitucionálny výbor EÚ pre budovanie kybernetických kapacít s cieľom zvýšiť účinnosť a efektívnosť budovania vonkajších kybernetických kapacít EÚ.

EÚ potrebuje agilné prostriedky na odhaľovanie a odvrátenie čoraz zložitejších a častejších kybernetických útokov. V súčasnosti centrá pre výmenu a analýzu informácií (ISAC) pomáhajú zainteresovaným stranám v priemysle a verejným orgánom vymieňať si informácie o hrozbách. Musíme však neustále monitorovať siete a počítačové systémy, aby sme zistili narušenia a anomálie v reálnom čase. Mnohé súkromné spoločnosti, verejné organizácie a vnútroštátne orgány to robia prostredníctvom centier bezpečnostných operácií. Ide o veľmi náročnú a rýchlo sa rozvíjajúcu prácu, a preto môže umelá inteligencia, a najmä techniky strojového učenia, poskytnúť neoceniteľnú podporu odborníkom z praxe. Komisia navrhuje vybudovať sieť centier bezpečnostných operácií v celej EÚ a podporiť zlepšenie existujúcich centier a zriadenie nových. Bude podporovať odbornú prípravu a rozvoj zručností zamestnancov prevádzkujúcich tieto centrá. Táto sieť bude orgánom a všetkým zainteresovaným stranám vrátane spoločnej kybernetickej jednotky poskytovať včasné varovania o kybernetických incidentoch ako sieť strážnych veží.

Investície do celého dodávateľského reťazca digitálnych technológií, ktoré prispievajú k digitálnej transformácii alebo k riešeniu výziev, ktoré z nej vyplývajú, by mali predstavovať aspoň 20 % – čo zodpovedá 134,5 miliardy EUR – z Mechanizmu na podporu obnovy a odolnosti vo výške 672,5 miliardy EUR, ktorý pozostáva z grantov a úverov. Financovanie kybernetickej bezpečnosti z prostriedkov EÚ vo viacročnom finančnom rámci na roky 2021 – 2027 sa plánuje v rámci programu Digitálna Európa. Medzitým sa v rámci programu Horizont Európa plánuje financovanie výskumu v oblasti kybernetickej bezpečnosti s osobitným zameraním na podporu MSP. Celkovo by to mohlo predstavovať 2 miliardy EUR plus investície členských štátov a priemyslu. Európsky obranný fond (EDF) bude podporovať európske riešenia v oblasti kybernetickej obrany ako súčasť európskej obrannej technologickej a priemyselnej základne. Kybernetická bezpečnosť je zahrnutá do vonkajších finančných nástrojov na podporu našich partnerov, najmä do Nástroja susedstva a rozvojovej a medzinárodnej spolupráce.

Spoločná kybernetická jednotka je platforma, ktorá pomôže lepšie chrániť EÚ pred najzávažnejšími kybernetickými útokmi, najmä cezhraničnými. Vychádza z koncepcie, že výmena informácií medzi príslušnými zainteresovanými stranami na úrovni EÚ a na vnútroštátnej úrovni môže výrazne podporiť reakciu EÚ na kybernetickobezpečnostné riziká a hrozby, ako sa uvádza vo výzve predsedníčky Komisie v jej politických usmerneniach z roku 2019. Platí to najmä pre komunity, ako je obrana, civilné obyvateľstvo, presadzovanie práva a vonkajšia činnosť. Spoločná kybernetická jednotka by tak mohla účastníkom pomôcť získať spoločné chápanie panorámy hrozieb a pomôcť im koordinovať ich reakciu. Spoločnú kybernetickú jednotku potrebujeme z mnohých dôvodov. Po prvé, EÚ v súčasnosti nemá priestor na uľahčenie štruktúrovanej spolupráce medzi členskými štátmi a všetkými príslušnými inštitúciami, orgánmi a agentúrami EÚ v oblasti kybernetickej bezpečnosti. Po druhé, existujúce siete a komunity musia naplno využiť svoj potenciál a zintenzívniť výmenu informácií, a to aj so súkromným sektorom. To je niečo, čo sa dnes nedeje dosť. Po tretie, spoločná kybernetická jednotka by vyplnila medzery a posilnila existujúci rámec spolupráce medzi inštitúciami, orgánmi a agentúrami EÚ a orgánmi členských štátov v prípade závažných cezhraničných kybernetických incidentov alebo hrozieb. Oddelenie by napokon poskytlo priestor na spoluprácu civilných, diplomatických, orgánov presadzovania práva a komunít pôsobiacich v oblasti kybernetickej bezpečnosti v oblasti obrany. Okrem toho by zainteresovaným stranám v oblasti kybernetickej bezpečnosti vrátane predajcov produktov kybernetickej bezpečnosti a partnerov z tretích krajín poskytla kontaktné miesto na výmenu informácií o hrozbách. Spoločná kybernetická jednotka by nebola dodatočným samostatným orgánom ani by nemala vplyv na úlohu a funkcie existujúcich orgánov, ale pomohla by ich spojiť a vzájomne využívať odborné znalosti.

