Kybernetická bezpečnost: jak EU řeší kybernetické hrozby

Kritická odvětví jako doprava, energetika, zdravotnictví a finance jsou ve své hlavní činnosti stále závislejší na digitálních technologiích. Digitální transformace sice přináší obrovské příležitosti a přináší řešení řady výzev, jimž Evropa nejen v průběhu krize COVID-19 čelí, ale zároveň vystavuje hospodářství a společnost kybernetickým hrozbám.

Kybernetické útoky a kyberkriminalita jsou v celé Evropě čím dál častější a sofistikovanější. Jelikož se očekává, že v roce 2024 bude k internetu věcí na celém světě připojeno 22,3 miliard zařízení, bude uvedený trend pokračovat i v budoucnu.EU v souvislosti s těmito výzvami v oblasti kybernetické bezpečnosti pracuje na různých frontách, přičemž jejím cílem je:

• zlepšení kybernetické odolnosti
• boj proti kybernetické kriminalitě
• podpora kybernetické diplomacie
• posílení kybernetické obrany
• podpora výzkumu a inovací
• ochrana kritické infrastruktury.

Rozhodnější reakce v oblasti kybernetiky v zájmu vytvoření otevřeného a chráněného kyberprostoru může zajistit větší důvěru občanů v digitální nástroje a služby.

Během mimořádného zasedání Evropské rady v říjnu roku 2020 vedoucí představitelé EU vyzvali k posílení schopnosti EU chránit se před kybernetickými hrozbami, vytvářet bezpečné komunikační prostředí, především za využití kvantového šifrování, a zajistit přístup k údajům pro účely justice a vymáhání práva.

• Mimořádné zasedání Evropské rady, 1.–2. října 2020
• Digitální budoucnost pro Evropu (souvislosti)

Podpora kybernetické odolnosti

Strategie kybernetické bezpečnosti EU

Evropská komise a Evropská služba pro vnější činnost (ESVČ) v prosinci 2020 představily novou strategii kybernetické bezpečnosti EU. Cílem této strategie je posílit odolnost Evropy vůči kybernetickým hrozbám a zajistit, aby všichni občané a podniky mohli plně využívat potenciálu důvěryhodných a spolehlivých služeb a digitálních nástrojů. Nová strategie obsahuje konkrétní návrhy na zavedení regulačních, investičních a politických nástrojů.

EU rovněž pracuje na dvou legislativních návrzích, které se zabývají současnými a budoucími riziky online i offline:

• aktualizovaná směrnice pro lepší ochranu sítí a informačních systémů
• nová směrnice o odolnosti kritických subjektů.

• Strategie kybernetické bezpečnosti EU (Evropská komise)
• Strategie kybernetické bezpečnosti EU (Evropská služba pro vnější činnost)

Co to je kybernetická bezpečnost?

Kybernetická bezpečnost zahrnuje činnosti nezbytné k ochraně sítí a informačních systémů, uživatelů těchto systémů a dalších osob dotčených kybernetickými hrozbami.

Akt EU o kybernetické bezpečnosti

Akt EU o kybernetické bezpečnosti vstoupil v platnost v červnu 2019 a přinesl:

• celounijní systém certifikace
• nový a silnější mandát Agentury EU pro kybernetickou bezpečnost.
• Akt EU o kybernetické bezpečnosti (Evropská komise)

Celounijní systém certifikace kybernetické bezpečnosti

Certifikace má rozhodující úlohu při zajišťování vysokých standardů kybernetické bezpečnosti u produktů, služeb a procesů v oblasti IKT. Skutečnost, že v současnosti se v jednotlivých zemích EU používají různé systémy certifikace bezpečnosti, způsobuje roztříštěnost trhu a představuje regulační překážky.

