EU se želi ustrezneje odzivati na kibernetske napade, ki so letos povzročili precej škode. Foto: Pixabay
EU se želi ustrezneje odzivati na kibernetske napade, ki so letos povzročili precej škode. Foto: Pixabay

Kibernetske grožnje izvirajo tako od državnih kot nedržavnih akterjev: pogosto so sicer kriminalne v želji po dobičku, a lahko so tudi politične in strateške. Nevarnost kriminalitete je še večja zaradi izginjanja ločnice med kibernetsko in „tradicionalno“ kriminaliteto, saj zločinci izkoriščajo medmrežje tako za stopnjevanje svojih dejavnosti kot za vir novih metod in orodij za kazniva dejanja. Hkrati državni akterji svoje cilje vse pogosteje dosegajo ne le s tradicionalnimi sredstvi, kot je vojaška sila, ampak tudi z diskretnejšimi kibernetskimi orodji, med katerimi je vmešavanje v notranje demokratične procese. Dezinformacijske kampanje, lažne novice in kibernetske operacije, katerih cilj je kritična infrastruktura, so vse pogostejše, in nanje se je treba odzvati.

Pojasnilo, zakaj je potrebna nova uredba EU-ja glede agencije za kibernetsko varnost

V Evropski uniji je letošnji oktober že petič razglašen za mesec kibernetske varnosti. EU preventivi in preganjanju kibernetskega kriminala posveča vse več pozornosti, saj ne nazadnje stroški, ki jih povzročajo kibernetski zlikovci, iz leta v leto strmo naraščajo.

V sredo je odbor DZ-ja za notranje zadeve, javno upravo in lokalno samoupravo obravnaval predlog stališča Slovenije do predloga uredbe Evropskega parlamenta in Sveta Evrope glede agencije EU-ja za kibernetsko varnost Enisa. Ta bo med drugim pristojna tudi za certificiranja informacijske in komunikacijske tehnologije na področju kibernetske varnosti.

Agenciji EU-ja za varnost omrežij in informacij (Enisa), ki ima svoj domicil v Grčiji, del v Atenah, del pa v glavnem mestu otoka Kreta Heraklionu, naj bi z novo uredbo podelili ključno vlogo pri krepitvi kibernetske odpornosti EU-ja in odzivu na kibernetske grožnje. Med drugim bo lahko pomagala tako državam EU-ja kot tudi podjetjem na ključnih področjih, vključno z izvajanjem direktive o varnosti omrežij in informacijskih sistemov. Njena naloga bo tudi organizacija vseevropskih vaj kibernetske varnosti, na katerih bo kombiniran odziv na več ravneh.

Med novimi nalogami EU-skrbnikov za kibernetsko varnost bo tudi podeljevanje certifikatov za kibernetsko varnost, ki bodo enotno priznani po vsem EU-ju. Certifikati pa naj bi potrošnikom oz. uporabnikom zagotavljali varnostne lastnosti proizvodov in storitev, ki jih kupujejo in uporabljajo.

"Uvedba enotnih shem certificiranja za kibernetsko varnost proizvodov in storitev IKT-ja prinaša prihranke za podjetja, ki bodo svoje izdelke ali storitve certificirala. Uporaba certificiranja je za podjetja sicer neobvezna, a če bo uporabljeno, to lahko predstavlja konkurenčno prednost. Prav tako se administrativni stroški podjetij s certificiranjem lahko občutno znižajo, saj tako pridobljen certifikat velja po vsem EU-ju, s tem pa odpade potreba po certificiranju po posameznih državah. Tako bodo visoki standardi kibernetske varnosti omogočali tudi konkurenčno prednost," so zapisali v pojasnilu nove uredbe.

Prav številni "pametni" izdelki, ki spadajo v okviru t. i. interneta stvari, so premalo ali nezaščiteni in predstavljajo številne grožnje in tveganja, saj so lahko zlorabljeni za kibernetske napade, kar se je v preteklosti že zgodilo …

Internet stvari je namreč širok in raznolik ekosistem, kjer med seboj povezane naprave in storitve zbirajo in si izmenjujejo podatke. Mednje spadajo, denimo, spletne kamere, pametni televizorji, pralni stroji, ogrevalni sistemi … Leta 2020 naj bi bilo po vsem svetu v uporabi več kot 20 milijard tovrstnih naprav.

