24 lipca opublikowano Strategię bezpieczeństwa UE na lata 2020-2025 (EU Security Union Strategy). Dokument przedstawia 4 obszary, w których zostaną podjęte działania na szczeblu UE. W każdym z nich wybrzmiewają kwestie związane z cyberbezpieczeństwem, co jest dowodem na to jak dużym wyzwaniem strategicznym stało się zapewnienie bezpieczeństwa teleinformatycznego w UE. W dokumencie pojawiła się również kwestia suwerenności cyfrowej, która ma wpływ na bezpieczeństwo łańcucha dostaw kluczowych produktów, usług, infrastruktury i technologii.
Współczesne zmiany w krajobrazie bezpieczeństwa są spowodowane z jednej strony nowymi zagrożeniami wynikającymi z rozwoju nowoczesnych technologii, a z drugiej takimi czynnikami jak: trendy demograficzne, zmiany klimatyczne, a także niestabilność polityczna poza granicami UE.
Nowa strategia bezpieczeństwa UE 2020 – 2025 uwzględnia zagrożenia, z którymi mierzy się współczesna Europa i zapewnia, że obowiązująca w krajach członkowskich polityka bezpieczeństwa jest oparta na wspólnych, europejskich wartościach: poszanowaniu praworządności, równości i praw podstawowych, zagwarantowaniu transparentności, rozliczalności i kontroli demokratycznej. Dokument określa priorytety i odpowiadające im działania, mające na celu przeciwdziałanie zagrożeniom cyfrowym i fizycznym w sposób zintegrowany w całym ekosystemie bezpieczeństwa UE.
Cele strategii
Przedstawiona przez KE strategia, określa następujące cele:
- Budowanie zdolności w zakresie wczesnego wykrywania, zapobiegania i szybkiego reagowania na kryzysy – zarówno globalnie, jak i w ramach poszczególnych sektorów.
- Koncentracja na rezultatach – działania, które w jak najdokładniejszy sposób oszacują ryzyko, zapewnią odpowiednie narzędzia, a także ich wdrożenie poprzez odpowiednie planowanie, podział zadań i finansowanie.
- Wspólny wysiłek i zaangażowanie sektora publicznego i prywatnego – wspólne bezpieczeństwo wymaga zaangażowania wszystkich stron, zarówno na szczeblu rządowym, jak również lokalnym, z uwzględnieniem współpracy wszystkich interesariuszy.
4 obszary strategiczne
Dokument przedstawia 4 strategiczne obszary, w których zostaną podjęte działania na szczeblu UE. Należą do nich: środowisko bezpieczeństwa w przyszłości, zwalczanie ewoluujących zagrożeń, ochrona przed terroryzmem i przestępczością zorganizowaną, silny europejski ekosystem bezpieczeństwa.
1. Środowisko bezpieczeństwa w przyszłości
Ochrona infrastruktury krytycznej
Unijne ramy ochrony i odporności infrastruktury krytycznej nie nadążają za zmieniającym się ryzykiem. W miarę jak nasza gospodarka i społeczeństwo w coraz większym stopniu przenoszą się do Internetu, rośnie znaczenie zagrożeń w cyberprzestrzeni. Ramy prawne muszą uwzględniać zależność pomiędzy infrastrukturą fizyczną, a cyfrową i zapewniać ochronę zarówno jednej jak i drugiej. Powinny być również spójne, co jest trudne do osiągnięcia w momencie, gdy państwa członkowskie korzystają z możliwości wdrażania przepisów na różne sposoby. Wynikająca z tego fragmentaryzacja utrudnia koordynację transgraniczną i funkcjonowanie podmiotów, które prowadząc działalność w wielu państwach UE, muszą równocześnie przestrzegać różnych reżimów prawnych. KE bada, czy nowe ramy zarówno infrastruktury fizycznej, jak i cyfrowej mogłyby zapewnić bardziej spójne podejście i umożliwić niezawodne świadczenie podstawowych usług. Ramy te powinny być dostosowane do specyfiki sektorowej, ze szczególnym uwzględnieniem sektora finansowego i energetycznego, od których w dużej mierze zależy funkcjonowanie pozostałych sektorów.
