Komisja Europejska przedstawiła nowy plan zarządzania kryzysem cybernetycznym w Unii Europejskiej. Dokument ma ustanowić jasne zasady i ramy reagowania na cyberkryzysy w UE, by zapewnić nam – obywatelom – cyfrowe bezpieczeństwo. Kryzys cybernetyczny – jak mu zapobiegać i nim zarządzać? Co skrywa w sobie przedstawiony przez UE dokument i dlaczego to jest ważne?
Celem przedstawionego przez UE dokumentu jest nie tylko wspieranie polityki UE w zakresie cyberbezpieczeństwa, ale przede wszystkim zaktualizowanie zasad i ram reagowania na kryzysy. Dlaczego taka aktualizacja jest konieczna? Żeby wzmocnić i ulepszyć sposoby reagowania na kryzysy cybernetyczne na dużą skalę.
Dokument (oznaczony numerem 2017/1584). określa, jakie powinny być zasady współpracy między państwami członkowskimi, instytucjami UE i różnymi podmiotami zainteresowanymi. Chodzi o sferę przygotowania, wykrywania, reagowania i odbudowy – wszystko to w kontekście poważnych incydentów cybernetycznych. W intencji UE, opublikowany plan powinien ułatwiać członkom UE nie tylko reagowanie w razie cyberniebezpieczeństw, ale też łączenie sił z innymi krajami UE w celu zwalczania zagrożenia. Ponadto w dokumencie można znaleźć szczegółowe informacje na temat dostępnych w UE mechanizmów związanych z cybernetycznym zarządzaniem kryzysowym.
Dlaczego potrzebujemy planu reagowania na kryzys cybernetyczny w UE?
– W coraz bardziej współzależnej gospodarce Unii zakłócenia spowodowane cyberincydentami mogą mieć daleko idące skutki w różnych sektorach – powiedziała Henna Virkkunen, wiceprzewodnicząca wykonawcza do spraw suwerenności technologicznej, bezpieczeństwa i demokracji. – Proponowany plan działania w zakresie cyberbezpieczeństwa odzwierciedla nasze zobowiązanie do zapewnienia skoordynowanego podejścia, wykorzystania istniejących struktur w celu ochrony rynku wewnętrznego i utrzymania niezbędnych funkcji społecznych. Niniejsze zalecenie jest kluczowym krokiem naprzód we wzmacnianiu naszej zbiorowej cyberodporności.
Faktycznie, żyjemy w dobie cyfrowej transformacji i globalnej łączności. Cyberbezpieczeństwo stało się jednym z kluczowych wyzwań dla Unii Europejskiej. Rosnąca liczba i złożoność cyberataków, w połączeniu z napięciami geopolitycznymi, stanowią poważne zagrożenie dla gospodarki, społeczeństwa i bezpieczeństwa UE. Według Raportu Rocznego z działalności CERT Polska w 2023 roku pojawiło się wiele nowych kampanii cyberprzestępców, między innymi „Wakacyjne oszustwo”, fałszywe ankiety, „Kampania GuLoader” i inne. Co więcej, w bazie National Vulnerability Database, która prowadzona jest przez amerykańską agencję NIST, opublikowanych zostało ponad 29 tysięcy nowych podatności.
Także na naszym portalu regularnie informujemy o różnego rodzaju oszustwach i atakach internetowych, na przykład o atakach na klientów Booking, właścicieli stron www albo scamie na bon do Biedronki. Ta obserwowana przez każdego z nas – zarówno osoby zainteresowane cyberbezpieczeństwem, jak i okazyjnych użytkowników sieci – rosnąca fala cyberprzestępczości to tylko czubek góry lodowej. Z tym problemem musimy sobie poradzić.
