Loading...
Latest news
Κρίσεις και Ζητήματα Ασφαλείας

Η εξέλιξη της κυβερνοασφάλειας στην ΕΕ

Γράφει η Μαρία Γερονικολού

Διανύοντας, πλέον, την εποχή της ψηφιοποίησης, ολοένα και περισσότεροι τομείς της σύγχρονης κοινωνίας λειτουργούν βάσει ψηφιακών τεχνολογιών. Παρόλο που τομείς όπως η οικονομία, η υγεία και οι μεταφορές έχουν ευνοηθεί από την ψηφιοποίηση, δεν παύουν να είναι εκτεθειμένοι σε κυβερνοαπειλές. Το ίδιο ισχύει και για την Ευρωπαϊκή Ένωση (ΕΕ), η οποία, προσαρμοζόμενη στις διεθνείς εξελίξεις, δραστηριοποιείται ενεργά υπέρ της κυβερνοασφάλειας, θέτοντάς την ως προτεραιότητα στις πολιτικές της.

Ειδικότερα, από τις αρχές του 2000, η ΕΕ ασχολούνταν ακροθιγώς με την προστασία από κυβερνοεπιθέσεις, ουσιαστική, όμως, εξέλιξη παρατηρείται από το 2004 και έπειτα. Τότε, ιδρύθηκε ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), σύμφωνα με τον Κανονισμό 460/2004. Σκοπός του Οργανισμού ήταν η ανάπτυξη των εθνικών στρατηγικών κυβερνοασφάλειας, καθώς και η παροχή συμβουλευτικής και λύσεων, προκειμένου τα κράτη να βελτιώσουν τις δυνατότητές τους στον τομέα αυτό, αλλά και η εφαρμογή της πολιτικής και του νομικού πλαισίου της ΕΕ σε θέματα ασφάλειας δικτύου και πληροφοριών. Δύο χρόνια αργότερα, η ΕΕ εξέδωσε την πρώτη πρωτοβουλία για την ασφάλεια των δικτύων, η οποία αντικαταστάθηκε το 2013 από την «Στρατηγική για την Κυβερνοασφάλεια». Η τελευταία ήταν το προϊόν μακροχρόνιων διεργασιών, και βασίστηκε στην «Ψηφιακή Ατζέντα για την Ευρώπη» του 2010. Στόχος της στρατηγικής – η οποία αποτελεί το θεμέλιο της ευρωπαϊκής κυβερνοασφάλειας – ήταν η πρόληψη και η αντιμετώπιση των αποτυχιών των ευρωπαϊκών συστημάτων τηλεπικοινωνιών.

Παράλληλα, η στρατηγική βασίζεται σε πέντε αρχές που αφορούν στον κυβερνοχώρο, και συγκεκριμένα, στην ικανότητα αντιμετώπισης των κυβερνοεπιθέσεων, στη δραστική μείωση των κυβερνοεγκλημάτων, στην ανάπτυξη πολιτικής κυβερνοάμυνας και δυνατοτήτων που σχετίζονται με την Κοινή Πολιτική Ασφάλειας και Άμυνας (ΚΠΑΑ), στην ανάπτυξη των βιομηχανικών και τεχνολογικών πόρων για την ασφάλεια του κυβερνοχώρου, και στη θέσπιση μιας συνεκτικής ενωσιακής πολιτικής στον κυβερνοχώρο  με παράλληλη προώθηση των βασικών αξιών της Ένωσης.

