TFL Vsebine / TFLGlasnik

1. UVOD

Internet in informacijsko-komunikacijska tehnologijo (v nadaljevanju: IKT) imata vsako leto večji vpliv na naše življenje. Vse več stvari poteka po elektronski poti in je digitaliziranih, to pa s seboj potegne tudi vprašanje varnosti delovanja omrežij in informacijskih sistemov (v nadaljevanju: IS). V letu 2020 pa se je v času pandemije zaradi novega koronavirusa z zaprtjem pisarn in vzpostavitvijo dela od doma izkazalo oziroma nakazalo, da bo v prihodnje digitalizacija še koreniteje posegla in spremenila naše življenje in navade. Pomena interneta in kibernetskega prostora ter njunega vpliva na družbo se zaveda tudi Evropska unija (EU). V uvodu v Strategijo EU za kibernetsko varnost: odprt, varen in zanesljiv kibernetski prostor (Strategija EU za kibernetsko varnost) je Evropska komisija poudarila, da so naše vsakdanje življenje, pravice, družbeni stiki in gospodarstvo odvisni od brezhibnega delovanja IKT-ja. Odprt in svoboden kibernetski prostor je omogočil, olajšal in pospešil povezovanje ter izmenjavo informacij in idej med deležniki po vsem svetu, vzpostavil je tudi forum za svobodno izražanje in uveljavljanje temeljnih pravic. Kibernetski prostor bo odprt in svoboden le, če bodo na spletu veljali isti predpisi, načela in vrednote, ki jih EU podpira tudi v nespletnem okolju. Pomembno vlogo pri zagotavljanju svobodnega in varnega kibernetskega prostora imajo vlade držav članic, ki morajo varovati dostop in odprtost, spoštovati in varovati temeljne pravice na spletu ter ohranjati zanesljivost in interoperabilnost interneta. Večina kibernetskega prostora je v upravljanju in lasti zasebnih podjetij, zato je treba pri vsakršni pobudi na področju kibernetske varnosti upoštevati tudi vodilno vlogo zasebnega sektorja. Ne nazadnje pa je za EU pomemben tudi ekonomski vidik, saj je IKT v zadnjem desetletju postal eden izmed stebrov evropske gospodarske rasti in so od njega odvisni vsi gospodarski sektorji (Evropska komisija, 2013). Ne glede na veliko zavedanje pomena kibernetske varnosti na življenje državljanov držav članic EU-ja in njeno gospodarstvo, pa je prvi zakonodajni korak na področju kibernetske varnosti v EU-ju predstavljal sprejem Direktive 2016/1148 Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven varnosti omrežij in IS-jev v Uniji (direktiva NIS)[1] v letu 2016. Cilj direktive NIS je zagotavljanje visoke skupne ravni varnosti omrežij in IS-jev v EU-ju, kar naj bi sicer pripomoglo k boljši kibernetski varnosti, vendar sprejem direktive v praksi običajno pomeni tudi podaljšanje poenotenja predpisov za dve leti, kolikor časa so imele države članice časa za prenos direktive NIS v svoj pravni red.

Čeprav je EU že dolgo časa vključen in ima pomemben vpliv na regulacijo upravljanja in urejanja interneta, je na področju kibernetske varnosti nov in pri vprašanjih kibernetske varnosti bolj kot ne reagira na razvoj in dogodke. Prav tako je še v procesu priprave enotne skupne politike kibernetske varnosti. Izzivi na tem področju postajajo vse pomembnejši, kar so EU in države članice poskusile nadoknaditi s krepitvijo odpornosti proti grožnjam, ki izhajajo iz kibernetskega prostora (Odermatt, 2018, str. 4). Večji premiki v politiki in ureditvi kibernetske varnosti na področju EU-ja so bili v letu 2019, ko je bil najprej sprejet Akt o kibernetski varnosti[2], s katerim je Agencija EU za varnost omrežij in informacij (ENISA) pridobila trajen mandat ter postala Agencija EU za kibernetsko varnost. Z Aktom o kibernetski varnosti je bil vzpostavljen tudi sistem vseevropskih certifikacijskih shem. Maja 2019 je Svet Evropske unije vzpostavil okvir, na podlagi katerega lahko izvaja sankcije in ciljno usmerjene omejevalne ukrepe za odvračanje in odzivanje na kibernetske napade. V letu 2019 je tudi Evropsko računsko sodišče zaključilo svojo analizo področja kibernetske varnosti v Evropski uniji in izdalo informativni dokument – Izzivi za uspešno politiko EU za kibernetsko varnost. V dokumentu je opravilo pregled kompleksne politike Evropske unije na področju kibernetske varnosti ter opredelilo 10 izzivov za njeno uspešno izvajanje.

