Έντονη κινητικότητα στην κατεύθυνση της δημιουργίας κοινής cybersecurity task force επικρατεί στην ΕΕ, αν και οι οργανωτικές πρακτικές που ακολουθούνται εγείρουν ερωτηματικά για τη σκοπιμότητα και την αποτελεσματικότητα του εγχειρήματος. Στην ουσία πρόκειται -αρχικά- μια database συσσώρρευσης πληροφορίας με στόχο την ανάπτυξη ενιαίων μεθόδων αντίδρασης και πρόληψης απέναντι σε μαζικά περιστατικά κρίσεων cybersecurity.
Το όραμά της για τη δημιουργία μιας νέας κοινής κυβερνομονάδας για την αντιμετώπιση του αυξανόμενου αριθμού σοβαρών κυβερνοπεριστατικών που επηρεάζουν τις Δημόσιες υπηρεσίες, καθώς και τη ζωή των επιχειρήσεων και των πολιτών σε ολόκληρη την Ευρωπαϊκή Ένωση, παρουσίασε η ΕΕ.
Η κοινή κυβερνομονάδα, που ανακοινώθηκε για πρώτη φορά από την πρόεδρο της ΕΕ, Ούρσουλα φον ντερ Λάιεν, στις πολιτικές κατευθυντήριες γραμμές της, έχει ως στόχο να συγκεντρώσει τους πόρους και την εμπειρογνωμοσύνη που διαθέτουν η ΕΕ και τα κράτη – μέλη της για την αποτελεσματική πρόληψη, αποτροπή και αντιμετώπιση μαζικών περιστατικών και κρίσεων στον κυβερνοχώρο.
Οι κοινότητες κυβερνοασφάλειας, συμπεριλαμβανομένων των μη στρατιωτικών κοινοτήτων, των κοινοτήτων επιβολής του νόμου, των διπλωματικών κοινοτήτων και των κοινοτήτων κυβερνοάμυνας, καθώς και οι εταίροι του ιδιωτικού τομέα, πολύ συχνά λειτουργούν χωρίς συνεννόηση μεταξύ τους.
Με την κοινή κυβερνομονάδα η ΕΕ εκτιμά ότι θα διαθέτουν μια εικονική και φυσική πλατφόρμα συνεργασίας τα αρμόδια θεσμικά και λοιπά όργανα και οι οργανισμοί της ΕΕ μαζί με τα κράτη – μέλη, και ότι θα δημιουργήσουν σταδιακά μια ευρωπαϊκή πλατφόρμα αλληλεγγύης και αμοιβαίας συνδρομής για την αντιμετώπιση κυβερνοεπιθέσεων μεγάλης κλίμακας.
Υπονόμευση του ENISA;
Ερωτηματικά δημιουργεί ωστόσο το γεγονός ότι η ΕΕ αποφάσισε να δημιουργήσει αυτή την ξεχωριστή κυβερνομονάδα «παρακάμπτοντας» ουσιαστικά τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), ο οποίος είναι ο κατεξοχήν αρμόδιος κοινοτικός οργανισμός για τα συγκεκριμένα θέματα, ενώ δεν έθεσε καν τη συγκεκριμένη μονάδα υπό την αιγίδα και ευθύνη του, αλλά αντίθετα ανέθεσε στον ENISA ρόλο δευτερεύοντα και υποστηρικτικό στην κυβερνομονάδα. Σημειώνεται ότι ο ENISA έχει τεράστια πείρα και ιδιαίτερα εξειδικευμένο ανθρώπινο δυναμικό επάνω σε θέματα κυβερνοασφάλειας, ενώ εδρεύει στην Κρήτη.
Στο πλαίσιο αυτής της δέσμης, η ΕΕ υπέβαλλε έκθεση σχετικά με την πρόοδο που σημειώθηκε στο πλαίσιο της στρατηγικής για την Ένωση Ασφάλειας κατά τους τελευταίους μήνες.