Με τη νέα Στρατηγική, ενισχύθηκε και ο ρόλος του ENISA, ώστε να συνδράμει τα κράτη-μέλη στην αποτελεσματικότερη αντιμετώπιση των κυβερνοεπιθέσεων, καθώς, λόγω της αλληλεξάρτησης που τα χαρακτηρίζει, τα κενά ασφαλείας μιας χώρας θα είχαν επιπτώσεις και σε άλλες. Μάλιστα, ο Οργανισμός, σε συνεργασία με την EUROPOL και την EUROJUST, είναι επιφορτισμένος τόσο με την αφύπνιση των εθνικών αρχών σε σχέση με τα ζητήματα κυβερνοασφάλειας, όσο και με την εμβάθυνση της γνώσης γύρω από αυτά. Ωστόσο, οι διαφοροποιήσεις που υπάρχουν μεταξύ των κρατών-μελών, αναφορικά με τις δυνατότητές τους να διαχειριστούν συντονισμένα περιστατικά διασυνοριακών κυβερνοεπιθέσεων, οδήγησαν στη θέσπιση ενός πλάνου έκτακτης ανάγκης, που να περιορίζει τις επικείμενες απειλές, ή μιας ομάδας αντιμετώπισης έκτακτων αναγκών (CERT). Η CERT απαρτίζεται από εμπειρογνώμονες σε θέματα ψηφιακών υποδομών και υφίσταται τόσο σε επίπεδο ΕΕ, όσο και σε επίπεδο κρατών-μελών.

Πέραν τούτων, η Στρατηγική του 2013 έκανε μνεία για μείωση του κυβερνοεγκλήματος, για το οποίο προέβλεπε την ενεργό δράση της Επιτροπής, ενώ βασιζόταν και στις δράσεις του Ευρωπαϊκού Κέντρου Εγκλήματος στον κυβερνοχώρο (EC3), που αποτελεί τμήμα της EUROPOL. Η Επιτροπή, μάλιστα, ενθάρρυνε  την Ευρωπαϊκή Αστυνομική Ακαδημία (CEPOL) να ξεκινήσει εκπαιδευτικά μαθήματα, στο πλαίσιο των οποίων θα ενημερώνει σχετικά με την επιβολή του νόμου. Τέλος, σε ό,τι αφορά την άμυνα στις κυβερνοεπιθέσεις, η Στρατηγική προέβλεπε την ανάπτυξη πολιτικής εντός της ΚΠΑΑ.

Σημείο καμπής για την δράση της ΕΕ στην κυβερνοασφάλεια ήταν η έκδοση της Οδηγίας 2016/1148 σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (NIS Directive), η οποία τέθηκε σε ισχύ το 2016, και συνέβαλε στην επίτευξη ενός κοινού υψηλού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών σε ολόκληρη την ΕΕ. Η Οδηγία, επίσης, όριζε την ανάγκη δημιουργίας ειδικών ομάδων στα κράτη-μέλη (Computer Security Incident Teams/CSIRTs), οι οποίες θα πρέπει να λειτουργούν προωθώντας την εμπιστοσύνη, καθώς και την αποτελεσματική και επιχειρησιακή συνεργασία εντός της Ένωσης.

Ωστόσο, το ίδιο έτος, τέθηκε σε ισχύ και o Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), που αντιπροσωπεύει ένα εναρμονισμένο νομικό πλαίσιο για την προστασία των προσωπικών και ιδιωτικών δεδομένων των πολιτών της ΕΕ. Αν και ο Κανονισμός δεν στοχεύει άμεσα στην ασφάλεια στον κυβερνοχώρο, έμμεσα τον επηρεάζει σε μεγάλο βαθμό. Με έναρξη ισχύος τον Μάιο του 2018, ο Κανονισμός αποτελεί ένα τεράστιο βήμα προόδου στον τομέα της κυβερνοασφάλειας, αναφορικά με τις ενοποιημένες ψηφιακές οικονομικές και κοινωνικές δραστηριότητες, αλλά κυρίως για τη λειτουργία της εσωτερικής αγοράς. Χαρακτηριστικό του Κανονισμού είναι οι αυστηρές κυρώσεις που επισείουν τυχόν παραβιάσεις αυτού.