Prostřednictvím aktu o kybernetické bezpečnosti EU zavedla jednotný celounijní systém certifikace kybernetické bezpečnosti, díky němuž:

• se zvýší důvěra
• poroste trh v odvětví kybernetické bezpečnosti
• se usnadní obchod napříč EU.

Tímto rámcem se stanoví komplexní soubor pravidel, technických požadavků, norem a postupů.

• Unijní systém certifikace kybernetické bezpečnosti (Evropská komise)

Trh EU v odvětví kybernetické bezpečnosti

• Evropské země v globálním indexu kybernetické bezpečnosti podle jednotlivých zemí zastávají 18 z prvních 20 míst.
• Hodnota trhu EU v odvětví kybernetické bezpečnosti se odhaduje na více než 130 miliard eur a roste o 17 % ročně.
• V EU se nachází více než 60 000 podniků působících v oblasti kybernetické bezpečnosti a přes 660 center pro kybernetickou bezpečnost.

Agentura EU pro kybernetickou bezpečnost

Agentura EU pro kybernetickou bezpečnost vznikla na základě struktur předcházející Agentury Evropské unie pro bezpečnost sítí a informací, má však posílenou úlohu a stálý mandát. Ponechala si také tutéž zkratku (ENISA).

Podporuje členské státy, orgány EU a další zúčastněné strany, aby byly schopny se vyrovnat s kybernetickými útoky.

• Agentura Evropské unie pro kybernetickou bezpečnost (internetové stránky)

Směrnice o sítích a informačních systémech

V roce 2016 byla zavedena směrnice o bezpečnosti sítí a informačních systémů (NIS) jako vůbec první celounijní legislativní opatření za účelem zlepšení spolupráce mezi členskými státy v zásadní otázce kybernetické bezpečnosti. Směrnice stanovila povinnosti v oblasti bezpečnosti pro provozovatele základních služeb (v kritických odvětvích jako energetika, doprava, zdravotnictví a finance) a pro poskytovatele digitálních služeb (online tržiště, internetové vyhledávače a cloudové služby).

V prosinci 2020 navrhla Evropská komise revidovanou směrnici o bezpečnosti sítí a informací (NIS2), která má směrnici z roku 2016 nahradit. Nový návrh reaguje na měnící se prostředí hrozeb a zohledňuje digitální transformaci naší společnosti, kterou krize COVID-19 urychlila.

Boj proti kyberkriminalitě

Kyberkriminalita má celou řadu podob a řada obecných trestných činů je páchána prostřednictvím počítačů. Pachatelé mohou například:

• pomocí malwaru získat kontrolu nad osobními zařízeními
• za účelem páchání internetových podvodů ukrást nebo poškodit osobní údaje a duševní vlastnictví
• prostřednictvím internetových platforem a sociálních médií šířit nezákonný obsah
• využívat darknetu k prodeji nezákonného zboží a nabízení služeb pronikání do cizích systémů

Některé formy kyberkriminality, jako je pohlavní vykořisťování dětí na internetu, mohou obětem způsobit závažnou újmu.

V rámci Europolu vzniklo Evropské centrum pro boj proti kyberkriminalitě, které má zemím EU pomáhat s vyšetřováním internetové kriminality a rozbíjením zločineckých sítí.

• Evropské centrum pro boj proti kyberkriminalitě (Europol)

Evropská multidisciplinární platforma pro boj proti hrozbám vyplývajícím z trestné činnosti (EMPACT) je iniciativa v oblasti bezpečnosti, kterou provozují členské státy EU s cílem identifikovat hrozby, kterou organizovaná trestná činnost představuje, dát jim prioritu a řešit je. Kyberkriminalita je jednou z jejích priorit.

• Boj EU proti organizované trestné činnosti (souvislosti)

Boj proti kybernetickým útokům

Cílem akčního plánu pro boj proti kybernetickým útokům platformy EMPACT je zamezovat trestné činnosti související s útoky na informační systémy, zejména takové, jež je založena na obchodním modelu „zločin jako služba“ a umožňuje trestnou činnost na internetu.

