„A kibertámadások szaporodására válaszul 2023-ban számos olyan uniós jogalkotási és nem jogalkotási javaslat megszületése várható, amelyek célja az infrastruktúra, a csatlakoztatott, hálózatos eszközök, valamint a teljes információs és kommunikációs technológiai (IKT) ellátási lánc védelme a kibertámadási hullám ellen.
Változó kiberbiztonsági veszélyhelyzet
Oroszország és Ukrajna közötti háború a kiberrezílienciára tereli a figyelmet. A kibertámadások már a háború előtt is nagy gondot okoztak az európai magán- és közszférának (példa erre a német Bundestag elleni kibertámadás 2021-ben). 2021-ben 11 másodpercenként fordult elő egy zsarolóprogram-támadás, amely 2031-re várhatóan 2 másodpercre fog felgyorsulni, és ezek 2025-re évi 10,5 milliárd dollárnyi kárt fognak okozni. A kiberbűnözés egyre nagyobb költségeket ró a világgazdaságra a rosszindulatú szereplők egyre kifinomultabbá váló tevékenységének következtében. A COVID-19 világjárvány és a geopolitikai feszültségek által felgyorsított gyors digitális átalakulás megnövelte a kiberbűnözők játékterét. Az ENISA 2022-es, az EU fenyegetettségéről szóló jelentése feltárta, hogy havonta 10 terabájtnyi adatot lopnak el. A kibertámadások listáján az EU-ban a legmagasabb pontszámot elérő zsarolóprogram-támadásokat szorosan követik az elosztott szolgáltatásmegtagadási (DDOS) támadások, a valaha volt legnagyobb DDoS-támadást 2022 júliusában regisztrálták Európában. A Cisco éves internetes jelentése becslése szerint a DDoS a támadások száma a 2018-as 7,9 millióról 2023-ra világszerte 15,4 millióra fog nőni. Egészségügyi szolgáltatók, infrastrukturális vezetékek, repülőterek, minisztériumok, szállodaláncok, bankok és digitális szolgáltatók, csak néhány példa a múltban kibertámadásokat szenvedett szervezetekre. A háború a hacktivizmus és a dezinformáció növekedését is kiváltja. Különös aggodalomra adnak okot a rosszindulatú szereplők növekvő képességei, amelyek immár teljes ellátási láncokat támadnak.
A kritikus infrastruktúrák védelme
Különösen aggasztóak az olyan kritikus infrastruktúrák, mint az energia, az egészségügy és a pénzügy, elleni támadások. Ezek a területek egyre inkább az IT-re támaszkodnak, és egyre sebezhetővé válnak a kibertámadásokkal szemben. Oroszország hibrid megközelítése, a fizikai és a kibertámadások egyesítése bebizonyította, hogy az alapvető szolgáltatások megzavarása reális fenyegetést jelent az EU számára. Például a műholdas kommunikációs szolgáltató elleni támadás mindössze egy órával az Ukrajna elleni támadás előtt Európa-szerte érintette az internetes szolgáltatásokat és a szélerőműveket. A kritikus entitások ellenálló képességéről szóló irányelv (CER), valamint a hálózatok és információs rendszerek biztonságáról szóló felülvizsgált irányelv (NIS2) közvetlenül válaszol erre a kihívásra. A gyorsan fejlődő fenyegetési környezet és az olyan incidensek, mint például a dán vasúthálózat elleni 2022 novemberi kibertámadás azonban megkövetelik az új jogi keret felgyorsított végrehajtását. Ezért a Tanács 2022 decemberében ajánlást fogadott el a létfontosságú infrastruktúrák védelmét célzó erőfeszítések fokozására, valamint az EU-n belüli és az EU-n belüli együttműködés előmozdítására. Különösen sürgeti a tagállamokat, hogy hajtsanak végre intézkedéseket az 5G kiberbiztonsági eszköztár keretében, figyelembe véve az alapvető szolgáltatások 5G-től való nagymértékű függőségét és annak a digitális szolgáltatások fejlesztésében betöltött fontosságát. Az ezt követő uniós kibervédelem-politika célja az EU kibervédelmi képességeinek és a katonai és polgári kiberközösségek közötti szinergiák növelése. A létfontosságú infrastruktúra összekapcsolhatóságát a rugalmasságot, összekapcsolhatóságot és a biztonságot szolgáló műholdas infrastruktúra (Iris²), egy szuverén űralapú biztonságos összeköttetési rendszer biztosítja majd, amelynek elemei 2024-re fognak pályára állni.