Τον επόμενο χρόνο της θέσεως σε ισχύ της Οδηγίας 2016/1148, με την «πράξη της ΕΕ για την κυβερνοασφάλεια» (Cybersecurity Act), που τέθηκε σε ισχύ το 2019, αναθεωρήθηκε η Στρατηγική του 2013. Η νέα στρατηγική επικεντρωνόταν στη δημιουργία ενός ευρωπαϊκού συστήματος πιστοποίησης που εγγυάται την ασφαλή χρήση ψηφιακών προϊόντων και υπηρεσιών σε ολόκληρη την ΕΕ, και στην ενδυνάμωση του ρόλου του ENISA. Ο τελευταίος αναβαθμίστηκε στον κύριο Οργανισμό της ΕΕ, ο οποίος είναι υπεύθυνος για την εξέλιξη αλλά και την επιβολή της νομοθεσίας της ΕΕ σε ό,τι αφορά την κυβερνοασφάλεια, και δρα επικουρικά στα κράτη-μέλη, ώστε να αποτρέπουν και να ανταποκρίνονται επαρκώς σε κυβερνοεπιθέσεις. Παράλληλα, ο Οργανισμός ενισχύει την επιχειρησιακή συνεργασία σε επίπεδο ΕΕ, είναι αρμόδιος για τη διοργάνωση και τη διεξαγωγή ευρωπαϊκών ασκήσεων ασφάλειας στον κυβερνοχώρο, αλλά και για την υποστήριξη και προώθηση του ευρωπαϊκού συστήματος πιστοποίησης.

Στο πλαίσιο του βασικού στόχου πολιτικής της ΕΕ να καταστεί η Ευρώπη έτοιμη για την ψηφιακή εποχή, η Επιτροπή ανακοίνωσε τον Φεβρουάριο του 2020 την αναθεώρηση της Οδηγίας NIS. Η νέα Οδηγία NIS2 καλύπτει μεσαίες και μεγάλες επιχειρήσεις σε επιλεγμένους κλάδους, κριτήριο για τις οποίες αποτελεί η σπουδαιότητά τους για την οικονομία και την κοινωνία. Επιπρόσθετα, ενισχύει τις απαιτήσεις προς τις επιχειρήσεις σε ό,τι αφορά την ασφάλεια, διευθετεί ζητήματα ασφάλειας στην αλυσίδα εφοδιασμού και στη σχέση μεταξύ προμηθευτών, εξορθολογεί τις υποχρεώσεις υποβολής εκθέσεων, εισάγει αυστηρότερα εποπτικά μέτρα για τις εθνικές αρχές και αυστηρότερες απαιτήσεις επιβολής, και στοχεύει στην εναρμόνιση του καθεστώτος κυρώσεων στα κράτη-μέλη. Η NIS2 είναι ένθερμος υποστηρικτής της ανταλλαγής πληροφοριών και της συνεργασίας στη διαχείριση κυβερνοκρίσεων σε εθνικό και ενωσιακό επίπεδο.

Το ίδιο έτος, η Στρατηγική για την Κυβερνοασφάλεια αναθεωρήθηκε. Η νέα στρατηγική στοχεύει τόσο στην προστασία κρίσιμων υποδομών της ΕΕ από κυβερνοαπειλές, όσο και ολόκληρης της κοινωνίας των πολιτών. Επιπλέον, η στρατηγική αποσκοπεί και σε ένα ακόμη κρίσιμο κομμάτι, αυτό της ενίσχυσης του ψηφιακού συστήματος ασφάλειας της ΕΕ έναντι τρίτων χωρών. Έτσι, προτάθηκε η δημιουργία ενός δικτύου κέντρων επιχειρήσεων ασφαλείας σε ολόκληρη την ΕΕ, τροφοδοτούμενου από την τεχνητή νοημοσύνη. Φιλοδοξία του είναι να αποτελέσει πραγματική «ασπίδα κυβερνοασφάλειας» για την ΕΕ. Η Επιτροπή προετοιμάζει, επίσης, μια νέα Κοινή Μονάδα Κυβερνοχώρου, με σκοπό την ενίσχυση της συνεργασίας μεταξύ των οργάνων της ΕΕ και των αρχών των κρατών μελών που έχουν την αρμοδιότητα πρόληψης, αποτροπής και αντιμετώπισης κυβερνοεπιθέσεων, συμπεριλαμβανομένων των μη στρατιωτικών και διπλωματικών κοινοτήτων, καθώς και των κοινοτήτων επιβολής του νόμου και της κυβερνοάμυνας.

