This document is an excerpt from the EUR-Lex website
Document 52020AE5923
Opinion of the European Economic and Social Committee on ‘Joint communication to the European Parliament and the Council — The EU’s Cybersecurity Strategy for the Digital Decade’ (JOIN(2020) 18 final)
Mnenje Evropskega ekonomsko-socialnega odbora – Skupno sporočilo Evropskemu parlamentu in Svetu – Strategija EU za kibernetsko varnost v digitalnem desetletju (JOIN(2020) 18 final)
Mnenje Evropskega ekonomsko-socialnega odbora – Skupno sporočilo Evropskemu parlamentu in Svetu – Strategija EU za kibernetsko varnost v digitalnem desetletju (JOIN(2020) 18 final)
EESC 2020/05923
UL C 286, 16.7.2021, p. 76–81
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
16.7.2021 |
SL |
Uradni list Evropske unije |
C 286/76 |
Mnenje Evropskega ekonomsko-socialnega odbora – Skupno sporočilo Evropskemu parlamentu in Svetu – Strategija EU za kibernetsko varnost v digitalnem desetletju
(JOIN(2020) 18 final)
(2021/C 286/14)
|
Poročevalec: |
Philip VON BROCKDORFF |
|
Zaprosilo |
Evropska komisija, 21. 4. 2021 |
|
Pravna podlaga |
člen 304 Pogodbe o delovanju Evropske unije |
|
Pristojnost |
strokovna skupina za enotni trg, proizvodnjo in potrošnjo |
|
Datum sprejetja mnenja strokovne skupine |
31. 3. 2021 |
|
Datum sprejetja mnenja na plenarnem zasedanju |
27. 4. 2021 |
|
Št. plenarnega zasedanja |
560 |
|
Rezultat glasovanja (za/proti/vzdržani) |
238/0/3 |
1. Sklepi in priporočila
|
1.1 |
Evropski ekonomsko-socialni odbor (EESO) meni, da predlagana strategija pomeni pozitiven napredek v smeri zaščite vlad, državljanov in podjetij po vsej EU pred svetovnimi kibernetskimi grožnjami ter varuje gospodarsko rast. |
|
1.2 |
Po mnenju EESO morajo biti državnim subjektom na voljo dodatni viri financiranja, da bo mogoče vlagati v infrastrukturo za kibernetsko varnost in se tako učinkovito odzvati na krizo, kot je pandemija. |
|
1.3 |
EESO pozdravlja predlog za vzpostavitev mreže centrov za varnostne operacije po vsej EU in predlog, naj Agencija Evropske unije za kibernetsko varnost (ENISA) z vsemi deležniki sodeluje pri omejevanju tveganj 5G. |
|
1.4 |
EESO pozdravlja tudi predlog, da naj bi Europol nadalje razvijal svojo vlogo središča strokovnega znanja o kibernetski kriminaliteti. Za pomembno šteje tudi sodelovanje z večdeležniško skupnostjo ter na mednarodni ravni. |
|
1.5 |
EESO opozarja na vrzeli v znanju in spretnostih na področju kibernetske varnosti in priporoča uporabo vseevropskega orodja za poklicne poti na področju kibernetske varnosti, ki je posameznikom v pomoč pri prepoznavanju, oblikovanju in usmerjanju ustrezne poklicne poti. |
|
1.6 |
EESO izpostavlja problem dezinformacij. Njihovo širjenje bi lahko imelo resne posledice, zato bi moralo biti preprečevanje tega sestavni del vsake strategije za kibernetsko varnost. |
|
1.7 |
EESO priporoča, naj bodo vse tuje naložbe v strateške sektorje Unije usklajene z varnostno politiko EU. |
|
1.8 |
EESO opozarja na pojav kvantnih računalnikov in tveganja, ki so z njimi povezana. Potreben je prehod na kvantno odporno ali postkvantno kriptografijo. |
|
1.9 |
EESO priporoča, naj se strategija Komisije za kibernetsko varnost redno posodablja vsaj vsaki dve leti, da se bo mogoče učinkovito prilagajati prihodnjim tehnologijam in tveganjem. |
