9 listopada Komisja Europejska wraz z Wysokim Przedstawicielem Unii do spraw zagranicznych i polityki bezpieczeństwa przyjęła Pakiet dla bezpieczeństwa i obrony (Security and Defence Package), którego celem jest dalsze wzmacnianie europejskiej obronności.
W skład pakietu wchodzą dwa dokumenty:
- Polityka Unii Europejskiej w zakresie obrony cyberprzestrzeni (EU Policy on Cyber Defence, EPCD);
- Plan działania w zakresie mobilności wojskowej 2.0.(Action Plan on Military Mobility 2.0.).
W poniższym artykule omówiony zostanie pierwszy z tych dokumentów.
Wstęp
W ,,Polityce…” podkreślona została konieczność tworzenia nowych i wzmacniania istniejących sieci wymiany informacji, platform do kooperacji i narzędzi, które przyczyniają się do budowania wspólnego potencjału państw członkowskich i całej Unii do skutecznego odpierania zagrożeń i zwiększenia poziomu obrony cyberprzestrzeni. Aby osiągnąć ten cel, niezbędna jest nie tylko kooperacja między państwami członkowskimi, ale także między instytucjami unijnymi i krajowymi, organizacjami międzynarodowymi, takimi jak NATO, państwami trzecimi oraz między sektorem wojskowym a cywilnym.
Innym, równie istotnym dążeniem Unii wskazanym w ,,Polityce…”, jest działanie na rzecz zmniejszenia strategicznych zależności UE w zakresie krytycznych technologii w cyberprzestrzeni oraz wzmocnienie europejskiej bazy technologiczno-przemysłowej sektora obronnego (EDTIB).
,,Polityka Unii Europejskiej w zakresie obrony cyberprzestrzeni” podzielona została na cztery filary, łącznie opisane jako ,,Unijna obrona cyberprzestrzeni w celu ochrony, wykrywania, powstrzymywania i obrony przed cyberatakami (‘’EU Cyber Defence to Protect, Detect, Deter and Defend Against Cyberattacks”).
Poniżej omówione zostały istotne aspekty każdego z czterech filarów.
Wspólne działania na rzecz silniejszej obrony cyberprzestrzeni UE
Ponieważ cyberataki często dotykają więcej niż jedno państwo członkowskie lub stanowią część szerzej zakrojonych działań hybrydowych, konieczne jest utworzenie ram do współpracy i sprawnej wymiany informacji pomiędzy poszczególnymi społecznościami obrony cyberprzestrzeni (cyber defence communities) w państwach członkowskich. W dokumencie wymieniono takie rodzaje społeczności, jak cywilne, dyplomatyczne, organów ścigania i ich odpowiedników w dziedzinie obronności oraz milCERT-ów (Military Computer Emergency Readiness Teams). Niezbędne jest również wspieranie od strony obronności cyberprzestrzeni misji i operacji wojskowych w ramach wspólnej polityki bezpieczeństwa i obrony (WPBiO).
W związku z tym, w ,,Polityce…” proponowane są następujące rozwiązania w tym obszarze:
Utworzenie Centrum Koordynacyjnego UE ds. Obrony Cyberprzestrzeni
Centrum Koordynacyjne UE ds. Obrony Cyberprzestrzeni (EU Cyber Defence Coordination Centre, EUCDCC)ma stanowić centralny węzeł do gromadzenia, analizowania, oceniania i dystrybucji informacji związanych z obroną cyberprzestrzeni, w tym w szczególności na potrzeby misji i operacji wojskowych w ramach WPBiO. Przyczyni się to do wzmocnienia zbiorowej świadomości państw członkowskich na temat bieżącej sytuacji militarnej w obszarze cyberbezpieczeństwa. Dzięki temu, zwiększy się ich zdolność zarówno do wczesnego wykrywania zagrożeń, jak i do podjęcia adekwatnej, szybkiej reakcji oraz redukcji szkód w sposób solidarny i skoordynowany. Centrum Koordynacyjne UE będzie bazować zarówno na już istniejących siatkach wymiany informacji, jak i ustanowi własny, niezależny system czujników w celu monitorowania unijnych węzłów, wspierających misje i operacje wojskowe w ramach WPBiO.