Na bardziej zaawansowane zagrożenia, przypominające choćby to z modnego ostatnio serialu na Netflixie „Dzień zero”, próbuje odpowiedzieć nowy plan reagowania na kryzys cybernetyczny w UE. Jak określono w definicji zawartej w dyrektywie (UE) 2022/2555 (dyrektywa NIS 2) incydent cybernetyczny na dużą skalę to taki rodzaj incydentu, z którym pojedyncze państwo członkowskiego UE samodzielnie sobie nie poradzi. Dzięki takim planom, jak nowy cyber blueprint, mamy szansę przetrwać w sytuacji, w której kryzys może wpłynąć na funkcjonowanie całego państwa.
Główne cele i założenia cyber blueprint, czyli nowego Planu Zarządzania Kryzysem Cybernetycznym UE
Szczegółowe dokumenty dotyczące nowego planu znajdziesz w artykule Plan na rzecz cyberbezpieczeństwa – projekt zalecenia Rady | Kształtowanie cyfrowej przyszłości Europy. Kilkadziesiąt stron dokumentów określa założenia i przedstawia nowe ramy dla zarządzania kryzysem cybernetycznym w UE. najważniejsze obszary, które uwzględniono w dokumentach, to:
- Lepsza identyfikacja potencjalnych kryzysów: Wczesne wykrywanie i ocena ryzyka eskalacji incydentów, w tym zagrożeń hybrydowych i dezinformacji.
- Wzmocniona współpraca:
- Między CSIRT Network i EU-CyCLONe, aby poprawić wymianę informacji na poziomie technicznym i operacyjnym.
- Z sektorem prywatnym, w tym producentami i społecznościami open-source, w celu poprawy wymiany informacji i reagowania na incydenty.
- Z NATO i innymi partnerami strategicznymi, w celu zapewnienia wspólnej świadomości sytuacyjnej i skoordynowanych działań.
- Między aktorami cywilnymi i wojskowymi, w celu zapewnienia spójnego podejścia do cyberbezpieczeństwa.
- Ćwiczenia cybernetyczne: Regularne testowanie procedur i mechanizmów współpracy, w tym symulacje kryzysów multi-sektorowych.
- Bezpieczna komunikacja: Rozwój interoperacyjnych i bezpiecznych rozwiązań komunikacyjnych, w tym wykorzystanie protokołu Matrix dla komunikacji w czasie rzeczywistym.
- Wykorzystanie zasobów: Efektywne wykorzystanie zasobów finansowych UE na cyberbezpieczeństwo, w tym programów takich jak Digital Europe Programme.
- Dywersyfikacja DNS: Rozwijanie strategii dywersyfikacji systemów nazw domenowych, w tym wykorzystanie DNS4EU, aby zapewnić niezawodne rozwiązywanie nazw domen podczas kryzysów.
- Zwalczanie dezinformacji: Koordynacja komunikacji publicznej w celu przeciwdziałania dezinformacji podczas kryzysów cybernetycznych.
Współpraca z NATO filarem planu na kryzys cybernetyczny?
Bardzo istotnym elementem nowego Planu Zarządzania Kryzysem Cybernetycznym w UE jest deklarowana szeroka kooperacja z NATO. Ta kooperacja z NATO w kontekście cyberbezpieczeństwa jest ważna z kilku przyczyn:
- duża skala przestępstwa/kryzysu – w sytuacji, w której kryzys dotyka więcej niż jednego państwa UE, próby rozwiązania kryzysu mogą przerastać możliwości jednego państwa; kooperacja z innymi podmiotami, w tym z NATO, może być najważniejsze do rozwiązania problemu;
- znaczenie infrastruktury krytycznej i jej ochrona – organizacje wojskowe częstokroć polegają na cywilnej infrastrukturze, na przykład na cywilnej energii, komunikacji, transporcie itd.; kooperacja z NATO ma na celu ochronę tej infrastruktury przed cyberatakami;
- Wymiana informacji i wspólna świadomość sytuacyjna – UE i NATO powinny wymieniać się informacjami na temat sytuacji i wykorzystania mechanizmów reagowania kryzysowego; można to osiągnąć poprzez punkty kontaktowe i połączenia między systemami informatycznymi;
- ćwiczenia i gotowość – wspólne ćwiczenia UE i NATO mogą testować współpracę cywilną i wojskową w przypadku cyberincydentów na dużą skalę.