|
1.10 |
EESO na koncu poudarja pomen socialnega dialoga pri oblikovanju politik kibernetske varnosti, ki bodo dobro ščitile posameznike pri delu na daljavo in pri bolj splošnih spletnih dejavnostih. |
2. Sporočilo Evropske komisije
|
2.1 |
Cilj tega sporočila je poudariti zavezanost EU varovanju spletnega okolja, ki zagotavlja največjo možno svobodo in varnost v korist njenih državljanov. |
|
2.2 |
Sporočilo vsebuje opis vizije EU na tem področju, opredelitve vlog in odgovornosti ter predloge posebnih dejavnosti na ravni EU, katerih namen je zagotoviti trdno in učinkovito varstvo, hkrati pa zaščititi pravice državljanov, da bo spletno okolje varno. |
|
2.3 |
Cilji predlaganih ukrepov so:
|
|
2.4 |
Predlagana strategija zajema varnost bistvenih storitev, kot so bolnišnice, energetska omrežja in železnice ter vedno večja količina povezane opreme v naših domovih, pisarnah in tovarnah, vzpostavitev kolektivnih zmogljivosti za odziv na večje kibernetske napade in sodelovanje s partnerji po vsem svetu za zagotovitev mednarodne varnosti in stabilnosti v kibernetskem prostoru. |
|
2.5 |
Ker so grožnje kibernetske varnosti skoraj vedno čezmejne in ker lahko kibernetski napad v eni državi vpliva na skupino držav ali na EU kot celoto, Komisija predlaga tudi ustanovitev skupne kibernetske enote, da se s kolektivnimi viri in strokovnim znanjem, ki je na voljo EU in državam članicam, zagotovi čim učinkovitejši odziv na kibernetske grožnje. |
|
2.6 |
Strategija bo v višini 2 milijard EUR financirana v okviru programov EU Digitalna Evropa in Obzorje Evropa, dodane pa bodo naložbe držav članic in zasebnega sektorja. |
3. Splošne ugotovitve
|
3.1 |
Danes je kibernetska varnost splošno sprejeta kot sestavni del delovanja institucij in agencij EU ter vsake države članice in njenega gospodarstva. Je nujno potrebna za podporo energetski infrastrukturi Unije in uvajanju pametnih omrežij (1) ter digitalizaciji in ekologizaciji gospodarstva EU. Enako pomembni sta zaščita in varstvo temeljnih pravic in svoboščin državljanov, ki jih zagotavlja kibernetska varnost. Zaščita pravic in svoboščin je še zlasti pomembna, saj bi kibernetski napadi lahko negativno vplivali na državljane in gospodinjstva (pa tudi na podjetja, organizacije in javne službe). Nedavni računalniški napad na bolnišnico v mestu Tournai v Belgiji je primer nevarnosti, ki ogroža ne le fizično premoženje, temveč tudi človeška življenja zaradi preložitve kirurških operacij (2). |
|
3.2 |
Po navedbah združenja DIGITALEUROPE (3) so kibernetske grožnje glavna ovira na poti Evrope do blaginje. Do konca leta 2020 naj bi gospodarske izgube zaradi kibernetskega kriminala po vsem svetu dosegle 2,5 bilijona EUR, 74 % svetovnih podjetij pa lahko leta 2021 pričakuje vdor v računalniški sistem. Kljub temu ima le 32 % evropskih podjetij vzpostavljeno politiko kibernetske varnosti. Jasno je, da sta v primeru kibernetskih groženj nujno potrebna usklajen odziv EU in strategija za kibernetsko varnost, s katero se bo mogoče spoprijeti s trenutnimi izzivi ter organizacije in državljane zaščititi pred naslednjo generacijo kibernetskih groženj. To velja zlasti za javne službe, kjer se upravljajo velike količine osebnih in občutljivih podatkov, ki jih je treba zaščititi. Poleg tega je treba pot do evropske podatkovne suverenosti in ohranjanje zaupnosti podatkov v Uniji okrepiti na podlagi kibernetske in digitalne odpornosti, s čimer se bo tudi povečala blaginja v EU. |