Kolejną kwestią jest stabilność i odporność Internetu. Mowa tu z jednej strony o odporności na incydenty i działanie złośliwego oprogramowania, a z drugiej o niezależności od infrastruktury i usług zlokalizowanych poza Europą. Zdaniem KE konieczny będzie przegląd istniejących przepisów i dostosowanie prawodawstwa w celu zapewnienia wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych UE (trwająca rewizja dyrektywy NIS), a także zwiększone inwestycje w badania i wzmocnienie podstawowej infrastruktury zasobów internetowych, w szczególności Systemu Nazw Domenowych – DNS.
Cyberbezpieczeństwo
W 2017 roku UE przedstawiła podejście do cyberbezpieczeństwa, którego podstawą jest budowanie odporności, szybkie reagowanie i skuteczne odstraszanie[1]. Teraz należy upewnić się, że zdolności UE w zakresie cyberbezpieczeństwa nadążają za aktualnymi zagrożeniami, co zostanie ujęte w ramach rewizji Europejskiej Strategii Cyberbezpieczeństwa.
Jednym z bardziej aktualnych wyzwań w nadchodzących czasach będzie kwestia bezpieczeństwa infrastruktury sieci 5G. Temat ten został uwzględniony w 2019 roku w Rekomendacjach cyberbezpieczeństwa sieci 5G (Recommendation on the Cybersecurity of 5G networks) a także w opublikowanym, na początku 2020 roku, Zestawie narzędzi dla bezpieczeństwa sieci 5G (5G toolbox). Kolejną kwestią jest zbudowanie kultury tzw. cybersecurity by design, czyli projektowania systemów i urządzeń z uwzględnieniem wymogów cyberbezpieczeństwa od samego początku. Pomoże w tym certyfikacja cyberbezpieczeństwa, która została wprowadzona w ramach Aktu o Cyberbezpieczeństwie (Cybersecurity Act). Aktualnie w przygotowaniu są dwa programy certyfikacji, a priorytety dla kolejnych zostaną określone jeszcze w tym roku.
Dodatkowo KE zapowiada utworzenie wspólnej jednostki ds. cyberprzestrzeni (Joint Cyber Unit), której zadaniem będzie koordynacja współpracy operacyjnej, budowanie zaufania i dostarczanie kluczowych usług państwom członkowskim. KE określi harmonogram i plan powołania instytucji do końca 2020 roku.
KE zamierza też kontynuować współpracę w ramach partnerstw międzynarodowych, które mają fundamentalne znaczenie dla zapobiegania cyberatakom, powstrzymywania ich i reagowania na nie. Ramy wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne – zestaw narzędzi dla dyplomacji cyfrowej (diplomacy toolbox) określają środki polityki zagranicznej i bezpieczeństwa, jakie mogą być zastosowane w odpowiedzi na działania w cyberprzestrzeni podejmowane przeciwko państwom członkowskim (należą do nich również sankcje).
Ochrona przestrzeni publicznej
Ostatnie ataki terrorystyczne były wycelowane przede wszystkim w przestrzeń publiczną, miejsca kultu czy centra transportowe. KE zapowiada wzmocnienie współpracy publiczno-prywatnej na rzecz ochrony tych przestrzeni, wymiany dobrych praktyk, wskazówek i rekomendacji. Kwestie ochrony przestrzeni publicznej zostały zawarte w nowej agendzie miast (Urban Agenda) uchwalonej w 2018 roku.
KLUCZOWE DZIAŁANIA:
- Uchwalenie nowych przepisów dotyczących ochrony i odporności infrastruktury krytycznej (zarówno fizycznej, jak i cyfrowej), z uwzględnieniem specyfiki sektorów.
- Zwiększenie odporności operacyjnej sektora finansowego.
