U Hrvatskom je saboru 19. travnja održan okrugli stol na kojem je predstavljen Nacrt prijedloga…
Strategija kibernetičke sigurnosti EU-a
Dokumentom Združene komunikacije: kibernetička strategija EU-a za digitalno desetljeće, Europska unija nastoji podržati izgradnju veće otpornosti na kibernetičke prijetnje. U tekstu su navedeni neki od zanimljivijih dijelova dokumenta
Kibernetička sigurnost sastavni je dio sustava sigurnosti Europske unije. Predviđa se da će do 2025. broj povezanih digitalnih uređaja u svijetu narasti na 25 milijardi, od čega će četvrtina biti u Europi. Dakle, kibernetički napadi mogu više nego ikad prije utjecati na opću sigurnost. Prijetnje u kibernetičkom prostoru često su povezane s geopolitičkim napetostima i ponekad dovode do prijetnji globalnom i otvorenom kibernetičkom prostoru, kao i vladavini prava, temeljnim pravima, slobodi i demokraciji. Kibernetički prostor sve se više iskorištava u političke i ideološke svrhe. Hibridne prijetnje kombiniraju kampanje dezinformiranja s kibernetičkim napadima na infrastrukturu, gospodarske procese i demokratske institucije. Te aktivnosti potkopavaju međunarodnu sigurnost i stabilnost, kao i pogodnosti koje kibernetički prostor donosi gospodarskom, društvenom i političkom razvoju. To je pokazao i rat u Ukrajini, gdje se ruska agresija očituje i u tzv. petoj dimenziji ratovanja, odnosno kibernetičkom prostoru. Prijetnje kritičnim infrastrukturama velik su globalni rizik. Internet ima decentraliziranu arhitekturu bez središnje strukture. Uspio je održati eksponencijalni rast količine prometa, istodobno se oslanjajući na temeljne funkcije globalnog i otvorenog interneta, kao što je sustav naziva domena (Domain Name System – DNS) te internetske usluge za komunikacije i hosting. Te su usluge koncentrirane u rukama nekoliko privatnih tvrtki, što europsko gospodarstvo i društvo također čini ranjivim na remetilačke geopolitičke ili tehničke događaje koji utječu na jezgru interneta odnosno na jednu ili više tih tvrtki.
Kolektivna svijest o situaciji?
Dokument Združene komunikacije: kibernetička strategija EU-a za digitalno desetljeće, koji je u prosincu 2020. predstavila Europska komisija i visoki predstavnik Unije za vanjske poslove i sigurnosnu politiku, navodi da Europskoj uniji nedostaje kolektivna svijest o situaciji vezano uz kibernetičke prijetnje. Uzrok je to što nacionalna tijela sustavno ne prikupljaju i ne dijele informacije koje bi mogle pomoći u procjeni stanja kibernetičke sigurnosti u EU-u. Strategija kibernetičke sigurnosti EU-a ključna je komponenta u oblikovanju europske digitalne budućnosti. Njom se utvrđuje kako će EU zaštititi svoje stanovnike, tvrtke i institucije od kibernetičkih prijetnji te kako će poboljšati međunarodnu suradnju i biti predvodnik u osiguravanju globalnog i otvorenog interneta. Cilj je strategije osigurati globalni i otvoreni internet sa snažnim zaštitnim mjerama, a sadrži konkretne prijedloge za tri područja djelovanja EU-a. Prvo je otpornost, tehnološka suverenost i vodstvo. Drugo je izgradnja operativnih kapaciteta za sprečavanje, odvraćanje i odgovor. Treće je poboljšanje globalnog i otvorenog kibernetičkog prostora.
Europska unija obvezala se poduprijeti tu strategiju dosad neviđenom razinom ulaganja u svoju digitalnu tranziciju, tijekom sedam godina od njezina donošenja. Kibernetička sigurnost mora biti integrirana u sva ta digitalna ulaganja, posebno u ključne tehnologije poput umjetne inteligencije (Artificial Intelligence – AI), enkripcije i kvantnog računarstva. To može potaknuti rast europske kibernetičke industrije. Europski obrambeni fond (European Defence Fund – EDF) podržat će rješenja europske kibernetičke obrane kao dio europske obrambene tehnološke i industrijske baze. Kritična infrastruktura i osnovne usluge EU-a sve su više međuovisne i digitalizirane. Sve povezano s internetom u EU-u treba biti sigurno što se tiče dizajna (znači, sigurnost se mora uzeti u obzir već u njihovu stvaranju) i otporno na kibernetičke incidente. To je ključno kako bi se privatnom i javnom sektoru EU-a pružila mogućnost izbora između najsigurnijih infrastruktura i usluga. Nadolazeće desetljeće prilika je da EU postane predvodnik razvoja sigurnih tehnologija.