|
3.3 |
Potencialne gospodarske izgube zaradi kibernetskih napadov so velike in med drugim vključujejo:
|
|
3.4 |
Pomembno je omeniti, da je gospodarski vpliv kibernetskega kriminala največji v Evropi. Ta je po najnovejšem poročilu o gospodarskem vplivu kibernetskega kriminala, ki ga je pripravil Center za strateške in mednarodne študije (CSIS), ocenjen na 0,84 % BDP EU v primerjavi z 0,78 % v Severni Ameriki. |
|
3.5 |
Glede na te okoliščine je strategija, ki temelji na obsežnih posvetovanjih z deležniki, predlagana ravno ob pravem času, saj strokovnjaki napovedujejo, da se bo število povezanih naprav po svetu do leta 2025 zvišalo na 25 milijard. Četrtina teh naprav naj bi bila v Evropi. |
|
3.6 |
Napoved strategije je sovpadla s kibernetskim napadom na ameriško podjetje, ki razvija programsko opremo, s katero podjetja upravljajo svoja omrežja in sisteme IT, zaradi napada pa so bili domnevno kompromitirani računalniki ameriških zveznih vladnih agencij. Poleg tega je bilo v napadu, v katerem so hekerji dodali zlonamerno programsko opremo v programsko posodobitev, ki jo je preneslo več tisoč strank napadenega podjetja, ogroženih več sto ameriških gospodarskih družb. Ta incident kaže, da so kibernetskim napadom lahko izpostavljene javne uprave, podjetja v vseh sektorjih in družba kot celota. |
|
3.7 |
Ni presenetljivo, da v področje strategije spadajo ključni sektorji, ki vključujejo ponudnike podatkovnih storitev in storitev v oblaku, telekomunikacije, državne informacijske sisteme in proizvodnjo. Drugi pomembni primeri, kjer bi se lahko pojavile grožnje kibernetske varnosti, vključujejo aplikacije za sledenje stikom, kot so tiste, ki se uporabljajo za odziv na COVID-19. Z zaščito aplikacij za sledenje stikom se brez dvoma prispeva k večjemu zaupanju javnosti v zaščito zasebnih podatkov v zvezi z ukrepi COVID-19, ki se zdijo bistveni v boju proti pandemiji. |
|
3.8 |
S pandemijo COVID-19 se je pospešilo spreminjanje delovnih vzorcev, saj je kar 40 % delavcev v EU leta 2020 (5) začelo delati na daljavo. Vendar se je po ocenah 40 % uporabnikov iz EU leta 2020 srečalo z varnostnimi težavami, pri čemer je bilo več kot 12 % podjetij žrtev kibernetskih napadov. |
4. Posebne ugotovitve
|
4.1 |
EESO meni, da je predlagana strategija korak v pravo smer, da bi se vlade, državljani in podjetja po vsej EU zaščitili pred svetovnimi kibernetskimi grožnjami ter zagotovilo vodstvo v kibernetskem prostoru, hkrati pa zagotavlja, da lahko imajo vsi koristi od interneta in uporabe tehnologij. |
|
4.2 |
EESO meni, da je kibernetska varnost ključna za zaščito gospodarske dejavnosti in pospeševanje gospodarske rasti ter za zagotavljanje zaupanja uporabnikov v spletne dejavnosti. Strinja se tudi, da so potrebni drzni koraki, da bodo Evropejci lahko varno izkoristili inovacije, povezljivost in avtomatizacijo. |
|
4.3 |
