Strategija EU za kibernetsko varnost v digitalnem desetletju: Vprašanja in odgovori

Zdaj je čas za novo vizijo in načrt EU za kibernetsko varnost iz treh razlogov. Prvič, vedno več kritičnih in osnovnih storitev ter milijarde dodatnih vsakdanjih predmetov doma in v proizvodnji se povezujejo z internetom. Napadi, namenjeni izkoriščanju ranljivosti teh proizvodov in storitev, se prav tako širijo in postajajo vse bolj zapleteni. Zelena digitalna preobrazba je glavna prednostna naloga EU, ki je lahko uspešna le, če je varnost vključena v vse načrtovane naložbe, sicer ne bo zaupanja v tehnologijo. Drugič, kibernetski prostor je prizorišče geopolitičnega tekmovanja, zamisel o odprtem svetovnem internetu in mednarodnem okviru za določanje norm pa se nenehno izpodbija. Pandemija je tudi pospešila našo odvisnost od teh digitalnih orodij in storitev. Družba in gospodarstvo se ne bosta vrnila k normam, ki so veljale pred omejitvijo gibanja. Potrebne so velike naložbe na področju kibernetske varnosti in za zagotovitev, da bo Evropa v zvezi s tem strateško avtonomna, kar bo vodilo v razvoj varnih tehnologij v celotni digitalni dobavni verigi.

V strategiji je opisano, kako lahko EU izkoristi in okrepi vsa svoja orodja in vire, da bi postala tehnološko suverena in strateško avtonomna. Opisuje tudi, kako lahko EU okrepi sodelovanje s partnerji po vsem svetu, ki delijo naše vrednote demokracije, pravne države in človekovih pravic. Ta strateška avtonomija mora temeljiti na odpornosti vseh povezanih storitev in proizvodov. Vse štiri kibernetske skupnosti – tiste, ki se ukvarjajo z notranjim trgom, kazenskim pregonom, diplomacijo in obrambo – si morajo bolj prizadevati za skupno ozaveščenost o grožnjah. Poleg tega morajo biti pripravljeni na skupen odziv, ko pride do napada, da bo EU lahko močnejša od vsote svojih delov.

Napovedane so bile številne nove strateške pobude. Med njimi so vseevropski kibernetski ščit, ki ga sestavljajo centri za varnostne operacije, ki uporabljajo umetno inteligenco in strojno učenje za odkrivanje zgodnjih signalov o skorajšnjih kibernetskih napadih in omogočajo ukrepanje pred povzročitvijo škode, skupna kibernetska enota, ki bo združevala vse skupnosti na področju kibernetske varnosti za izmenjavo ozaveščenosti o grožnjah in skupen odziv na incidente in grožnje, ter evropske rešitve za krepitev internetne varnosti na svetovni ravni, vključno z javno uredbo EU o storitvah razreševalnika domenskih imen, da se zagotovi internet varnih stvari. Strategija uvaja obsežnejše in močnejše kibernetske dialoge s tretjimi državami ter regionalnimi in mednarodnimi organizacijami, vključno z Natom, akcijski program v Združenih narodih za obravnavanje mednarodne varnosti v kibernetskem prostoru in močnejši nabor orodij EU za kibernetsko diplomacijo za preprečevanje kibernetskih napadov, odvračanje od njih in odzivanje nanje. Poleg tega bosta vzpostavljena agenda EU za krepitev zunanjih kibernetskih zmogljivosti in medinstitucionalni odbor EU za krepitev kibernetskih zmogljivosti, da bi se povečali uspešnost in učinkovitost krepitve zunanjih kibernetskih zmogljivosti EU.