To tylko część spośród wymienionych w dokumencie, znaczących powodów, dla których kooperacja UE z NATO jest istotnym elementem planu na kryzys cybernetyczny. Warto też pamiętać, iż kooperacja z partnerami strategicznymi i organizacjami międzynarodowymi, w tym z NATO, ma na celu promowanie dobrych praktyk i odpowiedzialnego zachowania w cyberprzestrzeni oraz zapewnienie szybkiej i skoordynowanej reakcji w przypadku cyberincydentów.
Czy plan na kryzys cybernetyczny to nasza gwarancja bezpieczeństwa?
Niestety, choć plan przedstawia różnorodne pomysły, procedury i wartości związane z działaniem w przypadku kryzysu, to nie jest to dokument idealny i nie daje nam gwarancji bezpieczeństwa. Najważniejsza z obaw może wiązać się z brakiem skuteczności dokumentu. Zależy ona bowiem od dobrowolnego zaangażowania państw członkowskich, ponieważ Cyber Blueprint jest rekomendacją, czyli nie ma mocy wiążącej.
Potencjalną słabością planu na kryzys cybernetyczny może być także złożoność dokumentu. Choć w trakcie lektury dostrzega się próbę dążenia do prostoty i dostępności, jest to jednak dokument bardzo złożony, poruszający wiele różnych tematów, odnoszący się do różnych aktorów, mechanizmów i instrumentów prawnych. A co za tym idzie – może być trudny we wdrożeniu.
Autorzy dokumentu podkreślają konieczność koordynacji między przeróżnymi podmiotami, np. cywilnymi i wojskowymi. Możemy mieć obawy, iż gdy dojdzie do potrzeby skorzystania z Cyber Blueprint, ten aspekt zawiedzie. Tymczasem brak skutecznej koordynacji może doprowadzić do niespójnych działań, a choćby do tragicznych opóźnień w reakcji na kryzys.
W dokumencie czytamy też, iż „podmioty publiczne, jak i prywatne powinny wdrożyć strategie wykrywania uwzględniające zagrożenia w swoich infrastrukturach cyfrowych, aby zidentyfikować możliwe wstępne pozycjonowanie, które może być następnie wykorzystane do celów zakłócania”. Brzmi to bardzo rozsądnie, jednak jakiekolwiek wdrożenia wymagają budżetu przeznaczonego właśnie na cyberbezpieczeństwo. Pojawia się więc pytanie, czy Polska zdecyduje się taki budżet zapewnić i go zasilać w razie potrzeby, czy jednak inne, ważne tematy, będą wymagały większych nakładów finansowych, odbierając nam szansę na wdrożenie systemów przeznaczonych na cyberbezpieczeństwo.
Plan na kryzys cybernetyczny – czy to wystarczy?
Cyber Blueprint stanowi istotny krok w kierunku zwiększenia odporności Unii Europejskiej na cyberzagrożenia. Wzmocnienie roli UE w koordynowaniu działań w przypadku kryzysów cybernetycznych, promowanie współpracy między sektorami i państwami członkowskimi oraz inwestycje w bezpieczną komunikację i zasoby finansowe są najważniejsze dla zapewnienia bezpieczeństwa cyfrowego UE.
Pojawia się jednak pytanie, czy taki plan wystarczy. Unia Europejska przygotowała dokument, który może wspomóc kraje w radzeniu sobie w sytuacjach kryzysowych. Pytanie jednak jest takie – czy poszczególne państwa członkowskie potraktują problem poważnie i doszkolą się zawczasu z procedur? A może, tak jak często bywa, dopiero jakieś negatywne wydarzenia, kryzys cybernetyczny, skłonią kraje do pospiesznego poszukiwania wskazówek. Wtedy może być późno na naukę. Trzeba mieć nadzieję, iż zdarzy się to pierwsze.