EESO priznava, da so gospodarski sektorji EU vedno bolj digitalno odvisni in soodvisni. Znatno se je povečala tudi uporaba naprav za internet stvari med potrošniki in podjetji, pa tudi v industrijskem okolju, kot je proizvodnja, medtem ko sta tudi finančna in regulativna tehnologija postali splošno dostopni. Pospešilo se je uvajanje tehnologije 5G, digitalno preobrazbo številnih podjetij in vlad pa je nedavno pospešila tudi kriza zaradi COVID-19, ki jih je prisilila, da so skoraj čez noč začeli poslovati na daljavo, predvsem z uporabo storitev v oblaku. Ob takem razvoju je potreben učinkovit, hiter in vključujoč odziv na kibernetske grožnje. |
|
4.4 |
Zaradi teh sprememb se je povečala stopnja kritičnega tveganja za vlade in industrijo, zato EESO podpira novo strategijo za kibernetsko varnost in vrsto njenih predlogov za izboljšanje kibernetske odpornosti v EU in zunaj nje. Čeprav so javni subjekti upravičeni do financiranja EU v okviru različnih programov, s katerimi se podpirajo naložbe na tem področju, kot sta programa Obzorje 2020 in Obzorje Evropa, EESO meni, da bodo morda potrebne dodatne možnosti financiranja za subjekte v javni lasti ali delno v javni lasti. S tem bi omogočili naložbe za vzpostavitev ustrezne infrastrukture za kibernetsko varnost in državljanom zagotovili zanesljivost oskrbe zlasti v krizi, kot je pandemija. |
|
4.5 |
Predlog Evropske komisije za vzpostavitev mreže centrov za varnostne operacije po vsej EU, ki bi izkoriščali umetno inteligenco in strojno učenje za hitrejše odkrivanje groženj in incidentov, analize in odzivanje, je pomemben in prihaja ob pravem času. EESO ugotavlja, da ročno preprečevanje uspešnih kibernetskih napadov postaja vse težje zaradi ogromnega števila dnevnih opozoril, ki jih morajo obravnavati varnostne ekipe, in splošnega pomanjkanja specializiranih delavcev na terenu. Zaradi tega je avtomatizacija centrov za varnostne operacije nujna. |
|
4.6 |
EESO pozdravlja cilje in ukrepe na področju varnosti 5G, ki bodo nujni za pomoč pri ublažitvi novih tveganj, povezanih s povečanjem napadne površine, ki jo bo ustvarila infrastruktura za omrežja 5G. EESO zlasti podpira poziv Agenciji Evropske unije za kibernetsko varnost (ENISA) in državam članicam, naj sodelujejo z vsemi deležniki za boljše razumevanje novih varnostnih tehnologij in zmogljivosti 5G ter groženj. V strategiji se nedvoumno priznava, da je uporaba novih tehnologij 5G, kot so virtualizacija omrežij, omrežno rezinjenje in računalništvo na robu, povezana s posebnimi šibkostmi, pri katerih so potrebni dodatni varnostni ukrepi. |
|
4.7 |
EESO pozdravlja tudi predlog, da bo Europol nadalje razvijal svojo vlogo središča strokovnega znanja o kibernetski kriminaliteti za podpiranje nacionalnih organov kazenskega pregona ter da se bo povečalo financiranje in okrepil mandat skupine za odzivanje na računalniške grožnje za evropske institucije, organe in agencije (CERT-EU). Oba subjekta imata bistveno vlogo pri podpori prizadevanjem za kibernetsko varnost po vsej EU, ki bodo nedvomno pripomogla k izboljšanju kibernetske varnosti institucij in agencij EU, pa tudi drugih subjektov. |
|
4.8 |
EESO pozdravlja osredotočenje strategije na mednarodno sodelovanje EU, na primer prek kibernetske diplomacije v mednarodnih odnosih, okrepljenih dvostranskih dialogov o kibernetski varnosti in krepitve kibernetskih zmogljivosti v tretjih državah. Grožnje kibernetske varnosti so globalne in ne le regionalne, zato morajo biti globalne tudi učinkovite politike za boj proti njim. |