Rozwój Konferencji dowódców obrony cyberprzestrzeni UE
Konferencja dowódców obrony cyberprzestrzeni UE (EU Cyber Commanders Conference)ma odbywać się przynajmniej dwa razy w roku i będzie służyć jako forum do omawiania spraw operacyjnych i wymiany strategicznych informacji na temat poważnych incydentów w cyberprzestrzeni.
Stworzenie sieci operacyjnej dla milCERT-ów – MICNET
MICNET ma za zadanie ułatwić wymianę informacji pomiędzy poszczególnymi milCERTAMI. Dzięki temu, będą one mogły szybciej, dokładniej i w sposób bardziej skoordynowany zareagować na zagrożenia w cyberprzestrzeni dla unijnych systemów obronności, w tym tych wspierających misje i operacje w ramach WPBiO. MICNET może się także przyczynić do ulepszenia procesów szkoleniowych poprzez stworzenie ram do corocznych ćwiczeń w tworzeniu i testowaniu nowych rozwiązań. Sieć operacyjna ma zostać włączona w styczniu 2023 r., a do udziału w niej wezwane są wszystkie państwa członkowskie.
Współpraca MICNET-u z siecią CSIRT-ów
Ten krok określony został jako osiągnięcie przez MICNET kolejnego stadium dojrzałości poprzez stanie się platformą do wymiany informacji pomiędzy cywilnymi i wojskowymi społecznościami obrony cyberprzestrzeni. kooperacja pomiędzy MICNET a CSIRT-ami obejmowałaby między innymi wspólne spotkania i ćwiczenia.
Włączenie infrastruktury cywilnej w obronę cyberprzestrzeni
Jak kilkukrotnie podkreślono w ,,Polityce…”, kooperacja pomiędzy wojskowymi i cywilnymi społecznościami obrony cyberprzestrzeni może przyczynić się do wzmocnienia systemu zbiorowej świadomości sytuacyjnej w obszarze cyberbezpieczeństwa i ułatwić wczesne wykrywanie zagrożeń. Dlatego, w celu wzmocnienia tych powiązań, Komisja planuje wykorzystać Centra operacyjne ds. bezpieczeństwa (Security Operation Centres, SOCs), działające w obszarze cywilnych sieci łączności. Pozyskane w ten sposób dane o zagrożeniach w cyberprzestrzeni pozwolą na przekazywanie w odpowiednio krótkim czasie ostrzeżeń do władz i innych odpowiedzialnych podmiotów.
Rozszerzenie zasięgu działania zespołów szybkiego reagowania w cyberprzestrzeni (CRRT)
Komisja wraz z Wysokim Przedstawicielem rozważają zwiększenie zasięgu działania zespołów szybkiego reagowania w cyberprzestrzeni (cyber rapid reaction teams, CRRT). Aktualnie, takie zespoły funkcjonują na terenie kilku państw członkowskich (m. in. Polski), w ramach stałej współpracy strukturalnej UE (Permanet Structred Cooperation, PESCO).
Testowanie kluczowych podmiotów obsługujących infrastrukturę krytyczną
W celu wzmocnienia gotowości i umiejętności reagowania w całej UE, Komisja przygotowuje działania obejmujące m. in. testowanie kluczowych podmiotów obsługujących infrastrukturę krytyczną pod kątem potencjalnych podatności na zagrożenia cyfrowe w oparciu o unijne oceny ryzyka.
Utworzenie projektu CyDef-X
Projekt CyDef-X zostanie utworzony przez Europejską Agencję Obrony (EDA).Stworzy on ramy na poziomie unijnym dla organizacji ćwiczeń z zakresu obrony cyberprzestrzeni we wszystkich państw członkowskich.
Stworzenie rezerwy obrony cyberprzestrzeni UE
W ramach inicjatywy Solidarności w Cyberprzestrzeni UE (EU Cyber Solidarity), wspierane będzie stopniowe budowanie na poziomie unijnym rezerwy obrony cyberprzestrzeni, składającej się z usług od zaufanych, prywatnych dostawców. Będą oni gotowi do świadczenia pomocy na wniosek państw członkowskim w przypadku poważnych, transgranicznych incydentów. W celu zapewnienia wysokiego poziomu zaufania, Komisja rozważy opcje wsparcia rozwoju systemów certyfikacyjnych dla takich dostawców.