Επιπλέον, προτάθηκε η ενίσχυση της εργαλειοθήκης της ΕΕ για τη διπλωματία στον κυβερνοχώρο, με σκοπό την αποτελεσματική πρόληψη και αντιμετώπιση κακόβουλων δραστηριοτήτων σε αυτόν, ιδίως εκείνων που επηρεάζουν τις υποδομές ζωτικής σημασίας και τις αξίες της ΕΕ. Μάλιστα, η Ένωση σκοπεύει στην ενίσχυση της συνεργασίας και των ικανοτήτων στον τομέα της κυβερνοάμυνας,  αξιοποιώντας το έργο του Ευρωπαϊκού Οργανισμού Άμυνας και ενθαρρύνοντας τα κράτη-μέλη να αξιοποιήσουν πλήρως τη μόνιμη διαρθρωμένη συνεργασία τους, όπως και το Ευρωπαϊκό Ταμείο Άμυνας.  Τέλος, βασίζεται σε σειρά νομοθετικών πράξεων, δράσεων και πρωτοβουλιών που έχει εφαρμόσει η ΕΕ για την ενίσχυση των ικανοτήτων κυβερνοασφάλειας, και τη διασφάλιση μιας πιο «κυβερνοανθεκτικής» Ευρώπης. Μεταξύ των νομοθετικών πράξεων που συμπληρώνουν την αναθεωρημένη στρατηγική, είναι και η NIS2.

Αποτιμώντας τη δράση της ΕΕ στον τομέα της κυβερνοασφάλειας θαμπορούσε να λεχθεί πως, με αφετηρία τη στρατηγική για την ασφάλεια στον κυβερνοχώρο του 2013, η ΕΕ έχει αναπτύξει μια συνεκτική και ολιστική διεθνή πολιτική επί του θέματος. Ωστόσο, παρατηρείται ότι, μέχρι το 2020, οι δραστηριότητες της ΕΕ επικεντρώνονταν στην οικοδόμηση επιχειρησιακών ικανοτήτων που αφορούσαν, κυρίως, την πρόληψη, αποτροπή και αντιμετώπιση κυβερνοαπειλών. Στον αντίποδα, η νέα αναθεωρημένη Στρατηγική είναι στενά συνδεδεμένη με αρχές της Ένωσης, όπως την Ψηφιακή Στρατηγική για την Ενιαία Αγορά και τη Στρατηγική της Ένωσης για την Ασφάλεια 2020-2025, παραβλέποντας οποιαδήποτε αναφορά στον ρόλο της ΕΕ σχετικά με την πρόληψη των συγκρούσεων στον κυβερνοχώρο. Υιοθετεί, δηλαδή, μια τρόπον τινά αμυντική στάση, χωρίς να λαμβάνει μέτρα πρόληψης για ενδεχόμενες κυβερνοεπιθέσεις. Προς επίρρωση αυτού, αξίζει να αναφερθεί η αξιοσημείωτη πρόοδος που έχει σημειώσει η ΕΕ ως προς τη συνεργασία στον τομέα της κυβερνοάμυνας, ιδίως στο πλαίσιο της ενωσιακής πολιτικής της άμυνας στον κυβερνοχώρο (CDPF), καθώς και στο πλαίσιο της μόνιμης διαρθρωμένης συνεργασίας (PESCO) και των εργασιών του Ευρωπαϊκού Οργανισμού Άμυνας.

Από την άλλη, θετικό είναι ότι η Στρατηγική του 2020 αναγνωρίζει τον πολύτιμο ρόλο που διαδραματίζει η διπλωματία ως μέσο για την υποστήριξη και προώθηση των ψηφιακών πολιτικών της ΕΕ, οι οποίες χρειάζεται να «αγκαλιαστούν» και από τις εξωτερικές δράσεις της Ένωσης. Έτσι, η ΕΕ αξιοποίησε την «εργαλειοθήκη της για τη διπλωματία στον κυβερνοχώρο» του 2017, ώστε να συμβάλει περαιτέρω στη διεθνή ασφάλεια και σταθερότητα στον κυβερνοχώρο. Εντούτοις, αρκετοί κρίνουν πως η εμβάθυνση στα μέτρα οικοδόμησης εμπιστοσύνης, ασφάλειας και διπλωματίας στον κυβερνοχώρο της ΕΕ, σε σχέση με τρίτες χώρες, παραμένει σε μεγάλο βαθμό μη ουσιαστική.