Επιπλέον, η Επιτροπή και ο ύπατος εκπρόσωπος της Ένωσης για θέματα εξωτερικής πολιτικής και πολιτικής ασφαλείας υπέβαλαν την πρώτη έκθεση εφαρμογής στο πλαίσιο της στρατηγικής κυβερνοασφάλειας, όπως ζητήθηκε από το Ευρωπαϊκό Συμβούλιο, ενώ ταυτόχρονα δημοσίευσαν την πέμπτη έκθεση προόδου σχετικά με την εφαρμογή του κοινού πλαισίου του 2016 για την αντιμετώπιση υβριδικών απειλών και την κοινή ανακοίνωση του 2018 σχετικά με την αύξηση της ανθεκτικότητας και την ενίσχυση των ικανοτήτων αντιμετώπισης υβριδικών απειλών.
Τέλος, η Επιτροπή εξέδωσε την απόφαση για τη σύσταση του γραφείου του Οργανισμού της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) στις Βρυξέλλες, σύμφωνα με την πράξη για την κυβερνοασφάλεια.
Πώς θα λειτουργεί η κοινή κυβερνομονάδα
Η κοινή κυβερνομονάδα θα λειτουργεί ως πλατφόρμα για την εξασφάλιση συντονισμένης σε επίπεδο ΕΕ απόκρισης σε μεγάλης κλίμακας συμβάντα και κρίσεις στον κυβερνοχώρο, καθώς και για την παροχή βοήθειας για την ανάκαμψη από αυτές τις επιθέσεις.
Σήμερα, η ΕΕ και τα κράτη μέλη της έχουν πολλούς φορείς που δραστηριοποιούνται σε διάφορους τομείς και πεδία. Παρόλο που οι τομείς μπορεί να είναι συγκεκριμένοι, οι απειλές είναι συχνά κοινές — εξ ου και η ανάγκη συντονισμού, ανταλλαγής γνώσεων ή ακόμη και προειδοποίησης.
Οι προτεινόμενοι συμμετέχοντες θα κληθούν να παράσχουν επιχειρησιακούς πόρους αμοιβαίας συνδρομής στο πλαίσιο της κοινής κυβερνομονάδας. Αυτή θα τους επιτρέψει να ανταλλάσσουν βέλτιστες πρακτικές, καθώς και πληροφορίες σε πραγματικό χρόνο σχετικά με απειλές που θα μπορούσαν να προκύψουν στους αντίστοιχους τομείς τους.
Θα εργαστεί επίσης σε επιχειρησιακό και τεχνικό επίπεδο για την υλοποίηση του ενωσιακού σχεδίου αντιμετώπισης περιστατικών και κρίσεων κυβερνοασφάλειας, βάσει των εθνικών σχεδίων για τη σύσταση και την κινητοποίηση των ομάδων ταχείας αντίδρασης της ΕΕ για την κυβερνοασφάλεια για τη διευκόλυνση της έγκρισης πρωτοκόλλων αμοιβαίας συνδρομής μεταξύ των συμμετεχόντων· για τη δημιουργία εθνικών και διασυνοριακών ικανοτήτων παρακολούθησης και ανίχνευσης, συμπεριλαμβανομένων κέντρων επιχειρήσεων ασφαλείας (SOCs) κλπ.
Το οικοσύστημα κυβερνοασφάλειας της ΕΕ είναι ευρύ και ποικίλο και, μέσω της κοινής κυβερνομονάδας εκτιμάται ότι θα υπάρχει κοινός χώρος συνεργασίας μεταξύ των διαφόρων κοινοτήτων και πεδίων, ο οποίος θα επιτρέψει στα υφιστάμενα δίκτυα να αξιοποιήσουν πλήρως το δυναμικό τους. Βασίζεται στις εργασίες που ξεκίνησαν το 2017, με τη σύσταση για συντονισμένη αντιμετώπιση περιστατικών και κρίσεων — το λεγόμενο προσχέδιο.
Το χρονοδιάγραμμα
Η Επιτροπή προτείνει τη δημιουργία της κοινής κυβερνομονάδας μέσω μιας σταδιακής και διαφανούς διαδικασίας σε τέσσερα στάδια, από κοινού με τα κράτη μέλη και τις διάφορες οντότητες που δραστηριοποιούνται στον τομέα.