Zabezpieczenie unijnego ekosystemu obronnego
Stale wzrasta liczba cyberataków, które zakłócają funkcjonowanie podmiotów państwowych związanych z obronnością i operatorów krytycznej infrastruktury komunikacyjnej. Dlatego istotne jest wzmacnianie zabezpieczeń systemów komunikacyjno-informacyjnych (CIS), zarówno militarnych, jak i cywilnych.
Dla osiągnięcia tego celu, planowane jest:
Przyjęcie prawnie niewiążących zaleceń dla społeczności obronnej
Państwa członkowskie zachęcane będą do przyjęcia prawnie niewiążących zaleceń dla społeczności obronnej. Mają być one inspirowane NIS-2, dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii.
Wzmacnianie ochrony cywilnej infrastruktury krytycznej na wypadek wielkoskalowych cyberataków
Ze względu na fakt, iż funkcjonowanie sił militarnych w dużej mierze zależy od cywilnej infrastruktury krytycznej (chociażby energetycznej), także jej odporność na cyberataki powinna być wzmacniania w ramach zwiększania poziomu obronności Unii w cyberprzestrzeni. W celu lepszego jej zabezpieczenia, konieczne jest stworzenie odpowiednich scenariuszy i ocen ryzyka. W pierwszej kolejności uwaga poświęcona zostanie cyberbezpieczeństwu w sektorze energetycznym, telekomunikacyjnym, transportowym oraz łączności w przestrzeni kosmicznej. Podatność tej ostatniej na zagrożenia ilustruje przykład rosyjskiego ataku na ukraińską satelitę KA-SAT, który sparaliżował dostęp do satelitarnego internetu w dniu inwazji. Komisja wzywa również państwa członkowskie do pilnego wdrożenia środków zalecanych w Zestawie narzędzi UE dotyczących cyberbezpieczeństwa 5G (EU Toolbox on 5G Cybersecurity).
Opracowanie zaleceń dotyczących unijnych wymagań w zakresie interoperacyjności obrony cyberprzestrzeni
Europejska Agencja Obrony oraz Sztab Wojskowy UE przygotują zestaw rekomendacji dotyczących unijnych wymagań w zakresie interoperacyjności obrony cyberprzestrzeni. Przyjęcie zharmonizowanych standardów w zakresie umiejętności takiej obrony, w tym zasad testowania, oceny i certyfikacji, ułatwi podejmowanie wspólnych, międzypaństwowych inicjatyw.
Harmonizacja standardów dla produktów cywilnych i podwójnego zastosowania
Harmonizacja standardów ma dotyczyć wszystkich produktów cywilnych i podwójnego zastosowania (cywilnego i wojskowego) z elementami cyfrowymi. Tam, gdzie to możliwe, Komisja będzie zachęcać do zapewniania spójności produktów z normami cyberbezpieczeństwa dla produktów cyfrowych w dziedzinie obronności.
Inwestowanie w zdolności w zakresie obrony cyberprzestrzeni
Utrzymanie wysokiego poziomu odporności w cyberprzestrzeni wymaga, aby Unia i państwa członkowskie były o krok przed potencjalnymi atakującymi w kwestii wykorzystywania najnowocześniejszych technologii. Z tego względu, konieczne jest zapewnienie skoordynowanych, zwiększonych inwestycji w rozwiązania technologiczne oraz rozwijanie kluczowych kompetencji z zakresu cyberbezpieczeństwa.
W związku z tym, proponowane jest podjęcie następujących kroków:
Opracowanie przez państwa członkowskie zestawu dobrowolnych zobowiązań dotyczących rozwoju krajowych zdolności w zakresie obrony cyberprzestrzeni
Państwa członkowskie powinny zwiększyć swoje inwestycje w rozwój zdolności w zakresie obrony cyberprzestrzeni. W tym celu, proponowane jest im rozważenie opracowania zestawu dobrowolnych zobowiązań w tym obszarze. Jako punkt wyjścia do podjęcia dialogu na ten temat zastosowany może zostać Skoordynowany roczny przegląd obronności (The Coordinated Annual Review on Defence, CARD), który obejmuje monitorowanie planów obronnych państw członkowskich w celu ułatwienia koordynacji wydatków i identyfikacji możliwych obszarów współpracy. Komisja, za pośrednictwem Europejskiego Funduszu Obronności (EDF), zamierza w dalszym ciągu wspierać i współfinansować rozwój i badania w zakresie tworzenia wspólnych, europejskich i interoperacyjnych narzędzi na potrzeby operacji w cyberprzestrzeni oraz zarządzania incydentami, wojny informacyjnej, operacji obronnych, środków zapobiegawczych oraz zwiększenia odporności systemów CIS.