• Směrnice EU o útocích na informační systémy (Úřední věstník EU)

Boj proti podvodům s bezhotovostními platebními prostředky

Podvody s bezhotovostními platebními prostředky a padělání těchto prostředků představují závažnou hrozbu pro bezpečnost EU a pachatelům organizované trestné činnosti z nich plynou významné příjmy. Tento typ podvodů navíc podkopává důvěru spotřebitelů v bezpečnost digitálních technologií.

V dubnu 2019 EU přijala nová pravidla zaměřená na boj proti podvodům s bezhotovostními platebními prostředky. Členské státy by měly nová pravidla provést v roce 2021.

• EU zavádí přísnější pravidla zaměřená na boj proti podvodům s bezhotovostními platebními prostředky (tisková zpráva, 9. dubna 2019)

Cílený akční plán platformy EMPACT je zaměřen na zločince zapojené do podvodů s bezhotovostními platebními prostředky a do padělání těchto prostředků, včetně rozsáhlých podvodů s platebními kartami a nově vznikajících hrozeb týkajících se dalších bezhotovostních platebních prostředků.

Zvýšení bezpečnosti dětí na internetu

Evropská komise plánuje navrhnout v roce 2021 nové právní předpisy upravující boj proti pohlavnímu zneužívání a vykořisťování dětí na internetu. Mezitím EU pracuje na dočasných pravidlech, která poskytovatelům webových e-mailů a služeb pro zasílání zpráv umožní pokračovat v odhalování pohlavního zneužívání dětí na internetu, než nebudou trvalé právní předpisy přijaty.

• Boj proti zneužívání dětí na internetu: Rada je připravena jednat o dočasném opatření (tisková zpráva, 28. října 2020)

Cílený akční plán platformy EMPACT je zaměřen na boj proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí, včetně výroby a šíření materiálů, které se zneužívání dětí týkají.

Spravedlnost a vymáhání práva

Pravidla a politiky EU se rovněž zabývají dalšími aspekty spravedlnosti a vymáhání práva v boji proti kyberkriminalitě a trestné činnosti obecně, jako je přístup k elektronickým důkazům, šifrování a uchovávání údajů.

Přístup k elektronickým důkazům

Pachatelé trestné činnosti využívají digitální technologie k páchání trestných činů a k utajování nezákonných činností. Donucovací a justiční orgány se proto při trestním vyšetřování a stíhání v rostoucí míře spoléhají na elektronické důkazy, jako jsou SMS, e-maily nebo aplikace pro zasílání zpráv.

EU proto připravuje nová pravidla, díky nimž bude přeshraniční přístup k elektronickým důkazům jednodušší a rychlejší.

• Lepší přístup k elektronickým důkazům v zájmu boje proti trestné činnosti (souvislosti)

V zájmu dalšího usnadnění přeshraničního přístupu k elektronickým důkazům činí EU tyto kroky:

• dojednává dohodu s USA – se zemí, kde se nachází většina poskytovatelů služeb
• účastní se jednání o druhém dodatkovém protokolu k Budapešťské úmluvě
• Rada udělila Komisi mandát k dojednání mezinárodních dohod týkajících se elektronických důkazů v trestních věcech (tisková zpráva, 6. června 2019)

Šifrování

EU se snaží zahájit aktivní diskusi s technologickým průmyslem s cílem nalézt vhodnou rovnováhu mezi dalším používáním technologií silného šifrování a zaručením pravomocí donucovacích orgánů a justice tak, aby jejich činnost mohla probíhat za stejných podmínek jako ve světě offline.

V prosinci 2020 Rada přijala usnesení o šifrování, v němž vyzdvihuje, že je nutno zajistit bezpečnost prostřednictvím šifrování i bezpečnost navzdory šifrování.