Določiti želimo neka proporcionalna merila za certificiranje. Merila, pri katerih bo jasno, da stanovanjska hiša ni neka jedrska elektrarna in da so nevarnosti tam precej nižje. Toda želimo dvigniti zavest in povedati potrošnikom: "Če imate ključavnico na svojih vratih, povezano z internetom stvari, morate biti previdni, ker lahko kak heker vdre vanjo," je v pogovoru za Euroactiv opozoril izvršni direktor ENISE Steve Purser in dodal, da bodo skušali pripraviti pristop, ki bo odpravil številne pomisleke gospodarstva glede uvedbe certifikatov.

"Zagotoviti moramo dovolj varnosti, da se stvari lahko razvijajo naprej," je dejal. Kot primer je navedel avtomobile, ki, kot vemo, lahko povzročijo strašne nesreče, vendar se z razvojem vozil nenehno skušajo odpravljati varnostni problemi. "Enako se bo zgodilo z internetom stvari, umetno inteligenco, roboti in drugimi tehnološkimi novostmi," še pojasnjuje Purser.

Enisa ne sme biti obremenjena z birokracijo
Toda ali bo neka osrednja EU-agencija res učinkovita pri pregonu kibernetskega kriminala ali gre zgolj za novo birokratsko pogruntavščino bruseljske administracije? "Enisa je po moje izpolnila pričakovanja in je kot ena od mlajših agencij znala uporabiti obstoječe mehanizme za obrambo pred informacijskimi grožnjami (namesto da bi si izmišljevala lastne). Mislim, da je širitev mandata logičen korak, vedno pa moramo biti pozorni na to, da bomo Enisi omogočili učinkovito delovanje in da držav članic ne bomo po nepotrebnem obremenili z birokratizmom," je za MMC opozoril Gorazd Božič, vodja SI-CERT-a, nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij.

Kiberdiplomacija
EU pa želi v boju proti kiberkriminalcem seči tudi prek svojih meja in države, iz katerih prihajajo kibernetski napadi, skušati prisiliti, da ukrepajo proti storilcem.

V prvi polovici letošnjega leta sta se namreč zgodila dva obsežna kibernetska napada. Sredi maja je izsiljevalski virus WannaCry prizadel več kot 200.000 tarč v prek 150 državah. Zaklenil je računalnike več bank, bolnišnic in vladnih agencij po svetu. Med drugim je zaradi njega za nekaj časa zastala proizvodnja v Revozu. Hekerji pa so za vnovično delovanje sistemov tedaj zahtevali odkupnino 300 ameriških dolarjev v virtualni valuti bitcoin.

Podobna zgodba se je junija ponovila z nekoliko prirejeno različico izsiljevalskega virusa Petja, ki je najhuje prizadel vlado, banke in električno omrežje v Ukrajini, o napadih pa so poročali tudi iz Francije, Danske, ZDA in Avstralije.

Ministri EU-država so se že junija dogovorili za pripravo "zbirke orodij za kibernetsko diplomacijo." Med ukrepi so tudi sankcije proti državam, od koder prihajajo kibernetski napadi, in pomoč za pregon storilcev kaznivih dejanj. Države članice pa se lahko dogovorijo, da bodo ukrepe uporabile ločeno ali pa se bo odzvala celotna skupnost držav.

Kibernetske grožnje izvirajo tako od državnih kot nedržavnih akterjev: pogosto so sicer kriminalne v želji po dobičku, a lahko so tudi politične in strateške. Nevarnost kriminalitete je še večja zaradi izginjanja ločnice med kibernetsko in „tradicionalno“ kriminaliteto, saj zločinci izkoriščajo medmrežje tako za stopnjevanje svojih dejavnosti kot za vir novih metod in orodij za kazniva dejanja. Hkrati državni akterji svoje cilje vse pogosteje dosegajo ne le s tradicionalnimi sredstvi, kot je vojaška sila, ampak tudi z diskretnejšimi kibernetskimi orodji, med katerimi je vmešavanje v notranje demokratične procese. Dezinformacijske kampanje, lažne novice in kibernetske operacije, katerih cilj je kritična infrastruktura, so vse pogostejše, in nanje se je treba odzvati.

Pojasnilo, zakaj je potrebna nova uredba EU-ja glede agencije za kibernetsko varnost