Formát ölt az Európai Unió kiberbiztonsági épülete
Az Európai Unió intézményrendszere a koronavírus járvány okozta válsághelyzetben is (vagy talán, éppen azért) figyelmének középpontjában tartja a kiberbiztonság kérdését. Mintegy negyed éves előkészítő munka és tárgyalás sorozat után az Európai Unió Tanácsa (tehát az Unió tagállamainak kormányait, szakminisztereit tömörítő, lényegében folyamatosan működő döntéselőkészítő testület) 2021. március közepén ún. következtetésekben foglalta össze álláspontját az új kiberbiztonsági stratégiáról. A „következtetés” (angolul: conclusion) megtévesztően gyengének látszó jelentéstartalma ellenére nagyon fontos eszköz az uniós döntéshozatal sok áttételű mechanizmusában. Szándékoltan nem jogszabály ez a dokumentum, ebben az értelemben tehát nincsen kötelező ereje. Lényegében egy köztes lépcsőfok: a kiberbiztonságot szolgáló intézkedések koncepcióját megfogalmazó stratégia, és a végrehajtásra fókuszáló jogszabályi elemek közti kapcsolat megteremtése a célja. A Tanács által most elfogadott következtetések lényegében egy politikai iránymutatás formájában jelölik ki a tavaly decemberben beterjesztett uniós kiberbiztonsági stratégia gyakorlati megvalósításának hogyanjait és mikéntjeit (márpedig a politikai konszenzus egy ilyen sok tagot tömörítő szervezetrendszerben döntő lehet).
A kiberbiztonság már egy ideje az EU egyik legfontosabb prioritása. Az Unió a 2013. évi uniós kiberbiztonsági stratégiával kezdve átfogó, rendszerszemléletű nemzetközi kibertér politikát dolgozott ki. A partnereivel folytatott kétoldalú, regionális és nemzetközi szintű együttműködés révén előmozdította a globális, nyitott, stabil és biztonságos kibertér létrejöttét. Az EU harmadik országokat is támogatott a kibertámadásokkal szembeni ellenálló képességük fokozása és a számítógépes bűnözés elleni hatékonyabb fellépés terén, és a 2017. évi uniós kiberdiplomáciai eszköztára használatával hozzájárult a nemzetközi biztonsághoz és stabilitáshoz a kibertérben. A 2020-ban kirobbant koronavírus-válság idején ugyanakkor megsokasodtak az egészségügyi intézmények elleni kibertámadások, ami megmutatta, mennyire fontos az infrastruktúrák védelme. Nyilván ez is fontos szerepet játszott abban, hogy amikor az EU 2020 decemberében a digitális tér átfogó megújítására hirdetett programot, akkor az ambiciózus programcsomag két jogszabály tervezete (tehát a Digitális Szolgáltatásokról szóló Jogszabály, és a Digitális Piacról szóló Jogszabály) mellett átfogó koncepciót terjesztett elő a mind veszélyeztetettebbnek számító kiberdomén hatékony védelmére is.
Az Európai Bizottság (valamint a Kül- és Biztonságpolitkai Főmegbízott) által decemberben beterjesztett új kiberbiztonsági stratégia célja, hogy megőrizze a globális és nyílt internetet, biztosítékot nyújtva ugyanakkor arra, hogy a biztonság mellett az európai értékek és a mindenkit megillető alapvető jogok is védelmet élvezzenek. A dokumentum három területen konkrét intézkedési javaslatokat is megfogalmaz:
Reziliencia, technológiai szuverenitás és vezető szerep
A hálózati és információs rendszerek biztonságára vonatkozó szabályok reformja. A cél a kritikus állami és magánszektor kibertámadásokkal szembeni ellenálló képességének (rezilienciájának) növelése. Az Unió technológiai szuverenitásának és vezető szerepének megteremtését szolgálná a digitális innovációs központok szerepének erősítése.
Operatív kapacitás kiépítése: a megelőzés, elrettentés és reagálás elősegítése
Egy új közös tagállami kiberbiztonsági egység felállítása. A cél, hogy az együttműködés révén jelentősen növekedjen a kibertámadások megelőzésének, az elrettentésnek, illetve a bekövetkezett incidensekre való reagálásnak a képessége és hatásfoka. Prioritás továbbá a kiberdiplomáciai eszközkészlet megerősítése.