Umreženi centri
Privatne tvrtke, javne institucije i nacionalna tijela uspostavili su timove za odgovor na računalne sigurnosne incidente (Computer Security Incident Response Teams – CSIRT) i sigurnosne operativne centre (Security Operations Centres – SOC). Sigurnosni operativni centri ključni su za prikupljanje zapisa i izolaciju sumnjivih događaja na komunikacijskim mrežama koje nadziru. Oni to čine identifikacijom signala i uzoraka i korištenjem znanja o prijetnjama iz velikih količina podataka koje je potrebno procijeniti. Rad u tim centrima vrlo je zahtjevan zbog čega umjetna inteligencija, a posebno tehnike strojnog učenja, mogu pružiti neprocjenjivu pomoć. Komisija predlaže izgradnju mreže sigurnosnih operativnih centara širom Unije pružanjem podrške poboljšanju postojećih centara te uspostavom novih. Podržat će i obuku i razvoj vještina osoblja koje upravlja tim centrima. Na temelju analize potreba provedene s relevantnim dionicima i uz potporu Agencije EU-a za kibernetičku sigurnost (European Union Agency for Cybersecurity – ENISA), planirana su znatna sredstva za potporu javno-privatnoj i prekograničnoj suradnji u stvaranju nacionalnih i sektorskih mreža, uključujući i mala i srednja poduzeća. Zemlje članice potiču se na sudjelovanje u financiranju tog projekta. Centri bi tad mogli učinkovitije dijeliti i korelirati otkrivene signale i stvarati visokokvalitetne obavještajne podatke o prijetnjama. Zahvaljujući održivoj suradnji takva će mreža vlastima i svim zainteresiranim dionicima pružati pravodobna upozorenja o kibernetičkim sigurnosnim incidentima. Služit će kao pravi štit za kibernetičku sigurnost EU-a, sposoban otkriti potencijalne prijetnje prije nego što prouzroče štetu velikih razmjera.
Zajednička platforma JCU
Kibernetički incidenti, bilo da su slučajni ili ih izaziva namjerno kriminalno ili protivničko djelovanje državnih odnosno nedržavnih aktera, mogu prouzročiti golemu štetu. EU podržava zemlje članice u obrani njihovih građana, kao i njihovih gospodarskih i nacionalnih sigurnosnih interesa, uz puno poštivanje temeljnih prava i sloboda i vladavine prava. Nekoliko združenih skupina, koje se sastoje od mreža, institucija, tijela i agencija EU-a, kao i tijela zemalja članica, odgovorno je za sprečavanje, obeshrabrivanje, odvraćanje i odgovor na kibernetičke prijetnje. Europska unija uspostavlja platformu nazvanu Zajednička jedinica za kibersigurnost (Joint Cyber Unit – JCU), koja služi kao virtualna i fizička platforma za suradnju različitih tijela i skupina zaduženih za kibernetičku sigurnost EU-a, s fokusom na operativnoj i tehničkoj koordinaciji protiv velikih prekograničnih kibernetičkih incidenata i prijetnji. Platforma treba riješiti dvije glavne praznine koje povećavaju ranjivost i neučinkovitost u odgovoru na prijetnje i incidente koji pogađaju Uniju. Prvo, civilna i diplomatska tijela, tijela za provedbu zakona i tijela specijalizirana za kibernetičku obranu nemaju odgovarajući prostor za strukturiranu suradnju. Drugo, relevantni dionici kibernetičke sigurnosti još nisu uspjeli iskoristiti puni potencijal operativne suradnje i međusobne pomoći unutar postojećih mreža i zajednica. To je uključivalo nepostojanje platforme koja bi omogućila operativnu suradnju s privatnim sektorom. JCU bi trebao poboljšati i ubrzati koordinaciju i omogućiti Europskoj uniji odgovor na kibernetičke incidente i krize velikih razmjera. JCU ne bi bio dodatno, samostalno tijelo, niti bi utjecao na nadležnosti i ovlasti nacionalnih tijela za kibernetičku sigurnost. Umjesto toga, JCU bi omogućio dionicima međusobnu potporu. JCU treba ispuniti tri glavna cilja. Prvo, osigurati spremnost svih relevantnih tijela koja se bave kibernetičkom sigurnošću; drugo, razmjenom informacija pružiti kontinuiranu zajedničku svijest o situaciji; treće, ojačati sposobnosti koordiniranog odgovora i oporavka.
