Planul Uniunii Europene de a se proteja impotriva atacurilor cibernetice

„Cine esti tu? Este in sistemul nostru. Generale, ce sugerezi sa facem? Generale, ai dreptate: trebuie sa investim in intimitate.” Asa a reactionat Josep Borrell, Inaltul Reprezentant European pentru Afaceri Externe, cand si-a dat seama ca o persoana necunoscuta s-a strecurat intr-o videoconferinta secreta a ministrilor apararii din UE in noiembrie anul trecut. Intr-o ocolire, ministrul Olandei a distribuit pe Twitter o imagine in care se vedea codul de acces la intalnire, iar o jurnalista din tara ei a profitat de eroare pentru a se conecta la apelul video si a scoate culorile din institutiile comunitare.

Scena a scos la iveala marea slabiciune a Uniunii Europene in ceea ce priveste securitatea cibernetica: intr-un club din 27 de tari, cu intalniri care in mod ideal ar trebui sa aiba loc in persoana, dar care din motive logistice sunt transferate in mediul digital, este foarte greu pentru niciun usa sa ramana deschisa. Si acesta este un risc urias care obliga UE sa se inarmeze pentru a face fata oricarui atac digital, de oriunde ar veni acesta.

Agentia Uniunii Europene pentru Securitate Cibernetica (Enisa) a identificat 304 atacuri rau intentionate semnificative impotriva „sectoarelor critice” in 2020, mai mult de doua ori fata de anul precedent. Multe dintre ele au vizat spitale si retele de sanatate, puncte care au gestionat informatii foarte valoroase despre evolutia coronavirusului si vaccinarea in timpul pandemiei.

Obiectivele sale pot fi diverse, de la furtul de date la paralizarea infrastructurii cheie si consecintele sale dezastruoase. Cel mai mare exemplu recent este atacul asupra conductei Colonial, cel mai mare din Statele Unite, din mai 2021. Atacul, efectuat de un grup apolitic de hackeri profesionisti numit Darkside, a fortat sa se opreasca fluxul de titei, provocand un deficit de benzina pe toata Coasta de Est care nu a fost eliberata pana cand atacatorii au primit 75 de bitcoini, echivalentul a 3,8 milioane de euro.

O noua cursa nucleara?

Din fericire pentru europeni, UE are un plan pentru ca incidentul intalnirii secrete de aparare sa fie o poveste. Astfel, in decembrie 2020, Comisia Europeana a prezentat o noua strategie de securitate cibernetica si o propunere de consolidare a directivei privind masurile pentru un nivel comun ridicat de securitate cibernetica in Uniune (Directiva NIS2).

De fapt, Uniunea Europeana s-a pregatit sa raspunda atacurilor digitale din 2013, iar in ultimii ani a lansat diverse initiative pentru a promova strategia comuna de aparare digitala, cum ar fi 2019 5G Network Security Toolkit.

Dar in aceasta lume hiperconectata, in care amenintarile hibride sunt din ce in ce mai sofisticate si puterile concureaza pentru a obtine o dezvoltare tehnologica diferentiala care le permite sa-si protejeze sistemele, riscul de a ramane in urma este prea mare. In acest sens, batalia de securitate cibernetica aminteste de cursa nucleara a Razboiului Rece, cand Statele Unite, Uniunea Sovietica si aliatii lor respectivi s-au angajat intr-o lupta tacuta pentru dezvoltarea armelor nucleare. Ca si acum, orice avans era ascuns cu paza si fiecare pas inainte al rivalului il obliga pe celalalt sa se miste.

De aceea, Uniunea Europeana este nevoita sa-si actualizeze Strategia de securitate cibernetica in mod continuu, pentru a ramane mereu cu un pas inaintea infractorilor cibernetici. Astfel, desi prima versiune a documentului a fost publicata in 2013, strategia a fost revizuita in 2017 si actualizata din nou in decembrie 2020.

Aceasta ultima versiune reprezinta insa o schimbare de paradigma: acum, cand clubul european are masuri de securitate unificate si coordonate, UE vrea sa se doteze cu instrumente care sa ii permita sa raspunda imediat si eficient sau chiar sa previna atacurile cibernetice.

O foaie de parcurs 

Noua strategie de securitate cibernetica se concentreaza pe trei domenii cheie. In primul rand, isi propune sa imbunatateasca rezistenta comunitatii la atacuri cibernetice prin, pe de o parte, crearea unei retele de centre de operatiuni de securitate in intreaga UE si, pe de alta parte, o reforma a normelor privind securitatea retelelor si a sistemelor informationale. , cuprinsa in Directiva privind masurile pentru un nivel ridicat comun de securitate cibernetica in Uniune (Directiva NIS revizuita sau NIS2).