- Ochrona krytycznej infrastruktury energetycznej i transgranicznych przepływów energii.
- Wzmożona współpraca publiczno-prywatna dla zapewnienia silniejszej ochrony przestrzeni publicznych, a także skutecznych systemów wykrywania zagrożeń.
- Solidne partnerstwa międzynarodowe na rzecz zapobiegania i skutecznej reakcji na cyberataki, a także promocji standardów bezpieczeństwa UE wśród krajów partnerskich.
2. Zwalczanie ewoluujących zagrożeń
Cyberprzestępczość
Rozwój technologii służy nie tylko społeczeństwu, ale także przestępcom, którzy wykorzystują nowe narzędzia do własnych celów. Wzrasta ilość incydentów z użyciem złośliwego oprogramowania, kradzież danych osobowych lub firmowych, czy też blokowanie działalności w sieci, które prowadzi do szkód finansowych i reputacyjnych. Podstawą obrony przed cyberatakami jest stworzenie odpornego środowiska prawnego, a także skuteczne identyfikowanie sprawców, ściganie przestępstw i zapewnianie niezbędnej pomocy ofiarom. KE zapowiada pełne wdrożenie aktualnych ram prawnych w tym zakresie, a także współpracę z Europolem i ENISA w implementacji unijnego systemu szybkiego ostrzegania o cyberprzestępczości. KE zbada również możliwość wprowadzenia środków ochrony ofiar przed wszelkimi formami kradzieży danych i tożsamości.
Nowoczesne organy ścigania
Funkcjonariusze organów ścigania i wymiaru sprawiedliwości muszą zostać dostosowane do świata nowoczesnych technologii. Współczesne zagrożenia wymagają nabywania nowych umiejętności i rozwijania alternatywnych technik śledczych. Nowoczesne technologie, takie jak Sztuczna Inteligencja, czy Big Data mogą być wykorzystywane do tropienia przestępców np. poprzez analizy dużych zbiorów danych, wyszukiwanie wzorców i anomalii, podejrzanych transakcji i niebezpiecznych zachowań.
Rośnie również potencjał informatyki śledczej i wykorzystanie dowodów elektronicznych (obecnie w 85% dochodzeń w sprawie poważnych przestępstw). Dlatego niezbędne jest wprowadzenie jasnych zasad transgranicznej wymiany dowodów elektronicznych na potrzeby dochodzeń w sprawach karnych, a także przyjęcie regulacji dotyczącej e-dowodów. Ważne jest również ustalenie reguł przechowywania dowodów w kontekście ochrony prywatności. KE zbada ten obszar.
Wraz z przyjęciem przez ICANN nowej polityki WHOIS, dostęp do informacji dotyczących rejestracji domen stał się utrudniony. KE zapowiada współpracę z ICANN w celu ustalenia zasad wymiany informacji z organami ścigania, zgodnie z unijnymi i międzynarodowymi przepisami o ochronie danych osobowych. Możliwe, że powstaną regulacje prawne w tym zakresie.
Zwalczanie szkodliwych treści w Internecie
Coraz więcej zagrożeń, które mają poważne skutki dla obywateli (terroryzm, ekstremizm, seksualne wykorzystywanie dzieci) przenosi się do środowiska cyfrowego. Wymaga to konkretnych działań i ram prawnych, a także intensywnej współpracy pomiędzy organami ścigania, a sektorem prywatnym. Współpraca ta odbywa się w ramach EU Internet Forum, a jej koordynację zapewnia EU Internet Referral Unit w Europolu.
W ramach zwalczania mowy nienawiści w Internecie w 2016 roku KE przyjęła Kodeks Postępowania, w którym udział zgłosiły również platformy internetowe. Ostatnie badania pokazują, że mimo skutecznego flagowania ok. 90% treści należących do mowy nienawiści, platformy wciąż muszą popracować nad kwestią transparentności i umożliwienia użytkownikom zgłaszania szkodliwych treści.