EU potrebuje prožna sredstva za odkrivanje in odvračanje vse bolj zapletenih in pogostih kibernetskih napadov. Centri za izmenjavo in analizo informacij (ISAC) trenutno pomagajo deležnikom v industriji in javnim organom pri izmenjavi informacij o grožnjah. Vendar pa moramo nenehno spremljati omrežja in računalniške sisteme za odkrivanje vdorov in anomalij v realnem času. Številna zasebna podjetja, javne organizacije in nacionalni organi to počnejo prek centrov za varnostne operacije. To je zelo zahtevno in hitro delo, zato lahko umetna inteligenca in zlasti tehnike strojnega učenja nudijo neprecenljivo podporo strokovnjakom. Komisija predlaga vzpostavitev mreže centrov za varnostne operacije po vsej EU ter podporo izboljšanju obstoječih centrov in vzpostavitvi novih. Podpiral bo usposabljanje in razvoj spretnosti osebja, ki upravlja te centre. Ta mreža bo organom in vsem zainteresiranim deležnikom, vključno s skupno kibernetsko enoto, kot mreža opazovalnih stolpov zagotavljala pravočasna opozorila o kibernetskih incidentih.

Naložbe v celotno dobavno verigo digitalne tehnologije, ki prispevajo k digitalnemu prehodu ali obravnavanju izzivov, ki iz njega izhajajo, bi morale znašati vsaj 20 % – kar ustreza 134,5 milijarde EUR – od 672,5 milijarde EUR iz mehanizma za okrevanje in odpornost, ki ga sestavljajo nepovratna sredstva in posojila. Financiranje EU v večletnem finančnem okviru za obdobje 2021–2027 je predvideno za kibernetsko varnost v okviru programa za digitalno Evropo. Medtem je v okviru programa Obzorje Evropa predvideno financiranje raziskav na področju kibernetske varnosti s posebnim poudarkom na podpori MSP. Skupaj bi to lahko znašalo 2 milijardi EUR ter naložbe držav članic in industrije. Evropski obrambni sklad bo podpiral evropske rešitve kibernetske obrambe kot del tehnološke in industrijske baze evropske obrambe. Kibernetska varnost je vključena v zunanje finančne instrumente za podporo našim partnerjem, zlasti v instrument za sosedstvo ter razvojno in mednarodno sodelovanje.

Skupna kibernetska enota je platforma, ki bo pripomogla k boljši zaščiti EU pred najhujšimi kibernetskimi napadi, zlasti čezmejnimi. Temelji na konceptu, da lahko izmenjava informacij med ustreznimi deležniki na ravni EU in nacionalni ravni znatno spodbudi odziv EU na tveganja in grožnje na področju kibernetske varnosti, kot je pozvala predsednica Komisije v svojih političnih smernicah iz leta 2019. To velja zlasti za skupnosti, kot so obramba, civilna zaščita, kazenski pregon in zunanje delovanje. Skupna kibernetska enota bi tako lahko udeležencem pomagala pridobiti skupno razumevanje okolja groženj in jim pomagala usklajevati njihov odziv. Skupno kibernetsko enoto potrebujemo iz več razlogov. Prvič, EU trenutno nima prostora za spodbujanje strukturiranega sodelovanja med državami članicami ter vsemi ustreznimi institucijami, organi in agencijami EU za kibernetsko varnost. Drugič, obstoječe mreže in skupnosti morajo v celoti izkoristiti svoj potencial in okrepiti izmenjavo informacij, tudi z zasebnim sektorjem. To je nekaj, kar se danes ne dogaja dovolj. Tretjič, skupna kibernetska enota bi zapolnila vrzeli v obstoječem okviru za sodelovanje med institucijami, organi in agencijami EU ter organi držav članic v primeru večjih čezmejnih kibernetskih incidentov ali groženj ter ga spodbudila. Poleg tega bi enota civilnim in diplomatskim skupnostim ter skupnostim za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter obrambo zagotovila prostor za sodelovanje na področju kibernetske varnosti. Poleg tega bi deležnikom na področju kibernetske varnosti, vključno s prodajalci izdelkov za kibernetsko varnost in partnerji iz tretjih držav, zagotovila kontaktno točko za izmenjavo informacij o grožnjah. Skupna kibernetska enota ne bi bila dodaten, samostojen organ ali vplivala na vlogo in naloge obstoječih organov, vendar bi pomagala pri njihovem združevanju in medsebojnem izkoriščanju strokovnega znanja.

Ustanovitev enote je predvidena v štirih korakih: 1. opredelitev in kartiranje razpoložljivih zmogljivosti; 2. vzpostavitev okvira za strukturirano sodelovanje in pomoč; 3. izvajanje okvira; 4. povečanje zmogljivosti s prispevkom industrije in partnerjev.

