Αναβάθμιση ανθεκτικότητας και αντίδρασης της ΕΕ στις κυβερνοεπιθέσεις Κατάσταση της Ένωσης 2017 – Κυβερνοασφάλεια

Στις 13 Σεπτεμβρίου, στην ετήσια ομιλία του για την κατάσταση της Ένωσης, ο Πρόεδρος της Ευρωπαϊκής Επιτροπής κ. Ζαν-Κλωντ Γιούνκερ δήλωσε: «Τα τρία τελευταία χρόνια σημειώσαμε αρκετά μεγάλη πρόοδο στην προστασία των Ευρωπαίων στο διαδίκτυο. Η Ευρώπη όμως εξακολουθεί να μην έχει τα κατάλληλα μέσα για να αντιμετωπίσει τις κυβερνοεπιθέσεις. Γι’ αυτόν ακριβώς τον λόγο, η Επιτροπή προτείνει σήμερα μια σειρά από νέα εργαλεία, μεταξύ αυτών και τη σύσταση ενός Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας, που θα συμβάλουν στην προστασία μας από τέτοιες επιθέσεις.»

Οι Ευρωπαίοι εμπιστεύονται πολύ τις ψηφιακές τεχνολογίες. Οι τεχνολογίες αυτές παρέχουν στους πολίτες νέες ευκαιρίες επικοινωνίας, διευκολύνουν τη διάδοση πληροφοριών και αποτελούν τη ραχοκοκαλιά της ευρωπαϊκής οικονομίας. Ωστόσο, έχουν επίσης δημιουργήσει νέους κινδύνους, με τις απόπειρες κρατικών και μη κρατικών παραγόντων να κλέψουν δεδομένα, να διαπράξουν απάτες ή ακόμη και να αποσταθεροποιήσουν κυβερνήσεις να αυξάνονται διαρκώς. Κατά τη χρονιά που μας πέρασε, σημειώνονταν πάνω από 4.000 επιθέσεις με λυτρισμικό (ransomware) κάθε μέρα και το 80% των ευρωπαϊκών επιχειρήσεων βίωσε τουλάχιστον ένα επεισόδιο κυβερνοασφάλειας. Οι οικονομικές επιπτώσεις των κυβερνοεγκλημάτων έχουν πενταπλασιαστεί κατά τη διάρκεια των τελευταίων τεσσάρων μόλις ετών.

Με σκοπό να εξοπλίσουν την Ευρώπη με τα κατάλληλα εργαλεία για την αντιμετώπιση των κυβερνοεπιθέσεων, η Ευρωπαϊκή Επιτροπή και η Ύπατη Εκπρόσωπος προτείνουν μια ευρεία δέσμη μέτρων για την οικοδόμηση ισχυρής κυβερνοασφάλειας για την ΕΕ. Στα μέτρα αυτά περιλαμβάνονται η σύσταση ενός Οργανισμού της ΕΕ για την Κυβερνοασφάλεια, ο οποίος θα συνδράμει τα κράτη μέλη στην αντιμετώπιση κυβερνοεπιθέσεων, καθώς και η θέσπιση ενός νέου ευρωπαϊκού συστήματος πιστοποίησης, το οποίο θα διασφαλίζει ότι προϊόντα και υπηρεσίες του ψηφιακού κόσμου είναι ασφαλή προς χρήση.

Η κ. Φεντερίκα Μογκερίνι, Ύπατη Εκπρόσωπος και αντιπρόεδρος της Ευρωπαϊκής Επιτροπής, δήλωσε: «Η ΕΕ θα επιδιώξει μια διεθνή πολιτική για τον κυβερνοχώρο η οποία θα προωθεί έναν κυβερνοχώρο ανοικτό, ελεύθερο και ασφαλή, και θα υποστηρίξει τις προσπάθειες για την ανάπτυξη προτύπων υπεύθυνης συμπεριφοράς των κρατών, την εφαρμογή του διεθνούς δικαίου και τη θέσπιση μέτρων οικοδόμησης εμπιστοσύνης στον τομέα της κυβερνοασφάλειας.»