A globális és nyitott kibertér kiépülésének és működésének támogatása
Kulcsfontosságú cél a kibertér nemzetközi biztonságának a garantálása. Fontos mozzanat, hogy az EU tovább erősítse az uniós kiberdiplomáciai eszköztárat, illetve átfogó menetrend kidolgozása révén fokozza a harmadik országokban a kiberkapacitás-építésre irányuló erőfeszítéseit. Fontos intézményi fejlesztés egy globális hatókörű uniós kiberdiplomáciai hálózat létrehozása, hogy nemzetközi szinten népszerűsítse a kibertérrel kapcsolatos EU elképzeléseket.
Nem elhanyagolható a „környezeti” szerepe annak a ténynek sem, hogy a 2019 év végén hivatalba lépő új Európai Bizottság (ezen belül különösen az új kiberbiztonsági stratégiát társ-beterjesztőként jegyző Kül- és Biztonságpolitikai Főmegbízott) egy markáns geopolitikai szerepvállalás programjával kezdte meg működését. Ennek fényében érthető, hogy az új kiberbiztonsági stratégiával kapcsolatos távlati elvárás az, hogy lehetővé tegye az EU számára, hogy fokozza vezető szerepét a kibertérre vonatkozó nemzetközi normák és szabványok terén, valamint, hogy világszerte erősítse az együttműködést partnereivel egy globális, nyitott és biztonságos kiberdomén kialakítása érdekében.
A most, 2021. március 22-én elfogadott tanácsi következtetés feladata, mint említettük az, hogy a koncepciókat felrajzoló, általános kereteket kijelölő stratégia gyakorlati megvalósításához szükséges lépéseket kijelölje. Ennek keretében ez az elvi dokumentum kijelöl bizonyos intézkedési területeket, és azokkal kapcsolatban megbízást ad egy másik uniós testületnek (nevezetesen az Európai Bizottságnak, valamint a Kül- és Biztonságpolitikai Főmegbízottnak) arra, hogy immár konkrét szakpolitikai intézkedési terveket dolgozzon ki. Ennek megfelelően a dokumentum összegzésként megerősíti, hogy az uniós kiberbiztonság kiépítésének célja az, hogy hozzájáruljon az Unió stratégiai autonómiájának megszerzéséhez, közben a nyitott digitális gazdaság megőrzését is mindig szem előtt tartsa. Ezt követően azonban immár konkrétan nevesít néhány olyan intézkedési területet, ahol az elkövetkező években a kiberbiztonság európai megerősítését célzó fejlesztéseknek összpontosulniuk kell:
- kiberbiztonsági műveleti központok hálózatának kiépítése a hálózatok monitorozására, és a támadások korai előrejelzésére
- közös uniós kiberbiztonsági egység létrehozása, a kiberbiztonsági válsághelyzetek hatékony kezelésére
- közös uniós 5G eszközkészlet kialakítása, az 5G hálózatok kiberbiztonsági védelmének biztosítására
- közös uniós internet biztonsági szabványok bevezetése, mivel ezek kulcsfontosságúak a kibertér biztonságának elősegítésében, miközben a globális internetes hálózatok nyitottságát is szolgálják
- az erős titkosítás eljárásai kifejlesztésének támogatása az alapvető állampolgári jogok és a digitális biztonság megőrzésére
- az EU kiberdiplomáciai eszközkészletének továbbfejlesztése, a kibertámadások megelőzésének és elhárításának elősegítésére
- egy közös uniós kiberhírszerzési munkacsoport felállítása az EU általános célú hírszerző szervezetének (EU INTCENT) megerősítésére
- multilaterális együttműködések erősítése a kiberbiztonság és kibervédelem területén
- az Unió kiberbiztonsági kapacitás-építő tevékenységének kiterjesztése az EU-n kívüli területekre annak érdekében, hogy a kibertámadásokkal szembeni ellenálló képesség világszerte növekedhessen
A fenti intézkedések megvalósítására az Európai Unió Tanácsa arra bíztatja az EU Bizottságot, valamint a Kül- és Biztonságpolitikai Főmegbízottat, hogy dolgozzanak ki egy részletes megvalósítási tervet. A következtetésben foglaltak megvalósulásának nyomon követésére pedig egy időszakosan megújítandó cselekvési terv szolgál majd.
Formát ölt az Európai Unió kiberbiztonsági épülete; Nyáry Gábor; Ludovika blog; 2021. március 24.
A Tanács következtetései a digitális évtizedre vonatkozó uniós kiberbiztonsági stratégiáról (2021); Európai Unió Tanácsa; 2021. március 22.
The EU’s Cybersecurity Strategy for the Digital Decade. Joint Communication to the European Parliament and the Council; Európai Bizottság; 2020. december 6.