Στόχος είναι να εξασφαλιστεί ότι η κοινή κυβερνομονάδα θα μεταβεί στην επιχειρησιακή φάση έως τις 30 Ιουνίου 2022 και ότι θα συσταθεί πλήρως ένα έτος αργότερα, έως τις 30 Ιουνίου 2023.
Ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) θα λειτουργεί ως γραμματεία κατά την προπαρασκευαστική φάση και η μονάδα θα λειτουργεί κοντά στα γραφεία του στις Βρυξέλλες και στο γραφείο της ομάδας αντιμετώπισης έκτακτων αναγκών στην πληροφορική για τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ (CERT-EU).
Η χρηματοδότηση
Οι επενδύσεις που απαιτούνται για τη σύσταση της κοινής κυβνερνομονάδας θα παρασχεθούν από την ΕΕ κυρίως μέσω του προγράμματος «Ψηφιακή Ευρώπη».
Τα κονδύλια θα χρησιμεύσουν για τη δημιουργία της φυσικής και εικονικής πλατφόρμας, τη δημιουργία και τη διατήρηση ασφαλών διαύλων επικοινωνίας, καθώς και για τη βελτίωση των ικανοτήτων εντοπισμού. Πρόσθετες συνεισφορές, ιδίως για την ανάπτυξη των ικανοτήτων κυβερνοάμυνας των κρατών μελών, μπορεί να προέλθουν από το Ευρωπαϊκό Ταμείο Άμυνας.
Ασφάλεια εντός και εκτός διαδικτύου
Επίσης, η ΕΕ υπέβαλλε έκθεση σχετικά με την πρόοδο που έχει σημειωθεί στο πλαίσιο της στρατηγικής της ΕΕ για την Ένωση Ασφάλειας, για την εγγύηση της ασφάλειας των Ευρωπαίων. Μαζί με τον ύπατο εκπρόσωπο της Ένωσης για θέματα Εξωτερικής Πολιτικής και Πολιτικής Ασφαλείας, παρουσίασε επίσης την πρώτη έκθεση εφαρμογής στο πλαίσιο της νέας στρατηγικής κυβερνοασφάλειας της ΕΕ.
Η Επιτροπή και ο ύπατος εκπρόσωπος παρουσίασαν τη στρατηγική κυβερνοασφάλειας της ΕΕ τον Δεκέμβριο του 2020. Η παραπάνω έκθεση προβαίνει σε απολογισμό της προόδου που σημειώθηκε στο πλαίσιο καθεμίας από τις 26 πρωτοβουλίες που καθορίζονται στην εν λόγω στρατηγική και αναφέρεται στην πρόσφατη έγκριση από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της Ευρωπαϊκής Ένωσης του κανονισμού για τη σύσταση του κέντρου ικανοτήτων κυβερνοασφάλειας και του δικτύου.
Σύμφωνα με την έκθεση, έχει σημειωθεί ικανοποιητική πρόοδος όσον αφορά την ενίσχυση του νομικού πλαισίου για τη διασφάλιση της ανθεκτικότητας των βασικών υπηρεσιών, μέσω της προτεινόμενης Οδηγίας σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (αναθεωρημένη Οδηγία NIS ή «NIS 2»).
Ασφάλεια και 5G
Όσον αφορά στην ασφάλεια των δικτύων επικοινωνιών 5G, η έκθεση αναφέρει ότι τα περισσότερα κράτη μέλη σημειώνουν πρόοδο όσον αφορά στην εργαλειοθήκη της ΕΕ για το 5G, έχοντας ήδη θεσπίσει ή προγραμματίζοντας να θεσπίσουν πολύ σύντομα, πλαίσια για την επιβολή κατάλληλων περιορισμών στους προμηθευτές 5G.
Οι απαιτήσεις για τους φορείς εκμετάλλευσης δικτύων κινητών επικοινωνιών ενισχύονται μέσω της μεταφοράς στο εθνικό δίκαιο του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών, ενώ ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) προετοιμάζει ένα υποψήφιο σύστημα της ΕΕ για την πιστοποίηση της κυβερνοασφάλειας των δικτύων 5G.