Zwiększenie wysiłków badawczych w zakresie nowych, przełomowych technologii
Aby zapewnić jak najwyższy poziom zdolności w zakresie obrony cyberprzestrzeni, niezbędne jest bieżące monitorowanie rozwoju technologicznego, w szczególności w zakresie nowych, przełomowych technologii (tzw. emerging and disruptive technologies, EDT). Należą do nich m. in. sztuczna inteligencja, szyfrowanie (enkrypcja) i komputery kwantowe. Najnowsze osiągnięcia technologiczne powinny być jak najszybciej włączane do systemów obronności, ponieważ przy ich wykorzystaniu mogą zostać stworzone także nowe rodzaje cyfrowych zagrożeń. Dlatego Unia Europejska będzie kontynuować wsparcie finansowe dla badań nad innowacjami technologicznymi. Ponadto, Europejska Agencja Obrony, w ramach Planu działania dot. EDTs (EDTs Action Plan), będzie corocznie informować państwa członkowskie o aktualnej sytuacji w obszarze nowych, przełomowych technologii oraz opracuje Europejską ocenę strategiczną dot. EDTs (European EDTs Strategic Assessment), aby wesprzeć państwa członkowskie w planowaniu długofalowych kierunków strategicznych. Z kolei Europejskie Centrum Kompetencji ds. Cyberbezpieczeństwa (European Cybersecurity Competence Centre, ECCC) przyjmie strategiczny plan inwestycji w najważniejsze obszary bezpieczeństwa cyberprzestrzeni, które staną się podstawą do przygotowania przyszłych planów działań w ramach programów Cyfrowa Europa i Horyzont Europa.
Stworzenie mapy drogowej dla krytycznych technologii cyfrowych
Komisja, Europejska Agencja Obrony oraz państwa członkowskie w 2023 r. stworzą mapę drogową dla krytycznych technologii cyfrowych (technology roadmap for critical cyber technologies). Będzie ona określać:
- technologie z zakresu cyberbezpieczeństwa, ważne dla suwerenności technologicznej UE;
- obszary rozwoju technologicznego;
- zależności o znaczeniu strategicznym wraz z propozycjami działań w celu ich ograniczenia;
- priorytety dla instrumentów finansowania UE;
- sposoby na pełne wykorzystanie cywilnych i wojskowych programów badawczych i rozwojowych;
- możliwości zachęcania do dalszego rozwoju badań naukowych podwójnego zastosowania, rozwoju technologii i innowacji w zakresie cyberbezpieczeństwa i obrony cyberprzestrzeni na poziomie UE i państw członkowskich.
Rozwijanie konkurencyjnego i innowacyjnego europejskiego przemysłu obronnego
Obecnie unijny poziom zdolności w zakresie obrony cyberprzestrzeni w dużej mierze zależy od rozwiązań technologicznych produkowanych na potrzeby cywilne lub przez państwa trzecie. Prowadzi to do istnienia przemysłowych i technologicznych zależności Unii w zakresie potrzeb sektora cyberobronności. Dlatego niezbędne są inwestycje w rozwój silnej europejskiej bazy technologiczno-przemysłowej sektora obronnego poprzez programy i fundusze, takie jak Europejski Fundusz Obronności, Horyzont Europa czy też Cyfrowa Europa. Konieczne jest także wzmocnienie współpracy między wojskowymi i cywilnymi przedsiębiorstwami, produkującymi technologie, które mogłyby mieć zastosowanie dla przemysłu obronnego w Unii Europejskiej.