PÁR MONDATBAN – TOVÁBBI HÍREK, OLVASMÁNYOK, ADATOK
Kínai kíberhírszerzési hadműveletek finnországi és észt célok ellen
A héten két észak-európai állam is részleteket tett közzé az ellenük irányuló, a feltételezések szerint kínai kiberhadviselési csoportoktól kiinduló akciókról. A hét közepén a Finn Biztonsági és Hírszerző Szolgálat a kiberbiztonsági szakértők által APT31-ként regisztrált kínai hackercsoportként azonosította azokat a támadókat, akik tavaly ősszel intéztek összehangolt akciókat a Finn Parlament számítógépes hálózata ellen. A támadás során egész sor e-mail fiókot sikerült feltörniük, köztük számos képviselő hivatali e-levelező fiókját is.
Ugyanakkor Észtországban is kipattant egy kémügy: a héten kémkedésért elítélték Tarmo Kőuts észt tudóst, aki tengerészeti és tengeralattjáró projekteken dolgozott, és így hozzáférése volt NATO-minősítésű titkos dokumentumokhoz is. A vád (illetve az ítélet) szerint 2018 óta dolgozott a Kínai Egyesített Vezérkar Hírszerző Igazgatóságának.
Chinese espionage operations in Finland and Estonia highlight security challenges; Grzegorz Stec; MERICS EU-China Weekly Review; 2021. március 24.
A Magyar Honvédség kiemelt feladata lesz idén a kibertér-műveleti doktrínamegalkotása
A napokban megjelent az a Honvédelmi Miniszteri utasítás, amely a honvédelmi szervezet aktuális, kiemelt feladatait határozza meg, valamint a következő évek fő célkitűzéseit jelöli ki. A dokumentum több olyan területet is kijelöl, amelyek a kiberbiztonság erősítése szempontjából meghatározóak lehetnek:
A technikai adatszerző eszközpark korszerűsítése, a honvédségi szervezet minősített összeköttetéseinek biztosítása mellett kiemelten szól a honvédelmi ágazati szintű kibervédelmi képességfejlesztésről. Feladatként szabja meg ugyanakkor az MH Kibertér-műveleti doktrína kiadását az MH kiberképességeinek részét képező műveleti központ kialakításához.
A korábbi hasonló szabályozásokhoz képest most újdonság, hogy az egyes feladatokhoz felelőst is rendel, illetve néhány esetben éven belüli végrehajtási határidőket is megjelöl.
Idén is megjelent a honvédelmi szervezetek aktuális feladatait összesítő utasítás; Gyömbér Béla; Jogalappal; 2021. március 19.
14/2021. (III.19.) HM utasítás a honvédelmi szervezet 2021.évi kiemelt feladatainak, valamint a 2022-2023. évi fő célkitűzéseinek meghatározásáról; Nemzeti Jogszabálytár, 2021. március 20.
Különleges hajót kap a Brit Haditengerészet a kritikus tengeralatti kábelek ellenőrzésére
A kritikus nemzeti infrastruktúra védelme az új brit védelmi politika egyik sarokköve lesz. Ben Wallace hadügyminiszter ezzel kapcsolatban kijelentette, hogy a tenger alatti távközlési kábelek védelme elsődleges prioritást kell, hogy élvezzen a szigetország nemzetbiztonsága szempontjából. Az oroszok ugyanis (utalt Nagy-Britannia elsődleges ellenségképének dobogósára) „élénken érdeklődnek” a tengeralatti kábelek iránt, és hathatós ellenlépések nélkül ez súlyos veszélybe sodorhatja a létfontosságú információs infrastruktúra biztonságát. A tengerfenéken futó kábelek szabotálásával a tengeralattjáró-hadviselés fenyeget elsősorban. A hatékony védekezés érdekében a brit kormányzat elhatározta, hogy specializált óceánjáró felderítő hajót építtet, hogy ezzel erősítse a Brit Haditengerészet önálló információszerző kapacitásait. A Többcélú Óceán-felderítő Hajó fejlett érzékelő szenzorokkal lesz felszerelve, illetve számos önjáró felderítő robotot (robot mini-tengeralattjárót) is képes lesz majd bevetni az Egyesült Királyság felségvizein éppen úgy, mint a világtengereken. A magas szinten automatizált felderítő hajót a tervek szerint 15 főnyi legénység szolgálja majd ki. Vízrebocsátásának tervezett dátuma: 2024.
New Royal Navy ship to protect ’critical’ undersea cables; Jonathan Beale; BBC; 2021. március 22.
Összeállította és szemlézte: dr. Nyáry Gábor