Ο κ. Άντρους Άνσιπ, Αντιπρόεδρος της Ευρωπαϊκής Επιτροπής αρμόδιος για την ψηφιακή ενιαία αγορά, δήλωσε: «Καμία χώρα δεν μπορεί να αντιμετωπίσει μόνη της τις προκλήσεις της κυβερνοασφάλειας. Οι πρωτοβουλίες μας ενισχύουν τη συνεργασία, ούτως ώστε τα κράτη μέλη της ΕΕ να μπορούν να αντιμετωπίζουν τις προκλήσεις αυτές από κοινού. Προτείνουμε επίσης νέα μέτρα για την τόνωση των επενδύσεων στην καινοτομία και την προώθηση της “κυβερνοϋγιεινής”.»

Ο κ. Τζούλιαν Κινγκ, Επίτροπος αρμόδιος για την Ένωση Ασφάλειας, δήλωσε: «Πρέπει να συνεργαστούμε για την ενίσχυση της ανθεκτικότητάς μας, την ώθηση της τεχνολογικής καινοτομίας, την αναβάθμιση της αποτρεπτικής ισχύος μας, την προώθηση της ιχνηλασιμότητας και της λογοδοσίας και την προαγωγή της διεθνούς συνεργασίας, ώστε να ενισχύσουμε τη συλλογική κυβερνοασφάλειά μας.»

Η κ. Μαρίγια Γκαμπριέλ, Επίτροπος αρμόδια για την ψηφιακή οικονομία και κοινωνία, δήλωσε: «Χρειάζεται να ενισχύσουμε την εμπιστοσύνη των πολιτών και των επιχειρήσεών μας στον ψηφιακό κόσμο, ιδίως σε μια εποχή κατά την οποία οι μεγάλης κλίμακας κυβερνοεπιθέσεις καθίστανται ολοένα και συχνότερες. Θέλω τα υψηλά πρότυπα κυβερνοασφάλειας να γίνουν το νέο ανταγωνιστικό πλεονέκτημα των επιχειρήσεών μας.»

Με τις πρόσφατες επιθέσεις με χρήση λυτρισμικού, τη δραματική αύξηση του κυβερνοεγκλήματος, την ολοένα και αυξανόμενη χρήση μέσων του κυβερνοχώρου από κρατικούς παράγοντες για την επιδίωξη των γεωπολιτικών τους στόχων και τη διαφοροποίηση των επεισοδίων κυβερνοασφάλειας, η ΕΕ πρέπει να καταστεί ανθεκτικότερη στις κυβερνοεπιθέσεις και να αναπτύξει αποτελεσματικές ενωσιακές ικανότητες αποτροπής στον κυβερνοχώρο και ποινικοδικαιικές απαντήσεις, ώστε να προστατεύονται καλύτερα οι πολίτες, οι επιχειρήσεις και οι δημόσιοι οργανισμοί της Ευρώπης. Αυτός είναι και ο σκοπός της σημερινής δέσμης μέτρων για την κυβερνοασφάλεια.

Ενίσχυση της ανθεκτικότητας της ΕΕ: Ένας ισχυρός Οργανισμός της ΕΕ για την Κυβερνοασφάλεια

Ένας Οργανισμός της ΕΕ για την Κυβερνοασφάλεια: Βασιζόμενος στον υφιστάμενο Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), ο νέος οργανισμός θα έχει ως μόνιμη εντολή να συνδράμει τα κράτη μέλη στην αποτελεσματική αποτροπή και αντιμετώπιση κυβερνοεπιθέσεων. Ο νέος οργανισμός θα ενισχύσει την ετοιμότητα αντίδρασης της ΕΕ μέσω της διοργάνωσης ετήσιων πανευρωπαϊκών ασκήσεων με αντικείμενο την κυβερνοασφάλεια, καθώς και μέσω της διασφάλισης της καλύτερης ανταλλαγής πληροφοριών και γνώσεων σχετικά με απειλές, η οποία θα επιτευχθεί με τη δημιουργία κέντρων ανταλλαγής και ανάλυσης πληροφοριών. Επιπλέον, ο νέος οργανισμός θα συμβάλει στην εφαρμογή της οδηγίας για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, η οποία προβλέπει υποχρεώσεις κοινοποίησης των σοβαρών συμβάντων στις εθνικές αρχές.