Za vzpostavitev skupne operativne platforme sta potrebna zaupanje in ustrezno sodelovanje vseh zadevnih udeležencev. To se ne more zgoditi čez noč, zato ga je treba skrbno opredeliti in pripraviti, preden bodo uvedene vse zmogljivosti enote. Poleg tega je treba najprej vzpostaviti ustrezno delujoče mehanizme med institucionalnimi zainteresiranimi stranmi EU, predvsem državami članicami, preden jih bo mogoče razširiti na zainteresirane strani iz zasebnega sektorja. V skladu s tem, kar je bilo storjeno v zadnjih mesecih, se bo Komisija do februarja še naprej posvetovala z ustreznimi deležniki, da bi opredelila najprimernejši postopek, mejnike in časovne okvire za vzpostavitev enote.

Vsaka povezana stvar vsebuje ranljivosti, ki jih je mogoče izkoristiti in vplivajo na druge storitve, omrežja ali celo celotna gospodarstva. Pravila notranjega trga vključujejo zaščitne ukrepe proti nevarnim proizvodom in storitvam. Certificiranje na podlagi akta o kibernetski varnosti je namenjeno spodbujanju varnih proizvodov in storitev, ne da bi bila pri tem ogrožena učinkovitost. Prvi tekoči delovni program Unije, ki bo sprejet v prvem četrtletju leta 2021, bo industriji, nacionalnim organom in organom za standardizacijo omogočil, da se pripravijo na prihodnje evropske certifikacijske sheme za kibernetsko varnost. Vendar pa potrebujemo še celovitejši pristop. Komisija že načrtuje posodobitev pravil v skladu z direktivo o radijski opremi. Razmislila bo tudi o novih horizontalnih pravilih za vse povezane izdelke in z njimi povezane storitve, vključno z novo dolžnostjo skrbnega ravnanja za proizvajalce povezanih naprav, da bi odpravili ranljivosti programske opreme, ki zahtevajo nadaljnje posodabljanje programske opreme in varnostne posodobitve ter ob koncu življenjske dobe zagotavljajo izbris osebnih in drugih občutljivih podatkov. To bi dopolnilo uredbo o splošni varnosti proizvodov (ki bo posodobljena leta 2021, vendar kibernetska varnost ni neposredno obravnavana) in pobudo „pravica do popravila zastarele programske opreme“, predstavljeno v akcijskem načrtu za krožno gospodarstvo.

Če želite dostopati do vira – kot je spletna stran – pod določenim domenskim imenom, kot je .eu ali .com na internetu, je treba vašo zahtevo prevesti ali „rešiti“ iz imena spletišča v številko. Natančneje, naslov numeričnega internetnega protokola (IP). Storitev razreševalnika bo nato zahtevo posredovala strežnikom sistema domenskih imen (DNS), da boste lahko dostopali do spletne strani. Vendar so osnovna struktura interneta ter njegovi osnovni protokoli in podporna infrastruktura izpostavljeni napadom in motnjam. To vključuje sistem domenskih imen (DNS). Večina podjetij v EU se zanaša na nekaj javnih razreševalnikov DNS, ki jih upravljajo subjekti zunaj EU. Če je ena od teh storitev razreševalnika motena, se organi EU veliko težje spopadajo z morebitnimi zlonamernimi kibernetskimi napadi ter večjimi geopolitičnimi in tehničnimi incidenti. Zato Komisija spodbuja podjetja EU, ponudnike internetnih storitev in prodajalce brskalnikov, naj diverzificirajo svojo odvisnost od storitev reševanja DNS. Da bi jim še bolj pomagala, bo Komisija podprla razvoj javne evropske storitve razreševalnika DNS. „DNS4EU“ bo alternativna evropska storitev za dostop do svetovnega interneta. Sistem bo pregleden, skladen z najnovejšimi standardi in pravili glede vgrajene varnosti, varstva podatkov in zasebnosti ter bo del evropskega industrijskega zavezništva za podatke in računalništvo v oblaku.