Τέλος, η κυβερνοασφάλεια αποτελεί προτεραιότητα που αντικατοπτρίζεται και στον επόμενο μακροπρόθεσμο προϋπολογισμό της ΕΕ (2021-2027), με την ίδια να προσπαθεί να διαδραματίσει ουσιαστικό ρόλο στην προώθηση ενός παγκόσμιου, ανοικτού, σταθερού και ασφαλούς κυβερνοχώρου, βασιζόμενη τόσο στις θεμελιώδεις αξίες της ΕΕ όσο και στο κράτος δικαίου. Κάποιες από τις δράσεις της μπορεί να λαμβάνουν αρνητικό πρόσημο, χρειάζεται, ωστόσο, να ληφθεί υπόψη ότι η πρόοδος σε έναν τομέα όπως η κυβερνοασφάλεια απαιτεί χρόνο για να αποφέρει τα επιθυμητά αποτελέσματα, ιδιαίτερα εντός ενός πλαισίου στο οποίο χρειάζεται να γίνουν αρκετοί συμβιβασμοί μεταξύ των συμμετεχόντων.

Πηγές:

  1. László Kovács, Cyber Security Policy and Strategy in the European Union and Nato, March 2018. Διαθέσιμο σε https://www.researchgate.net/publication/325147671_Cyber_Security_Policy_and_Strategy_in_the_European_Union_and_Nato.
  2. Ευρωπαϊκή Επιτροπή, Νέα στρατηγική της ΕΕ για την κυβερνοασφάλεια και νέοι κανόνες για την ενίσχυση της ανθεκτικότητας των φυσικών και ψηφιακών κρίσιμων οντοτήτων, Δεκέμβριος 16, 2020. Διαθέσιμο σε https://ec.europa.eu/greece/news/20201216____5_el.
  3. European Commission, Proposal for a Directive on measures for a high common level of cybersecurity across the Union, ESO, Δεκέμβριος 16, 2020. Διαθέσιμο σε https://www.europeansources.info/record/proposal-for-a-directive-on-measures-for-a-high-common-level-of-cybersecurity-across-the-union/.
  4. Patryk Pawlak, Eu Cybersecurity Strategy 2020: First Impressions, Directions Cyber Digital Europe, December 16, 2020. Διαθέσιμο σε https://directionsblog.eu/eu-cybersecurity-strategy-2020-first-impressions/.
  5. Annegret Bendiek, Matthias C. Kettemann, Revisiting the EU Cybersecurity Strategy: A Call for EU Cyber Diplomacy, German Institute for International and Security Affairs, Φεβρουάριος 24, 2021. Διαθέσιμο σε https://www.swp-berlin.org/en/publication/revisiting-the-eu-cybersecurity-strategy-a-call-for-eu-cyber-diplomacy.
  6. Hunton Andrews Kurth,EU Parliament Approves the Proposal for Cybersecurity Act, Privacy & Information Security Law Blog, March 28, 2019. Διαθέσιμο σε https://www.huntonprivacyblog.com/2019/03/28/eu-parliament-approves-the-proposal-for-cybersecurity-act/.
  7. EDPS, The History of the General Data Protection Regulation. Διαθέσιμο σε https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_en.
  8. European Commission, NIS Directive. Διαθέσιμο σε https://digital-strategy.ec.europa.eu/en/policies/nis-directive.

Πηγή εικόνας: Κομισιόν: 11 εκατ. ευρώ για την ενίσχυση των ικανοτήτων και της συνεργασίας στην κυβερνοασφάλεια, INSIDER, Μάιος 10, 2021. Διαθέσιμο σε https://www.insider.gr/tehnologia/171667/kybernoasfaleia-stin-ee-11-ekat-eyro-gia-tin-enishysi-ton-ikanotiton-kai-tis.