Prispevek je sestavljen iz več delov. V uvodu je predstavljena vsebina prispevka, v drugem poglavju pa je opisana ključna terminologija. Osrednji del prispevka predstavljajo tretje, četrto in peto poglavje, v katerih so opisani razvoj področja kibernetske varnosti v Evropski uniji in 10 izzivov na področju kibernetske varnosti, na katere je opozorilo Evropsko računsko sodišče, in vpliv pandemije na kibernetsko varnost. Zadnji del je kratek povzetek prispevka z ugotovitvami, možnimi vplivi, možnostmi za nadaljnje raziskave ter omejitve.

2. TERMINOLOGIJA

V tem poglavju predstavljam hiter pregled terminoloških izrazov:

• Dezinformacije – dokazljivo napačne ali zavajajoče informacije, ki so ustvarjene, predstavljene in se razširjajo za pridobivanje gospodarske koristi ali za namerno zavajanje javnosti ter lahko povzročijo javno škodo[3].
• Kibernetska kriminaliteta – različne kriminalne dejavnosti, katerih glavno orodje ali glavna tarča so računalniški sistemi in sistemi IKT-ja. Te dejavnosti vključujejo: klasična kazniva dejanja (npr. goljufijo, ponarejanje in krajo identitete), kazniva dejanja v zvezi z vsebino (npr. razširjanje otroške pornografije na spletu ali spodbujanje k rasnemu sovraštvu) in kazniva dejanja na področju računalnikov in IS-jev (npr. napade na IS-je, napade za zavrnitev storitve in zlonamerno programsko opremo)[4].
• Kibernetska obramba – del kibernetske varnosti, namenjen obrambi kibernetskega prostora z vojaškimi in drugimi ustreznimi sredstvi za doseganje vojaško-strateških ciljev[5].
• Kibernetska odpornost – zmožnost, da se kibernetski napadi in incidenti preprečijo, da se nanje pripravi, da se jih prestane in da se ponovno vzpostavi prejšnje stanje[6].
• Kibernetska varnost – vsi zaščitni in drugi ukrepi, sprejeti za obrambo IS-jev in njihovih podatkov pred nepooblaščenim dostopom, napadom in poškodovanjem, da se zagotovi njihova razpoložljivost, zaupnost in celovitost[7]. Akt o kibernetski varnosti jo opredeljuje kot dejavnosti, ki so potrebne za zaščito omrežij in IS-jev, uporabnikov takih sistemov in drugih oseb, na katere vplivajo kibernetske grožnje[8].
• Kibernetski prostor – Evropsko računsko sodišče razlaga kot nesnovno svetovno okolje, v katerem poteka spletna komunikacija med ljudmi, programska oprema in storitve prek računalniških omrežij in tehnoloških naprav[9]. ZinfV, s katerim smo direktivo NIS prenesli v slovenski pravni red, pa ga razlaga kot globalno informacijsko okolje, ustvarjeno s pomočjo elektronsko komunikacijskih omrežij in IS-jev. Kibernetski prostor omogoča nastanek, obdelavo in izmenjavo informacij[10].
• Kritična infrastruktura – fizični viri, storitve in objekti, katerih motnje ali uničenje bi resno vplivali na delovanje gospodarstva in družbe[11].
• Kibernetska grožnja – pomeni vsako potencialno okoliščino, dogodek ali dejanje, ki bi lahko poškodovalo, prekinilo ali drugače škodljivo vplivalo na omrežja in IS-je, uporabnike takih sistemov in druge osebe[12].