Zriadenie oddelenia sa plánuje v štyroch krokoch: 1. definovanie a mapovanie dostupných spôsobilostí; 2. vytvorenie rámca pre štruktúrovanú spoluprácu a pomoc; 3. vykonávanie rámca; 4. rozšírenie kapacít so vstupom od priemyslu a partnerov.

Budovanie spoločnej operačnej platformy si vyžaduje dôveru a riadne zapojenie všetkých príslušných účastníkov. Nemôže sa to stať zo dňa na deň a musí sa to starostlivo vymedziť a pripraviť pred zavedením všetkých spôsobilostí jednotky. Okrem toho je potrebné najprv vytvoriť riadne fungujúce mechanizmy medzi inštitucionálnymi zainteresovanými stranami EÚ, najmä členskými štátmi, a až potom ich rozšíriť na zainteresované strany zo súkromného sektora. V súlade s tým, čo sa urobilo v posledných mesiacoch, bude Komisia odteraz do februára pokračovať v konzultáciách s príslušnými zainteresovanými stranami s cieľom určiť najvhodnejší proces, míľniky a harmonogramy na dosiahnutie tohto oddelenia.

Každá pripojená vec obsahuje zraniteľnosti, ktoré môžu byť zneužité a ovplyvniť iné služby, siete alebo dokonca celé ekonomiky. Pravidlá vnútorného trhu zahŕňajú záruky proti neistým výrobkom a službám. Cieľom certifikácie podľa aktu o kybernetickej bezpečnosti je stimulovať bezpečné produkty a služby bez ohrozenia výkonnosti. Prvý priebežný pracovný program Únie, ktorý sa má prijať v prvom štvrťroku 2021, umožní priemyslu, vnútroštátnym orgánom a normalizačným orgánom pripraviť sa na budúce európske systémy certifikácie kybernetickej bezpečnosti. Potrebujeme však ešte komplexnejší prístup. Komisia už plánuje aktualizovať pravidlá podľa smernice o rádiových zariadeniach. Zváži aj nové horizontálne pravidlá pre všetky pripojené produkty a súvisiace služby vrátane novej povinnosti výrobcov pripojených zariadení venovať pozornosť riešeniu zraniteľných miest softvéru, čo si bude vyžadovať pokračovanie softvérových a bezpečnostných aktualizácií, ako aj zabezpečenie vymazania osobných a iných citlivých údajov na konci životnosti. Doplnilo by to nariadenie o všeobecnej bezpečnosti výrobkov (ktoré sa má aktualizovať v roku 2021, ale priamo sa nezaoberá kybernetickou bezpečnosťou), ako aj iniciatívu „právo na opravu zastaraného softvéru“ predloženú v akčnom pláne pre obehové hospodárstvo.

Ak chcete získať prístup k zdroju – ako je webová stránka – pod konkrétnym názvom domény, ako je .eu alebo .com na internete, vaša žiadosť musí byť preložená alebo „vyriešená“ z názvu lokality na číslo. Konkrétnejšie ide o numerickú adresu internetového protokolu (IP). Služba riešiteľa potom odkáže požiadavku na servery systému názvov domén (DNS), aby ste mali prístup na webovú stránku. Základná štruktúra internetu, ako aj jeho základné protokoly a podporná infraštruktúra sú však zraniteľné voči útokom a narušeniu. Patrí sem aj systém názvov domén (DNS). Väčšina podnikov v EÚ sa spolieha na niekoľko verejných poskytovateľov riešení DNS prevádzkovaných subjektmi z krajín mimo EÚ. Ak dôjde k narušeniu jednej z týchto služieb riešenia krízových situácií, pre orgány EÚ bude oveľa ťažšie riešiť možné škodlivé kybernetické útoky a závažné geopolitické a technické incidenty. Komisia preto nabáda spoločnosti z EÚ, poskytovateľov internetových služieb a predajcov prehliadačov, aby diverzifikovali svoju závislosť od služieb riešenia DNS. S cieľom ďalej im pomáhať bude Komisia podporovať rozvoj verejnej európskej služby riešenia DNS. „DNS4EU“ ponúkne alternatívnu európsku službu na prístup ku globálnemu internetu. Bude transparentný, v súlade s najnovšími štandardmi a pravidlami v oblasti bezpečnosti, ochrany údajov a súkromia už v štádiu návrhu a štandardne bude tvoriť súčasť Európskej priemyselnej aliancie pre údaje a cloud.