W styczniu 2020 roku KE opublikowała nową strategię przeciwdziałania wykorzystywaniu seksualnemu dzieci w sieci (EU Strategy for a more effective fight against child sexual abuse). Strategia przewiduje wykorzystanie potencjału nowych narzędzi do wykrywania i usuwania z sieci treści związanych z wykorzystywaniem dziecka.
Kwestie odpowiedzialności i bezpieczeństwa usług cyfrowych zostaną szerzej ujęte w Akcie o usługach cyfrowych (Digital Service Act), którego konsultacje zakończą się we wrześniu 2020 roku.
Zagrożenia hybrydowe
Skala i różnorodność zagrożeń hybrydowych jest dziś bezprecedensowa, co było wyraźnie widoczne w czasie pandemii COVID-19. Podejście UE do zagrożeń hybrydowych zostało określone we wspólnych ramach Joint Framework on Countering Hybrid Threats – a European Union respons z 2016 roku i komunikacie Increasing Resilience and Bolstering Capabilities to Address Hybrid Threats z 2018 roku. Ważnym aspektem tego podejścia jest współpraca z partnerami strategicznymi, zwłaszcza z NATO i G7. Wraz z tą strategią, KE opublikowała raport podsumowujący wdrażanie dotychczasowych regulacji w UE (Report on the implementation of the 2016 Joint Framework on countering hybrid threats and the 2018 Joint Communication on increasing resilience and bolstering capabilities to address hybrid threats). KE planuje również stworzyć specjalną platformę internetową dla państw członkowskich, na której będą zgromadzone informacje na temat narzędzi i środków przeciwdziałania zagrożeniom hybrydowym na szczeblu UE. KE zapowiada także przegląd protokołu operacyjnego UE w zakresie przeciwdziałania zagrożeniom hybrydowym (EU Playbook).
KLUCZOWE DZIAŁANIA:
- Zbadanie, czy istniejące przepisy UE przeciwko cyberprzestępczości są odpowiednie do celu i prawidłowo wdrożone.
- Wdrożenie strategii przeciwdziałania wykorzystywaniu seksualnemu dzieci w sieci.
- poprzez wczesne wykrywanie, analizy, wzrost świadomości, budowanie odporności, zapobieganie, reagowanie i zarządzanie skutkami (współpraca z NATO i G7).
3. Ochrona przed terroryzmem i przestępczością zorganizowaną
Terroryzm i radykalizm
Zwalczanie terroryzmu rozpoczyna się wraz ze zmniejszeniem polaryzacji i nierówności w społeczeństwie, które popychają ludzi do radykalnych rozwiązań. Prace nad ochroną przed terroryzmem będą się koncentrować na wczesnym wykrywaniu i zwalczaniu przyczyn źródłowych. KE zapowiada również kooperację z organizacjami międzynarodowymi w działaniach na rzecz odcinania źródeł finansowania terroryzmu.
Przestępczość zorganizowana
Pandemia COVID-19 przyniosła ogromny wzrost cyberprzestępczości. W związku z powyższym UE musi zintensyfikować swoje działania przeciwko zorganizowanej przestępczości, również na poziomie międzynarodowym.
Konkretne działania dotyczące zwalczania zorganizowanej przestępczości zostaną zaproponowane w Agendzie na rzecz zwalczania przestępczości (Agenda for tackling organised crime), Agendzie na rzecz zwalczania narkotyków (EU Agenda on Drugs), a także w ramach nowego Planu działania przeciwko handlowi bronią (Action Plan against firearms trafficking).
KLUCZOWE DZIAŁANIA:
- Program zwalczania terroryzmu, zawierający działania przeciw radykalizacji postaw.
- Przyjęcie Agendy na rzecz zwalczania przestępczości i handlu ludźmi, a także Agendy na rzecz zwalczania narkotyków wraz z planem działania na lata 2021-2025.
- Plan działania przeciwko handlowi bronią na lata 2020-2025.