A működési kapacitás növelése
A NIS2 hivatalosan létrehozza az uniós kiberválság-kapcsolattartó szervezetek hálózatát (CyCLONe), amely a válságkezelés gyors koordinációját biztosítja nagyszabású, határokon átnyúló kiberbiztonsági események esetén, míg a közös kiberbiztonsági egység (JCU) biztosítja majd a polgári, bűnüldözési, diplomáciai és kibervédelmi közösségek közötti összehangolt reagálást. A NIS2-t 2023. június 30-ig teljes körűen végre kell hajtani. Az uniós kiberbiztonsági kapacitásépítésre az Európai Kiberbiztonsági Kompetenciaközpont (ECCC) keretében kerül sor, amely 2023 márciusára kezdi meg működését. A központ célja, hogy stratégiai kiberbiztonsági beruházások révén javítsa a technológiai szuverenitást. A nemzeti koordinációs központok hálózatával együtt létrehozza az EU kiberbiztonsági pajzsát, amelyet mesterséges intelligencia (MI) működtet, és amelyet a nagy teljesítményű számítástechnikával foglalkozó európai közös vállalkozás által kifejlesztett uniós szuper-számítástechnikai infrastruktúra egészít ki. Az első hat kvantumszámítógép várhatóan 2023 második felében lesz elérhető.
A csatlakoztatott eszközök védelme
A csatlakoztatott eszközök, például az otthonbiztonsági alkalmazások, az internethez csatlakoztatott játékok és az intelligens kamerák, amelyek 2023-ra várhatóan a világ népességének háromszorosát teszik ki, megnyithatják az ajtót a rosszindulatú szereplők előtt, és feltörés esetén hatással lehetnek a teljes ellátási láncra. E fenyegetés kezelése érdekében a kiberrezilienciáról szóló jogszabályra irányuló javaslat kiberbiztonsági kötelezettségeket írna elő a digitális termékek széles körére vonatkozóan, mielőtt azokat forgalomba hoznák. A javaslat magas bírságokat szabna ki a szabályok be nem tartása esetén, és betiltaná azokat a termékeket, amelyek nem felelnek meg a szabályoknak. Ez az EU határain túl is hatással lehet, mivel nemzetközi referenciaként szolgálhat a digitális termékek kiberbiztonságához. Erről a javaslatról 2023-ban intenzív tárgyalások várhatók.
Az ellátási lánc védelme
Az IKT-ellátási lánc biztonságáról szóló, 2022. októberi tanácsi következtetéseket be kell építeni az IKT-ellátásilánc-biztonsági eszköztár létrehozásába, hogy kiegészítse a NIS2 keretében az IKT-termékekre vonatkozóan az ellátási láncra vonatkozóan végzett összehangolt kockázatértékelést. Az 5G biztonsági eszköztár kritériumai példaként szolgálhatnak az IKT-ellátási láncok biztonsága szempontjából magas kockázatú értékesítők – például a Huawei – meghatározásához.
Előrelépés várható a doménnév-rendszerek (DNS) feloldója esetében is (a doménnevek, például a www.name.eu számítógépes IP-címekké alakítása, pl. 192.168.2.1). 2023-ban létre kell hozni egy nyilvános európai DNS-feloldó szolgáltatást (DNS4EU) a piacon uralkodó nyilvános (nem uniós) feloldók alternatívájaként, ami javítaná az EU kiberbiztonsági képességeit és hozzájárulna digitális szuverenitásához. Várhatjuk továbbá az IKT-termékek kiberbiztonságára és a felhőalapú szolgáltatásokra vonatkozó uniós tanúsítási rendszerek véglegesítését, ahol még nem látható, hogy a vitatott szuverenitási követelmények az utóbbi hatálya alá fognak-e tartozni.
A kiberbiztonsági készséghiány áthidalása
A kiberfenyegetésekre való uniós reagálás nagyban függ attól, hogy elegendő és megfelelően képzett kiberbiztonsági munkaerő áll-e rendelkezésre. Az európai kiberbiztonsági készségek kompetenciakerete (ECSF) fontos szerepet fog játszani a kiberbiztonsági szakma meghatározásában. Az Európai Bizottság által 2023 harmadik negyedévére meghirdetett kiberbiztonsági készségek akadémiája orvosolhatja majd a kiberbiztonsági szakadékot.”
Forrás:
Cyber-resilience in the EU [Ten issues to watch in 2023]; European Parliamentary Research Service (EPRS), Members’ Research Service; 2023. január 12.
A részletes elemezés az Európai Parlament Think Tank oldalán olvasható. (PDF)