3. KIBERNETSKA VARNOST V EVROPSKI UNIJI

3.1. Strategija za kibernetsko varnost

IKT je predvsem v zadnjem desetletju postal steber gospodarske rasti v EU-ju. Odprt in svoboden kibernetski prostor je pomembno prispeval k politični in socialni vključenosti, omogočil in pospešil je tudi povezovanje ter izmenjavo informacij in idej. Evropska komisija je že v obrazložitvi strategije EU-ja za kibernetsko varnost poudarila, da bo kibernetski prostor ostal odprt in svoboden le, če bodo na spletu veljali isti predpisi, načela in vrednote, ki jih EU podpira tudi v nespletnem okolju. Kibernetski prostor je zato treba zaščititi pred incidenti, zlonamernimi dejavnostmi in zlorabami, pri čemer so in bodo imele še naprej ključno vlogo države članice in EU, pa tudi zasebni sektor, saj je ravno v njegovi sferi večina kibernetskega prostora.

Strategija EU za kibernetsko varnost je bila kot temelj politike EU-ja na področju kibernetske varnosti sprejeta leta 2013. Njen namen je narediti digitalno okolje EU-ja najvarnejše na svetu, obenem pa učinkovito zaščititi temeljne vrednote in svoboščine.

Strategija EU za kibernetsko varnost ima pet glavnih ciljev:

• povečevanje kibernetske odpornosti;
• zmanjšanje kibernetske kriminalitete;
• razvoj politik in zmogljivosti za kibernetsko obrambo;
• razvoj industrijskih in tehnoloških virov za kibernetsko varnost in
• vzpostavitev mednarodne politike o kibernetskem prostoru, ki bi bila skladna s temeljnimi vrednotami EU-ja.

Posamezne cilje na področju kibernetske varnosti vsebujejo tudi tri kasneje sprejete strategije EU-ja (Evropsko računsko sodišče, 2019):

• Evropska agenda za varnost iz leta 2015 opredeljuje tri prednostne naloge za ukrepanje EU-ja, med katere spada tudi kibernetska kriminaliteta. Cilj agende je izboljšanje kazenskega pregona in pravosodnega odziva na kibernetsko kriminaliteto, s spremembami in dopolnitvami obstoječih politik in zakonodaje.
• Strategija za enotni digitalni trg iz leta 2015, katere cilj je ustvariti boljši dostop do digitalnega blaga in storitev, kar bi dosegli z ustvarjanjem ustreznih pogojev za doseganje optimalne rasti digitalnega gospodarstva.
• Globalna strategija iz leta 2016, katere glavni cilj je okrepitev vloge EU-ja v svetu. V njej pa je EU napovedal, da bo v prihodnje več pozornosti namenil kibernetski varnosti, in sicer tudi v okviru ovržb dezinformacij s strateškim komuniciranjem.

3.2. Direktiva NIS

Direktiva NIS je prvi zakonodajni akt o kibernetski varnosti v Evropski uniji in tudi glavni steber strategije EU-ja za kibernetsko varnost. Njen cilj zagotavljanje visoke skupne ravni varnosti omrežij in IS-jev v EU-ju, države članice pa so jo morale v svojo zakonodajo prenesti do maja 2018. Direktiva zavezuje države članice k sprejemu nacionalnih strategij za varnost omrežij in IS-jev ter uvedbo enotnih kontaktnih točk in skupin za odzivanje na incidente na področju računalniške varnosti. Direktiva NIS določa tudi varnostne zahteve, zahteve za priglasitev za izvajalce bistvenih storitev v kritičnih sektorjih[13] in ponudnike digitalnih storitev. Kljub temu da je bila direktiva NIS ob sprejetju ključni zakonodajni dokument za področje kibernetske varnosti, v besedilu direktive izrecno ni omenjena. Evropska komisija je kasneje v sporočilu Evropskemu parlamentu in Svetu o tem, kako kar najbolje izkoristiti direktivo o varnosti omrežij in informacij[14] navedla tri glavne cilje direktive NIS:

• izboljšanje nacionalnih zmogljivosti na področju kibernetske varnosti,
• krepitev sodelovanja na ravni EU-ja,
• spodbujanje kulture obvladovanja tveganj in poročanja o incidentih med ključnimi gospodarskimi akterji, zlasti izvajalci, ki opravljajo bistvene storitve za vzdrževanje gospodarskih in družbenih dejavnosti, in ponudniki digitalnih storitev.

3.3. Akt o kibernetski varnosti

Evropska komisija ugotavlja, da vse večja digitalizacija in povezljivost povečujeta tveganja na področju kibernetske varnosti, zato je družba na splošno ranljivejša za kibernetske grožnje. Za obvladovanje teh tveganj bo treba sprejeti vse potrebne ukrepe za izboljšanje kibernetske varnosti, saj bo le tako mogoče zaščitili omrežja in IS-je, komunikacijska omrežja ter digitalne proizvode, storitve in naprave, ki jih uporabljajo državljani, organizacije in podjetja. V uvodnih obrazložitvah novo sprejetega Akta o kibernetski varnosti Evropska komisija ugotavlja, da se je po sprejetju strategije EU-ja za kibernetsko varnost in zadnji reviziji mandata ENISE splošni okvir politike znatno spremenil, razmere v svetu pa so postale vse bolj negotove in manj varne. Med ocenjevanjem ENISE je bilo ugotovljeno, da za učinkovito prispevanje k odzivanju EU-ja na izzive na področju kibernetske varnosti, ki izhajajo iz spremenjenih in novih kibernetskih groženj, njen sedanji mandat ne zadostuje (Evropska komisija, 2019). Svet EU-ja je aprila 2019 sprejel Akt o kibernetski varnosti[15] in z njim vzpostavil:

• sistem vseevropskih certifikacijskih shem,
• Agencijo EU za kibernetsko varnost, ki je nasledila obstoječo Agencijo Evropske unije za varnost omrežij in informacij.

ENISA, zdaj kot stalna Agencija EU za kibernetsko varnost, opravlja naloge za dosego visoke skupne ravni kibernetske varnosti v vsem EU-ju, vključno s podpiranjem držav članic ter institucij, organov, uradov in agencij EU-ja za izboljšanje kibernetske varnosti. Deluje tudi kot referenčna točka za svetovanje in strokovno znanje v zvezi s kibernetsko varnostjo za institucije, organe, urade in agencije ter druge deležnike EU-ja.

Sistem vseevropskih certifikacijskih shem, ki ga je uvedel Akt o kibernetski varnosti, bo potrošnikom, uporabnikom v organizacijah in poslovnim uporabnikom omogočal sprejemanje bolj informiranih odločitev na podlagi zadostnih informacij o lastnostih proizvodov IKT-ja, uporabnikih v organizacijah in poslovnih uporabnikih. Podjetjem, ki so ponudniki IKT-ja in storitev, bo z novim sistemom certifikacije olajšano trženje njihovih storitev in proizvodov. Na novo predlagani akt o kibernetski varnosti bi moral biti podprt z dodatnimi ukrepi za večjo ozaveščenost, oblikovanjem pametnejše politike in omogočanjem učinkovitega upravljanja. Preveč uporabnikov in podjetij še vedno ne jemlje kibernetske varnosti in računalniške higiene resno. Prav tako je treba okrepiti vseevropsko usklajevanje odvračanja, odkrivanja in obrambe (Pupillo, 2018, str. 6).

Celoten članek je dostopen za naročnike!