- Plan działania UE przeciwko przemytowi migrantów na lata 2021-2025.
4. Silny europejski ekosystem bezpieczeństwa
Współpraca i wymiana informacji
Współpraca i wymiana informacji to najpotężniejsze narzędzia zwalczania przestępczości i terroryzmu. W celu dalszego rozwoju współpracy operacyjnej w zakresie egzekwowania prawa między państwami członkowskimi utworzono szereg instrumentów UE[2]. Jednak KE podkreśla, że większość ram prawnych UE leżących u podstaw współpracy operacyjnej organów ścigania została opracowana 30 lat temu i nie spełnia oczekiwań współczesnego świata. W związku z powyższym, KE zapowiada rewizję mandatu EUROPOLU tak, aby Agencja mogła w pełni realizować swoje zadania. Zapowiada również współpracę z partnerami spoza UE i wzmocnienie kooperacji z Interpolem.
Silne granice zewnętrzne
Nowoczesne i skuteczne zarządzanie granicami zewnętrznymi niesie ze sobą podwójną korzyść: utrzymanie integralności strefy Schengen i zapewnienie bezpieczeństwa obywatelom. KE zapowiada zmianę Planu działania w sprawie unii celnej (Action Plan on the Customs Union), który ma zapewnić lepsze zarządzanie ryzykiem i poprawę bezpieczeństwa wewnętrznego. Przyjęte w maju 2019 roku ramy interoperacyjności pomiędzy systemami informacyjnymi w UE przyczynią się do lepszego przepływu informacji pomiędzy organami ścigania, a strażą graniczną i zwalczania m.in. oszustw dotyczących kradzieży tożsamości.
KE przyjrzy się możliwości wykorzystania nowoczesnych technologii i biometrii w dokumentach. Od sierpnia 2021 roku państwa członkowskie mają rozpocząć wydawanie dowodów osobistych i dokumentów pobytowych zawierających chip z identyfikacją biometryczną. Nowe dokumenty będą weryfikowane przez wszystkie organy graniczne UE.
Rozwój badań i innowacji w dziedzinie bezpieczeństwa
Działania na rzecz zapewnienia cyberbezpieczeństwa i walki z przestępczością zorganizowaną, cyberprzestępczością i terroryzmem polegają w dużej mierze na opracowywaniu odpowiednich i przyszłościowych narzędzi. Tworzenie bezpieczniejszych technologii, stawianie czoła wyzwaniom wynikającym z cyfryzacji oraz wspieranie działań organów ścigania może być skuteczne jedynie we współpracy z sektorem prywatnym. Innowacje, takie jak Sztuczna Inteligencja, analizy Big Data, czy superkomputery mogą być wykorzystywane do zwiększenia poziomu bezpieczeństwa. Europa powinna rozwijać tego typu technologie na własnym terytorium, a nie tylko importować je z zewnątrz, co pociąga za sobą ryzyko zależności od innych państw. Dlatego też w kolejnej perspektywie finansowej zaplanowano środki, które mają stymulować rozwój badań i innowacji w dziedzinie bezpieczeństwa. W planach KE jest rozwój takich inicjatyw jak europejskie przestrzenie danych, infrastruktura chmurowa, Europejskie Centrum Kompetencji Cyberbezpieczeństwa w dziedzinie przemysłu technologii i badań, a także sieć Narodowych Centrów Koorydacji (European Cybersecurity Industrial, Technology and Research Competence Centre and the Network of National Coordination Centres). W ramach przeglądu mandatu EUROPOLU, KE przyjrzy się również możliwości powołania europejskiego hubu na rzecz innowacji w bezpieczeństwie wewnętrznym (European Innovation hub for internal security)
Kompetencje i budowa świadomości
Świadomość kwestii bezpieczeństwa i nabywanie umiejętności radzenia sobie z potencjalnymi zagrożeniami są niezbędne do budowania bardziej odpornego społeczeństwa, w którym zarówno obywatele, jak i przedsiębiorstwa i administracja są lepiej przygotowani na wyzwania związane z cyfryzacją. Nawet podstawowa wiedza o zagrożeniach bezpieczeństwa i sposobach ich zwalczania może mieć rzeczywisty wpływ na odporność społeczeństwa. Dlatego też rozwój kompetencji cyfrowych znalazł się na istotnym miejscu w nowym Europejskim Planie na Rzecz Umiejętności (New Skills Agenda for Europe), a dalsze działania zostaną uwzględnione w Planie Edukacji Cyfrowej (Digital Education Action Plan), który zostanie opracowany w przyszłości.