Stworzenie Akademii Umiejętności Cyfrowych
Dużym problemem w zapewnieniu wysokiego poziomu obronności cyberprzestrzeni w Unii jest niedostateczna liczba wykwalifikowanych specjalistów. Aby temu zaradzić, Komisja w 2023 r. uruchomi inicjatywę Akademii Umiejętności Cyfrowych. Będzie ona stanowiła ,,parasol” dla koordynacji, integracji i komunikacji pomiędzy licznymi, różnorodnymi programami budowania umiejętności w zakresie cyberprzestrzeni. Głównymi filarami Akademii będzie: wspieranie finansowe, tworzenie społeczności, rozwijanie programów treningowych i certyfikacyjnych, angażowanie zainteresowanych podmiotów oraz budowanie bazy wiedzy.
Rozwijanie platformy edukacyjnej, szkoleniowej, ćwiczeniowej i ewaluacyjnej w zakresie obronności cyberprzestrzeni (ETEE platform)
Europejskie Kolegium Bezpieczeństwa i Obrony (European Security and Defence College, ESDC) wraz z Europejską Agencją Obrony i państwami członkowskimi będą rozwijać oraz organizować szkolenia obronne i ćwiczenia na potrzeby instytucji unijnych, operacji i misji WPBiO oraz urzędników państw członkowskich. W tym celu rozwijana będzie koncepcja platformy edukacyjnej, szkoleniowej, ćwiczeniowej i ewaluacyjnej w zakresie obronności cyberprzestrzeni (Education, Training, Exercises and Evaluation, ETEE). Państwa członkowskie zaś zachęcane są do inwestowania w opracowanie programów edukacyjnych w dziedzinie cyberbezpieczeństwa, przy zaangażowaniu cywilnych i wojskowych instytucji szkolnictwa wyższego. Konieczne jest także stworzenie ram do wymiany najlepszych praktyk, tworzenia partnerstw i wspólnych projektów oraz ułatwiania wymian szkoleniowców i szkolonych. kooperacja ta powinna odbywać się zarówno pomiędzy państwami członkowskimi, jak i między podmiotami cywilnymi oraz wojskowymi.
Współpraca w celu sprostania wspólnym wyzwaniom
Unia Europejska, w ramach wzmacniania bezpieczeństwa i odporności w cyberprzestrzeni, będzie także ustanawiać nowe partnerstwa oraz rozwijać te już istniejące. Możliwości współpracy w zakresie cyberbezpieczństwa będą również rozważane w kontekście udziału państw partnerskich w misjach i operacjach wojskowych w ramach WPBiO. Zbadana zostanie również synergia pomiędzy nieformalną Siecią cyberdyplomacji UE (EU Cyber Diplomacy Network) i siatką attaché do spraw obronności w delegaturach UE.
W tym celu, podjęte zostaną takie działania, jak:
Wzmacnianie współpracy z NATO w zakresie obrony cyberprzestrzeni, szkoleń, ćwiczeń i świadomości sytuacyjnej
Cyberbezpieczeństwo stanowi jeden z kluczowych obszarów partnerstwa UE – NATO. W ramach tej współpracy, Unia będzie dążyć do zgodności z przyjętymi przez NATO koncepcjami i doktrynami w zakresie obrony cyberprzestrzeni oraz działać w celu wzmocnienia technicznej i proceduralnej interoperacyjności. UE wzmocni także partnerstwo z NATO w obszarze harmonizacji programów szkoleń dla personelu obrony cyberprzestrzeni, w tym opracowania wspólnych programów nauczania, kursów i ćwiczeń. Europejskie Kolegium Bezpieczeństwa i Obrony (European Security and Defence College, ESDC) udostępni swoje szkolenia z zakresu obrony cyberprzestrzeni dla personelu NATO i stworzy platformę do ogłaszania wspólnych kursów.
Unia i NATO zwiększą także współpracę w zakresie zwiększania wzajemnej świadomości sytuacyjnej oraz koordynacji procesów zarządzania i reagowania kryzysowego, co pozwoli na zapewnienie komplementarności i uniknięcie wzajemnego powielania działań wobec tych samych incydentów.
Włączenie elementów związanych z cyberobronnością do dialogów z partnerami o podobnych poglądach
Wysoki Przedstawiciel UE zamierza włączać kwestie dotyczące obrony cyberprzestrzeni do dialogów z istotnymi państwami partnerskimi Unii, takimi jak Stany Zjednoczone. Stworzy to grunt to dalszego wprowadzania tych wątków do różnych form współpracy. Ponadto, Unia deklaruje dalsze wsparcie w zakresie obrony cyberprzestrzeni dla Ukrainy, w tym poprzez wymianę najlepszych praktyk, zwiększanie świadomości informacyjnej oraz rozwój stosownych polityk.