Suzbijanje kriminala, pojačavanje obrane
Velika ovisnost današnjeg društva i institucija o online alatima dovela je do situacije u kojoj istraga gotovo svih vrsta kriminala ima i digitalnu komponentu. Učinkovito suzbijanje kibernetičkog kriminala ključni je faktor u osiguravanju kibernetičke sigurnosti. Odvraćanje se ne može postići samo otpornošću sustava već i identifikacijom i kaznenim progonom počinitelja. Stoga je ključno poticati suradnju i razmjenu informacija između aktera kibernetičke sigurnosti i tijela koja provode zakone. Kao važan element tog odgovora, EU i nacionalna tijela trebaju proširiti i poboljšati kapacitete tijela koja istražuju kibernetički kriminal. Tijela koja provode zakone moraju biti potpuno opremljena za digitalne istrage. Komisija stoga podupire poboljšanje digitalnih kapaciteta tijela koja provode zakone, pružajući im potrebne vještine i alate. Osim toga, Europol će i dalje razvijati svoju komponentu stručnog središta za potporu nacionalnim tijelima koja provode zakone u borbi protiv kriminala u kibernetičkom prostoru. Komisija će nastaviti rad na pružanju odgovarajućih kanala i tumačenju pravila za dobivanje prekograničnog pristupa elektroničkim dokazima za kaznene istrage. EU se koristi i svojim alatima kibernetičke diplomacije za sprečavanje, obeshrabrivanje, odvraćanje i odgovor na zlonamjerne kibernetičke aktivnosti. Potonje bi se trebale rješavati učinkovitim i sveobuhvatnim zajedničkim diplomatskim odgovorom EU-a, uz primjenu niza mjera dostupnih na razini EU-a. Osim toga, EU bi trebao poduzeti daljnje napore za jačanje suradnje s međunarodnim partnerima, uključujući NATO.
Poticanje suradnje
EU i zemlje članice moraju povećati sposobnost sprečavanja kibernetičkih prijetnji i odgovora na njih. Unija ima okvir za politiku kibernetičke obrane (Cyber Defence Policy Framework – CDPF). EU je 2018. godine kibernetički prostor identificirao kao domenu operacija. Tijekom 2021. usvojen je dokument Vojna vizija i strategija o kibernetičkom prostoru kao domeni operacija (Military Vision and Strategy on Cyberspace as a Domain of Operations), čiji je cilj temeljitije definirati kibernetički prostor kao domenu operacija te povezane vojne misije i operacije. EU i zemlje članice trebaju poticati razvoj najsuvremenijih sposobnosti kibernetičke obrane putem svojih različitih politika i instrumenata. To zahtijeva naglasak na razvoju i primjeni ključnih tehnologija kao što je umjetna inteligencija, enkripcija i kvantno računarstvo. Akcijski plan Komisije o sinergiji između civilne, obrambene i svemirske industrije usvojen 2021. godine potiče daljnju potporu suradnji na razini programa, tehnologija, inovacija i startupova. Osim toga, potrebno je razviti sinergiju među inicijativama za kibernetičku obranu pokrenutim u drugim okvirima, uključujući projekte u okviru Stalne strukturirane suradnje (Permanent Structured Cooperation – PESCO). Ukratko, iz zaključka koji proizlazi iz dokumenta treba istaknuti da usklađena provedba Strategije kibernetičke sigurnosti EU-a pridonosi poboljšanju kibernetičke sigurnosti i jačanju položaja Unije na globalnoj razini. EU treba raditi na prihvaćanju standarda i normi kibernetičke sigurnosti za ključne usluge i kritičnu infrastrukturu, kao i na razvoju te primjeni novih tehnologija.
Sigurna komunikacijska infrastruktura
Satelitske komunikacije Europske unije trebaju podrazumijevati sigurne svemirske komunikacijske sposobnosti za potrebe misija i operacija kojima upravlja EU i zemlje članice. Zemlje članice obvezale su se na suradnju s Europskom komisijom u uspostavi sigurne kvantne komunikacijske infrastrukture (Quantum communication infrastructure – QCI) za Europu. QCI će javnim tijelima ponuditi potpuno novi način prijenosa povjerljivih informacija korištenjem ultrasigurnog oblika enkripcije za zaštitu od kibernetičkih napada i izgrađenog europskom tehnologijom. Jedna od glavnih komponenti QCI-ja postojeće su zemaljske optičke komunikacijske mreže koje povezuju strateška mjesta na nacionalnoj i prekograničnoj razini, a druga povezani sateliti koji pokrivaju cijelu Uniju.