Directiva NIS, adoptata in 2016, a adus o schimbare in abordarea institutionala a securitatii cibernetice in statele membre: le-a fortat, printre altele, sa elaboreze o strategie nationala de securitate cibernetica si sa infiinteze echipe informatice de raspuns in situatii de urgenta. Dar incepuse deja sa arate limitari.

Acum, Directiva NIS2, care a primit aprobarea Parlamentului European in luna octombrie, extinde sectoarele considerate critice si intareste cerintele de securitate pentru cele 160.000 de companii pe care intentioneaza sa le acopere. Obiectivul este reducerea decalajului economic care separa companiile europene de companiile americane, care investesc in medie cu 41% mai mult in securitate cibernetica.

Comisia doreste, de asemenea, sa isi consolideze capacitatea operationala de prevenire, descurajare si raspuns la atacurile cibernetice, pentru care va crea o unitate IT comuna. Aceasta echipa va lucra pentru a asigura un raspuns coordonat la incidentele cibernetice la scara larga si la crizele cibernetice si va oferi asistenta pentru recuperarea dupa astfel de atacuri. „Amenintarile sunt de obicei comune, asa ca este necesara coordonarea, impartasirea cunostintelor si chiar lansarea alertelor in avans”, a argumentat Comisia.

In cele din urma, Bruxelles-ul isi propune sa promoveze un spatiu cibernetic global si deschis, adica sa inceapa o conversatie cu restul tarilor, astfel incat acestea sa se inspire din reglementarile sale si sa contribuie astfel la securitatea internationala. Este, cu alte cuvinte, o incercare de a impiedica apararea impotriva atacurilor cibernetice sa devina o lupta a tuturor impotriva tuturor si, spre deosebire de ceea ce s-a intamplat cu cursa nucleara, de a da nastere unei cooperari intre natiuni care sa se transforme intr-un scut impotriva acestui tip de amenintare. 

Enisa, lipiciul strategiei de securitate cibernetica a UE

Organismul care uneste strategia comunitara de securitate cibernetica este Agentia Europeana pentru Securitatea Retelelor si Informatiilor (Enisa). Cand a fost infiintat, in 2004, Facebook tocmai se nascuse si prefixul „cyber” inca suna ca SF. Sediul sau se afla in orasele grecesti Heraklion si Atena, la antipodul european de la Bruxelles. Si totusi, desi mandatul sau initial a fost de doar cinci ani, Comisia Europeana a crescut treptat aceasta limita pana cand in 2019 a devenit in sfarsit o agentie permanenta cu functii operationale clare. 

Fara Enisa, atacurile cibernetice precum cel suferit de Spitalul Universitar din Brno (Republica Ceha) in martie 2020, in plina pandemie, care a fortat sa fie amanate operatiunile urgente si sa fie relocati pacientii grav bolnavi, ar fi mult mai dese. 

securitate cibernetica comuna in intreaga Uniune, in special prin sprijinul activ acordat statelor membre si institutiilor, organelor, oficiilor si agentiilor Uniunii”. De asemenea, a inceput sa ajute statele membre sa stabileasca prioritati pentru investitiile in cercetare si dezvoltare si, cel mai important, sa creeze un sistem de certificate de securitate pentru produsele si serviciile TIC in Uniune.

Enisa si-a marit finantarea an de an pana sa ajunga la aproape douazeci si doua de milioane de euro in 2020, de cinci ori mai mult decat alocarea sa initiala. Marea majoritate a banilor sunt furnizate de Comisia Europeana, desi Islanda, Liechtenstein, Norvegia, Elvetia si guvernul elen — ca ajutor pentru inchirierea instalatiilor — au o contributie mica. In 2019 avea 75 de angajati.

Ponderea tot mai mare a Enisa in Strategia UE de securitate cibernetica a determinat Comisia Europeana sa doreasca sa o aiba mai aproape de centrul sau de putere. Si pentru aceasta, in loc sa-si schimbe sediul, in luna iunie a anului trecut a autorizat deschiderea unui al treilea birou la Bruxelles, cu scopul ca agentia sa poata mentine „cooperare regulata si sistematica” cu institutiile europene.

Astfel, reciclare dupa reciclare, Agentia Europeana pentru Securitatea Retelelor si a Informatiilor a ramas pilonul securitatii cibernetice europene inca de la infiintarea sa in 2004. Punctul culminant al acestui proces va veni odata cu infiintarea sa la Bruxelles si consolidarea functiilor sale operationale, schimbare care face parte din incercarea UE de a trece la ofensiva impotriva atacurilor cibernetice si de a deveni inamicul numarul unu al infractorilor cibernetici din intreaga lume.