Κρατικές πρακτικές και συνεργασίες
Η έκθεση υπογραμμίζει επίσης την πρόοδο που έχει σημειώσει ο ύπατος εκπρόσωπος όσον αφορά στην προώθηση της υπεύθυνης κρατικής συμπεριφοράς στον κυβερνοχώρο, ιδίως με την προώθηση της θέσπισης προγράμματος δράσης σε επίπεδο Ηνωμένων Εθνών.
Επιπλέον, ο ύπατος εκπρόσωπος έχει ξεκινήσει τη διαδικασία επανεξέτασης του πλαισίου πολιτικής για την κυβερνοάμυνα με σκοπό τη βελτίωση της συνεργασίας στον τομέα της κυβερνοάμυνας και διεξάγει «άσκηση διδαγμάτων» με τα κράτη μέλη για τη βελτίωση της εργαλειοθήκης κυβερνοδιπλωματίας της ΕΕ και τον εντοπισμό ευκαιριών για περαιτέρω ενίσχυση της ενωσιακής και της διεθνούς συνεργασίας για τον σκοπό αυτό.
Επιπλέον, στην έκθεση σχετικά με την πρόοδο που έχει σημειωθεί όσον αφορά στην αντιμετώπιση υβριδικών απειλών, την οποία επίσης δημοσίευσαν η Επιτροπή και ο ύπατος εκπρόσωπος, επισημαίνεται ότι, μετά τη θέσπιση του κοινού πλαισίου του 2016 για την αντιμετώπιση υβριδικών απειλών, θεσπίστηκε μια αντίδραση της Ευρωπαϊκής Ένωσης, ενώ οι δράσεις της ΕΕ στήριξαν την αυξημένη επίγνωση της κατάστασης, την ανθεκτικότητα σε κρίσιμους τομείς, την κατάλληλη αντίδραση και την ανάκαμψη από τις ολοένα αυξανόμενες υβριδικές απειλές, συμπεριλαμβανομένης της παραπληροφόρησης και των κυβερνοεπιθέσεων, από την έναρξη της πανδημίας του κορονοϊού.
Εναρμόνιση των κανόνων μεταξύ των κρατών – μελών
Σύμφωνα επίσης με την έκθεση, κατά τους τελευταίους 6 μήνες ελήφθησαν επίσης σημαντικά μέτρα στο πλαίσιο της στρατηγικής της ΕΕ για την Ένωση Ασφάλειας για την κατοχύρωση της ασφάλειας στο φυσικό και στο ψηφιακό περιβάλλον μας.
Έχουν πλέον θεσπιστεί ενωσιακοί κανόνες – ορόσημα που θα υποχρεώνουν τις ψηφιακές πλατφόρμες να αφαιρούν εντός μίας ώρας τρομοκρατικό περιεχόμενο που αναφέρεται από τις αρχές των κρατών μελών.
Η Επιτροπή πρότεινε επίσης την πράξη για τις ψηφιακές υπηρεσίες, η οποία προτείνει εναρμονισμένους κανόνες για την αφαίρεση παράνομων αγαθών, υπηρεσιών ή περιεχομένου από το διαδίκτυο, καθώς και μια νέα δομή εποπτείας για τις πολύ μεγάλες επιγραμμικές πλατφόρμες.
Η πρόταση εξετάζει επίσης τα τρωτά σημεία των πλατφορμών όσον αφορά την ενίσχυση του επιβλαβούς περιεχομένου ή τη διάδοση της παραπληροφόρησης.
Ανίχνευση της σεξουαλικής κακοποίησης παιδιών
Τέλος, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της Ευρωπαϊκής Ένωσης συμφώνησαν σχετικά με προσωρινή νομοθεσία για την εθελοντική ανίχνευση της σεξουαλικής κακοποίησης παιδιών στο διαδίκτυο από τις υπηρεσίες επικοινωνιών.