• Rada přijala usnesení o šifrování (tisková zpráva, 14. prosince 2020)

Uchovávání údajů

V zájmu účinného boje proti trestné činnosti je dnes důležité, aby poskytovatelé služeb uchovávali některé údaje, jež lze za určitých přísně stanovených podmínek zpřístupnit pro účely boje proti trestné činnosti. Uchovávání údajů však může narušit základní práva fyzických osob, zejména právo na soukromí a na ochranu osobních údajů.

Rada přijala závěry k otázce uchovávání údajů elektronické komunikace pro účely boje proti trestné činnosti. Rada pověřila Komisi, aby shromáždila další informace a uskutečnila cílené konzultace, a to jako součást komplexní studie o možných řešeních pro uchovávání údajů, včetně posouzení budoucí legislativní iniciativy.

• Uchovávání údajů pro účely boje proti trestné činnosti: Rada přijala závěry (tisková zpráva, 6. června 2019)

Posílení kybernetické diplomacie

Evropská unie a její členské státy důrazně podporují otevřený, svobodný, stabilní a bezpečný kyberprostor, v němž jsou v zájmu sociální stability, hospodářského růstu, prosperity a integrity svobodných a demokratických společností plně dodržována lidská práva, základní svobody a právní stát.

EU vynakládá značné úsilí na ochranu před kybernetickými hrozbami pocházejícími ze třetích zemí, zejména prostřednictvím společné diplomatické reakce nazvané „soubor nástrojů pro diplomacii v oblasti kybernetiky“. Tato reakce zahrnuje diplomatickou spolupráci a dialog, preventivní opatření proti kybernetickým útokům a sankce.

Diplomatickou reakci EU na kybernetické útoky posiluje strategie kybernetické bezpečnosti EU, kterou v prosinci 2020 přijala Evropská komise a ESVČ.

Sankcemi proti kybernetickým útokům

V květnu 2019 Rada stanovila rámec, který EU umožňuje ukládat cílené sankce v zájmu odrazování od kybernetických útoků, které představují vnější hrozbu pro EU nebo její členské státy, a pro účely reakce na takové útoky.

Tento rámec EU vůbec poprvé umožňuje uložit sankce osobám nebo subjektům, které jsou odpovědné za kybernetické útoky nebo za pokusy o ně, poskytují pro ně finanční, technickou nebo materiální podporu nebo jsou do nich zapojeny jiným způsobem. Sankce mohou být uloženy také dalším osobám nebo subjektům, které jsou s nimi spojeny.

Omezující opatření zahrnují:

• zákaz cestování do EU
• zmrazení majetku osob a subjektů

Vůbec první sankce za kybernetické útoky byly uloženy 30. července 2020.

• Kybernetické útoky: Rada nyní může ukládat sankce (tisková zpráva, 17. května 2019)
• Sankce: jak a kdy EU přijímá omezující opatření (souvislosti)

Posilování kybernetické obrany

Kyberprostor je považován za pátou oblast vedení války, neboť má pro vojenské operace stejně kritický význam, jako prostor pozemní, námořní, vzdušný a vesmírný. Obnáší vše od informačních a telekomunikačních sítí, infrastruktury a jimi podporovaných dat až po počítačové systémy, zpracovatele a správce.

V oblasti obrany v kyberprostoru EU spolupracuje prostřednictvím činností Evropské obranné agentury (EDA), a to v součinnosti s Agenturou EU pro kybernetickou bezpečnost a s Europolem. Evropská obranná agentura podporuje členské státy v budování kvalifikované vojenské pracovní síly v oblasti kybernetické obrany a zajišťuje, aby pro kybernetickou obranu byly dostupné proaktivní i reaktivní technologie.

Strategie kybernetické bezpečnosti EU, kterou v prosinci 2020 přijala Komise a ESVČ, posiluje následující aspekty:

• koordinaci kybernetické obrany
• spolupráci a budování schopností v oblasti kybernetické obrany