Najbolja radna snaga
Napori EU-a da razvije, privuče i zadrži najbolje stručnjake za kibernetičku sigurnost čine važnu komponentu zaštite od kibernetičkih prijetnji. Stoga se posebna pozornost mora posvetiti razvoju, privlačenju i zadržavanju nadarenog i perspektivnog osoblja. Osim toga, Komisija će, zajedno s Uredom EU-a za intelektualno vlasništvo pri Europolu, ENISA-om, zemljama članicama i privatnim sektorom, razviti alate za podizanje svijesti i smjernice za povećanje otpornosti poduzeća EU-a na krađu intelektualnog vlasništva omogućenu kibernetičkim uređajima. Obrazovanje, uključujući strukovno obrazovanje i osposobljavanje, podizanje svijesti i vježbe, također bi trebalo dodatno povećati kibernetičku sigurnost i vještine kibernetičke obrane na razini EU-a.
Globalni kibernetički prostor
EU bi trebao i dalje surađivati s međunarodnim partnerima na promicanju političkog modela i vizije kibernetičkog prostora utemeljenog na vladavini prava, ljudskim pravima, temeljnim slobodama i demokratskim vrijednostima koje donose globalni društveni, gospodarski i politički razvoj. EU bi u tu svrhu trebao nastaviti suradnju s trećim zemljama, kako bi se razvila i provela koherentna i cjelovita međunarodna kibernetička politika. Kako bi promicao i branio svoju viziju kibernetičkog prostora na međunarodnoj razini, EU treba pojačati svoj angažman i vodstvo u međunarodnim procesima normizacije te povećati svoju zastupljenost u međunarodnim i europskim tijelima za normizaciju, kao i u drugim organizacijama za razvoj standarda. Međunarodnu standardizaciju sve više koriste treće zemlje za promicanje svojih političkih i ideoloških ciljeva, koji često nisu u skladu s vrijednostima EU-a. Europska unija mora i nadalje poboljšavati suradnju s NATO-om, posebice u interoperabilnosti kibernetičke obrane. U tom bi kontekstu Unija trebala težiti povezivanju relevantnih struktura s NATO-ovim projektom Federated Mission Networking, omogućujući mrežnu interoperabilnost s NATO-om i part-nerima. Osim toga, nužna je suradnja EU-a i NATO-a u obrazovanju, osposobljavanju i vježbama. Dobar primjer suradnje treba biti ona između Europskog učilišta za sigurnost i obranu (European Security and Defence College – ESDC) i NATO-ova Središta izvrsnosti za kibernetičku obranu (NATO Cooperative Cyber Defence Centre of Excellence – CCDCOE). Kako bi osigurao da sve zemlje mogu iskoristiti društvene, ekonomske i političke prednosti interneta i primjene tehnologija, EU nastavlja podupirati svoje partnere u povećanju njihove kibernetičke otpornosti i kapaciteta za istraživanje i kazneni progon kibernetičkog kriminala i rješavanje kibernetičkih
prijetnji.
Sigurnost u institucijama EU-a
Tijela i agencije EU-a redovite su mete kibernetičkih napada, posebno kibernetičke špijunaže. Međutim, razina njihove kibernetičke otpornosti i sposobnosti u otkrivanju zlonamjernih kibernetičkih aktivnosti i odgovora na njih znatno varira. Stoga je dosljednim i ujednačenim pravilima potrebno poboljšati ukupnu razinu kibernetičke sigurnosti. U području informacijske sigurnosti postignut je napredak prema većoj dosljednosti pravila za zaštitu klasificiranih podataka EU-a. Međutim, interoperabilnost klasificiranih informacijskih sustava ostaje ograničena, što otežava prijenos informacija među različitim subjektima. EU bi trebao dodatno razviti i sposobnost sigurnog komuniciranja s relevantnim partnerima. Današnji i budući trendovi rada na daljinu također će zahtijevati daljnja ulaganja u sigurnu opremu, infrastrukturu i alate koji omogućuju takav rad s osjetljivim i povjerljivim podacima. Za sve institucije, tijela i agencije EU-a postoje programi kojima se podiže svijest osoblja, kibernetička higijena i podržava zajednička kultura kibernetičke sigurnosti.
Pripremio: Vladimir Štimac