Ο Οργανισμός για την Κυβερνοασφάλεια θα συμβάλει επίσης στη θέσπιση και εφαρμογή του πλαισίου πιστοποίησης ενωσιακού επιπέδου, το οποίο προτείνει η Επιτροπή για να εξασφαλίζεται ότι προϊόντα και υπηρεσίες είναι ασφαλή σε επίπεδο κυβερνοχώρου. Όπως μπορούν σήμερα οι καταναλωτές να έχουν εμπιστοσύνη στα τρόφιμα που καταναλώνουν χάρη στις ενωσιακές επισημάνσεις των τροφίμων, νέα ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας θα διασφαλίζουν την αξιοπιστία των δισεκατομμυρίων συσκευών («διαδίκτυο των πραγμάτων») στις οποίες βασίζονται οι σύγχρονες υποδομές ζωτικής σημασίας, όπως τα δίκτυα ενέργειας και μεταφορών, αλλά και νέων καταναλωτικών προϊόντων, όπως τα συνδεδεμένα αυτοκίνητα. Τα εκδιδόμενα πιστοποιητικά κυβερνοασφάλειας θα αναγνωρίζονται σε όλα τα κράτη μέλη, με αποτέλεσμα να μειωθεί ο διοικητικός φόρτος και το κόστος[1] που σήμερα βαρύνουν τις επιχειρήσεις.

Ενίσχυση των ικανοτήτων της ΕΕ στον τομέα της κυβερνοασφάλειας:

Αποτελεί στρατηγικό συμφέρον της ΕΕ να εξασφαλίσει ότι τα τεχνολογικά εργαλεία κυβερνοασφάλειας αναπτύσσονται κατά τρόπο ώστε, αφενός, να προάγουν την άνθηση της ψηφιακής οικονομίας και, αφετέρου, να προστατεύουν την ασφάλεια, την κοινωνία και τη δημοκρατία μας. Στην προστασία αυτή περιλαμβάνεται η προστασία των κρίσιμων πόρων υλισμικού και λογισμικού. Με στόχο την ενίσχυση των ικανοτήτων της ΕΕ στον τομέα της κυβερνοασφάλειας, η Επιτροπή και η Ύπατη Εκπρόσωπος προτείνουν:

  • Ένα Ευρωπαϊκό Κέντρο Έρευνας και Ικανοτήτων στον Τομέα της Κυβερνοασφάλειας (με τη σύσταση μιας πιλοτικής δομής εντός του 2018). Σε συνεργασία με τα κράτη μέλη, το κέντρο αυτό θα συμβάλλει στην ανάπτυξη και καθιέρωση των εργαλείων και των τεχνολογιών που χρειαζόμαστε για να μπορούμε να ανταποκρινόμαστε σε μια διαρκώς μεταβαλλόμενη απειλή και να διασφαλίζουμε ότι οι άμυνές μας είναι εξίσου προηγμένες με τα όπλα που χρησιμοποιούν οι κυβερνοεγκληματίες. Επιπλέον, θα συμπληρώνει τις προσπάθειες που καταβάλλονται σε ενωσιακό και εθνικό επίπεδο για την ανάπτυξη ικανοτήτων στον τομέα αυτόν.
  • Ένα σχέδιο στρατηγικής για την αντιμετώπιση από την Ένωση και τα κράτη μέλη μεγάλης κλίμακας κυβερνοεπιθέσεων κατά τρόπο ταχύ, λειτουργικό και συντονισμένο. Η προτεινόμενη διαδικασία καθορίζεται σε σύσταση που εκδόθηκε την προηγούμενη εβδομάδα. Επιπλέον, η σύσταση καλεί τα κράτη μέλη και τα θεσμικά όργανα της ΕΕ να θεσπίσουν ένα ενωσιακό πλαίσιο αντιμετώπισης κρίσεων κυβερνοασφάλειας, ώστε να καταστεί το σχέδιο στρατηγικής λειτουργικό. Αυτό θα υποβάλλεται τακτικά σε δοκιμές στο πλαίσιο ασκήσεων διαχείρισης κρίσεων στον κυβερνοχώρο και άλλων κρίσεων.
  • Περισσότερη αλληλεγγύη: Στο μέλλον, θα πρέπει να εξεταστεί το ενδεχόμενο σύστασης ενός νέου ταμείου αντιμετώπισης επειγουσών απειλών κυβερνοασφάλειας για τα κράτη μέλη που θα έχουν εφαρμόσει με υπευθυνότητα όλα τα μέτρα κυβερνοασφάλειας που θα επιβάλλει η ενωσιακή νομοθεσία. Το ταμείο αυτό θα μπορεί να παρέχει επείγουσα βοήθεια σε στήριξη των κρατών μελών — κατά το πρότυπο του μηχανισμού πολιτικής προστασίας της Ένωσης, ο οποίος χρησιμοποιείται για να παρασχεθεί βοήθεια σε περιπτώσεις δασικών πυρκαγιών ή φυσικών καταστροφών.
  • Ενίσχυση των ικανοτήτων κυβερνοάμυνας: Τα κράτη μέλη παροτρύνονται να συμπεριλάβουν την κυβερνοάμυνα στο πλαίσιο της μόνιμης διαρθρωμένης συνεργασίας (PESCO) και του Ευρωπαϊκού Ταμείου Άμυνας, για την υποστήριξη έργων κυβερνοάμυνας. Το Ευρωπαϊκό Κέντρο Έρευνας και Ικανοτήτων στον Τομέα της Κυβερνοασφάλειας θα μπορούσε επίσης να αναπτυχθεί περαιτέρω με την προσθήκη της διάστασης της κυβερνοάμυνας. Για την αντιμετώπιση του ελλείμματος δεξιοτήτων στον τομέα της κυβερνοάμυνας, η ΕΕ θα δημιουργήσει, εντός του 2018, μια πλατφόρμα εκπαίδευσης και επιμόρφωσης στον εν λόγω τομέα. Η ΕΕ και το ΝΑΤΟ θα προάγουν από κοινού τη συνεργασία στο πεδίο της έρευνας και της καινοτομίας στον τομέα της κυβερνοάμυνας. Η συνεργασία με το ΝΑΤΟ, συμπεριλαμβανομένης της συμμετοχής σε παράλληλες και συντονισμένες ασκήσεις, θα διευρυνθεί.
  • Ενίσχυση της διεθνούς συνεργασίας: Η ΕΕ θα ενισχύσει την απόκρισή της στις κυβερνοεπιθέσεις με την εφαρμογή του πλαισίου για κοινή διπλωματική αντίδραση της ΕΕ έναντι κακόβουλων δραστηριοτήτων στον κυβερνοχώρο, το οποίο στηρίζει ένα στρατηγικό πλαίσιο για την πρόληψη των συγκρούσεων και τη σταθερότητα στον κυβερνοχώρο. Αυτό θα συνδυαστεί με νέες προσπάθειες οικοδόμησης ικανοτήτων στον κυβερνοχώρο, με στόχο να βοηθηθούν τρίτες χώρες στην αντιμετώπιση κυβερνοαπειλών.