KLUCZOWE DZIAŁANIA:
- Lepsza koordynacja współpracy policji, zwłaszcza w czasie kryzysu.
- Zacieśnienie współpracy między UE a Interpolem.
- Wymiana informacji z partnerami zewnętrznymi.
- Lepsze standardy bezpieczeństwa dokumentów podróży.
PODSUMOWANIE:
- 24 lipca KE opublikowała Strategię bezpieczeństwa UE na lata 2020-2025 (EU Security Union Strategy). Nowa strategia zastępuje poprzednią, która była rozpisana na lata 2015-2020 i zapewnia, obowiązująca w krajach członkowskich polityka bezpieczeństwa jest oparta na wspólnych, europejskich wartościach.
- Strategia skoncentrowana jest wokół 3 celów: budowanie zdolności w zakresie wczesnego wykrywania, zapobiegania i szybkiego reagowania na kryzysy; koncentracja na rezultatach; wspólny wysiłek i zaangażowanie sektora publicznego i prywatnego.
- Strategia podzielona jest na 4 obszary. W każdym z nich wybrzmiewają kwestie związane z cyberbezpieczeństwem, co jest dowodem na to jak dużym wyzwaniem strategicznym stało się zapewnienie bezpieczeństwa teleinformatycznego w UE.
- 4 strategiczne obszary, w których zostaną podjęte działania na szczeblu UE to:
- Środowisko bezpieczeństwa w przyszłości (ochrona infrastruktury krytycznej, cyberbezpieczeństwo, ochrona przestrzeni publicznej)
- Zwalczanie ewoluujących zagrożeń (cyberprzestępczość, nowoczesne organy ścigania, zwalczanie szkodliwych treści w Internecie, zagrożenia hybrydowe)
- Ochrona przed terroryzmem i przestępczością zorganizowaną (terroryzm i radykalizm, przestępczość zorganizowana)
- Silny europejski ekosystem bezpieczeństwa (współpraca i wymiana informacji, silne granice zewnętrzne, rozwój badań i innowacji w dziedzinie bezpieczeństwa, kompetencje i budowa świadomości)
- Wśród kluczowych działań w zakresie cyberbezpieczeństwa znalazły się:
- Dostosowanie systemów bezpieczeństwa UE do nowych zagrożeń i przeciwdziałanie fragmentaryzacji przepisów w państwach członkowskich (rewizja dyrektywy NIS).
- Utworzenie wspólnej jednostki ds. cyberprzestrzeni jako platformy zorganizowanej i skoordynowanej współpracy.
- Lepsze egzekwowanie prawa w obszarze informatyki śledczej, wdrożenie odpowiednich narzędzi, technik i umiejętności (również z włączeniem technologii AI, Big data, komputerów o wysokiej wydajności).
- Przeciwdziałanie zagrożeniom hybrydowym.
- Wzmocnienie mandatu EUROPOLU i zacieśnienie współpracy z Interpolem Wykorzystywanie potencjału innowacji w zakresie bezpieczeństwa wewnętrznego.
[1] Joint Communication on Resilience, Deterrence and Defence: Building strong cybersecurity for the EU, JOIN (2017) 450.
[2] Jednym z instrumentów jest system informacyjny Schengen, który umożliwia wymianę informacji na temat osób poszukiwanych lub zaginionych w czasie rzeczywistym.