Wsparcie dla państw partnerskich w budowaniu ich potencjału w zakresie obrony cyberprzestrzeni
Ponieważ zagrożenia w cyberprzestrzeni niejednokrotnie mają transgraniczny charakter, to aby zapewnić jej bezpieczeństwo w Unii Europejskiej, konieczne są działania na rzecz zwiększenia odporności na cyberataki także w krajach partnerskich, zwłaszcza tych o niższym poziomie dojrzałości w tym zakresie. Z tego względu, Unia zaangażuje się w procesy budowania potencjału do obrony cyberprzestrzeni państw partnerskich, w tym szczególności państw – kandydatów do Unii. Wsparcie to będzie polegało na m. in. pomocy w budowaniu odpowiednich ram politycznych i legislacyjnych, szkoleniach, doradztwie, mentoringu oraz wyposażaniu sił zbrojnych i sił bezpieczeństwa państw partnerskich. W działania te będzie włączony Europejski Instrument na rzecz Pokoju (European Peace Facility, EPF), który posłuży wspieraniu budowania zdolności obronnych w krajach partnerskich, uzupełniając wysiłki WPBiO w zakresie zarządzania kryzysowego.
Podsumowanie
- ,,Polityka Unii Europejskiej w zakresie obrony cyberprzestrzeni”, jeden z dwóch dokumentów wchodzących w skład ,,Pakietu dla bezpieczeństwa i obrony”, stawia za cel zwiększenie poziomu obronności cyberprzestrzeni UE oraz wzmocnienie współpracy pomiędzy państwami członkowskimi, instytucjami unijnymi i krajowymi, organizacjami międzynarodowymi, państwami trzecimi oraz między sektorem wojskowym a cywilnym.
- ,,Polityka…” składa się z czterech filarów: wspólne działania na rzecz silniejszej obrony cyberprzestrzeni UE, zabezpieczenie unijnego ekosystemu obronnego, inwestowanie w zdolności w zakresie obrony cyberprzestrzeni, kooperacja w celu sprostania wspólnym wyzwaniom.
- Planowane jest utworzenie m.in. Centrum Koordynacyjnego UE ds. Obrony Cyberprzestrzeni (EUCDCC) oraz sieci operacyjnej dla milCERT-ów – MICNET w celu zwiększenia świadomości sytuacyjnej i współpracy pomiędzy państwami członkowskimi i funkcjonującymi w nich społecznościami obrony cyberprzestrzeni.
- Jednym z kluczowych założeń ,,Polityki…” jest także zwiększanie współpracy pomiędzy podmiotami wojskowymi i cywilnymi – w tym poprzez wykorzystanie Centr operacyjnych ds. bezpieczeństwa (SOCs), wzmacnianie ochrony cywilnej infrastruktury krytycznej czy też harmonizację standardów dla produktów cywilnych i podwójnego zastosowania.
- Unia zamierza kontynuować finansowanie rozwoju programów związanych ze wzmacnianiem poziomu obronności w cyberprzestrzeni i zachęca do tego samego państwa członkowskie. Jednym z działań mających na celu m. in. określenie priorytetów w tym zakresie będzie stworzenie w 2023 r. mapy drogowej dla krytycznych technologii cyfrowych.
- Niezbędne są także dalsze inwestycje w programy szkoleniowe i treningowe, które zapewnią Unii wykwalifikowaną kadrę w dziedzinie obrony cyberprzestrzeni. Z tego powodu, Komisja w 2023 r. planuje uruchomić inicjatywę Akademii Umiejętności Cyfrowych. Rozwijane będą także inne platformy edukacyjne w tym obszarze.
- Unia będzie także wzmacniać współpracę w zakresie obrony cyberprzestrzeni z organizacjami międzynarodowymi, takimi jak NATO oraz państwami trzecimi. W szczególności, będzie ona wspierać budowanie potencjału do skutecznej obrony w państwach partnerskich, w których sytuacja w cyberprzestrzeni może wpływać na poziom bezpieczeństwa w samej Unii.