Διατύπωση μιας αποτελεσματικής ποινικοδικαιικής απόκρισης

Μια αποτελεσματικότερη απόκριση των αρχών επιβολής του νόμου, η οποία θα εστιάζεται στον εντοπισμό, την ιχνηλάτηση και τη δίωξη των κυβερνοεγκληματιών, είναι κρίσιμη για τη δημιουργία ενός αποτελεσματικού αντικινήτρου στη διάπραξη τέτοιων εγκλημάτων. Ως εκ τούτου, η Επιτροπή προτείνει την ενίσχυση της αποτρεπτικής ισχύος μας μέσω νέων μέτρων για την καταπολέμηση της απάτης και της πλαστογραφίας που αφορούν τα μέσα πληρωμής πλην των μετρητών.

Η προτεινόμενη οδηγία θα ενισχύσει τις δυνατότητες των αρχών επιβολής του νόμου να αντιμετωπίζουν την εγκληματικότητα αυτής της μορφής, μέσω της διεύρυνσης της υπόστασης των αδικημάτων που σχετίζονται με τα συστήματα πληροφοριών ώστε να συμπεριληφθούν όλες οι πράξεις πληρωμής, συμπεριλαμβανομένων των πράξεων σε εικονικά νομίσματα. Επιπλέον, η εν λόγω οδηγία θα θεσπίσει κοινούς κανόνες σχετικά με το επίπεδο των ποινών και θα αποσαφηνίσει το πεδίο της δικαιοδοσίας των κρατών μελών ως προς τα αδικήματα αυτά.

Με στόχο τη διευκόλυνση της αποτελεσματικής διερεύνησης και δίωξης των εγκλημάτων που διαπράττονται μέσω του κυβερνοχώρου, η Επιτροπή θα υποβάλει επίσης, στις αρχές του 2018, προτάσεις για τη διευκόλυνση της διασυνοριακής πρόσβασης σε ηλεκτρονικά αποδεικτικά στοιχεία. Επιπροσθέτως, έως τον Οκτώβριο, η Επιτροπή θα παρουσιάσει τις θέσεις της σχετικά με τον ρόλο της κρυπτογράφησης στο πλαίσιο των ποινικών ερευνών.

Ιστορικό

Πρόσφατα στοιχεία καταδεικνύουν ότι οι ψηφιακές απειλές εξελίσσονται γρήγορα και ότι το κοινό εκλαμβάνει το κυβερνοέγκλημα ως σημαντική απειλή: Μελέτες δείχνουν ότι οι επιθέσεις με λυτρισμικό έχουν αυξηθεί κατά 300% από το 2015, ότι οι οικονομικές επιπτώσεις των κυβερνοεγκλημάτων πενταπλασιάστηκαν από το 2013 έως το 2017, και ότι θα μπορούσαν να αυξηθούν περαιτέρω, μέχρι και τετραπλασιαζόμενες έως το 2019. Το 87% των Ευρωπαίων θεωρεί ότι η κυβερνοεγκληματικότητα αποτελεί σημαντική πρόκληση για την εσωτερική ασφάλεια της ΕΕ.

Το έργο της Επιτροπής στον τομέα αυτόν κατευθύνουν το ευρωπαϊκό θεματολόγιο για την ασφάλεια και η ενδιάμεση επανεξέταση της στρατηγικής για την ψηφιακή ενιαία αγορά, έγγραφα τα οποία καθορίζουν τις κύριες δράσεις για την ενίσχυση της κυβερνοασφάλειας. Τα μέτρα που προτείνονται σήμερα πλαισιώνουν ήδη ισχύοντες κανόνες και συμπληρώνουν τα κενά που έχουν ανακύψει λόγω της μεταβολής του τοπίου των απειλών που αντιμετωπίζουμε από την έκδοση της στρατηγικής της ΕΕ για την κυβερνοασφάλεια το 2013 μέχρι σήμερα, σε επιδίωξη της βασικής προτεραιότητας για στήριξη των κρατών μελών ώστε να εγγυηθούν την εσωτερική ασφάλεια, σύμφωνα με τη δήλωση και τον οδικό χάρτη της Μπρατισλάβας.