|
4.9 |
EESO tudi ugotavlja, da je v strategiji poudarjen pomen dialoga in sodelovanja z večdeležniško skupnostjo, zlasti prek rednih stikov z zasebnim in javnim sektorjem, socialnimi partnerji in univerzami. Ta pristop je dobrodošel in bo ključnega pomena za nadaljnji razvoj predlogov, ki jih vsebuje strategija, ter za obravnavanje pomembnih dogodkov, kot so varnostni izzivi dela na daljavo. Vsi ustrezni deležniki bi morali redno prispevati, saj je tehnologija, ki se uporablja v kibernetski kriminaliteti, vse bolj izpopolnjena. |
|
4.10 |
EESO pozdravlja poudarek na razvoju ustreznih znanj in spretnosti, ki zagotavljajo splošno zaščito pred kibernetskimi grožnjami. Vendar za večino evropskih podjetij, zlasti za mala in srednja podjetja, vse večje pomanjkanje znanj in spretnosti ostaja velik problem glede na grožnje kibernetske varnosti. EESO meni, da je to pomanjkanje znanj in spretnosti mogoče obravnavati le z vseevropskim orodjem za poklicne poti na področju kibernetske varnosti, ki bi posameznikom pomagalo prepoznati, oblikovati in usmerjati morebitno poklicno pot na področju kibernetske varnosti, tako da bi se povečalo razumevanje o tem, katera znanja, spretnosti in sposobnosti so potrebni za začetek, prehod ali napredek na poklicni poti v kibernetski varnosti. To orodje mora vključevati tudi posebne programe, ki obravnavajo dostopnost in raznolikost v prostoru kibernetske varnosti. Vloga institucij za poklicno izobraževanje in usposabljanje se šteje za ključno pri podpori vseevropskemu orodju za poklicne poti na področju kibernetske varnosti. Glede na razvijajočo se vlogo tehnologije pri ustvarjanju bolj vključujočega delovnega okolja in družbe bi si morala EU tudi vse bolj prizadevati za skupne raziskovalne pobude (znotraj EU in zunaj nje), da bi na vključujoč način izučili usposobljene in kvalificirane strokovnjake na področju kibernetske varnosti. Na koncu bi bilo treba dejavno razmisliti tudi o spodbujanju študentov k študiju na področju kibernetske varnosti z zagotavljanjem štipendij za dodiplomsko, magistrsko in podiplomsko stopnjo s poudarkom na kibernetski varnosti v zameno za delo v institucijah in agencijah EU ter javnih službah po vsej EU po zaključenem šolanju. |
|
4.11 |
EESO ugotavlja, da v strategiji za kibernetsko varnost ni bila obravnavana povezava med kibernetsko varnostjo in dezinformacijami. Zlasti se sklicuje na študijo, ki jo je naročil tematski sektor Evropskega parlamenta za pravice državljanov in ustavne zadeve (6). V dobi internetnega kibernetskega prostora bi širjenje dezinformacij lahko imelo resne posledice. Čezmejni napadi so lahko usmerjeni v informacijske centre ter vladne ali evropske institucije z namenom širitve dezinformacij, takšni napadi pa lahko tudi spodkopavajo zaupanje v javne organe. Zato je treba v vsaki strategiji za kibernetsko varnost poudariti preprečevanje dezinformacij. |
|
4.12 |
EESO poleg tega ugotavlja, da tveganje za varnost Unije lahko pomenijo tudi tuje naložbe v strateške sektorje, pridobitev kritičnih sredstev, tehnologij in infrastrukture v EU ter dobava kritične opreme. V zvezi s tem in v skladu z veljavnimi pravili o javnem naročanju EESO priporoča, naj se pri oddaji javnih naročil več pozornosti nameni vidikom varnosti. |
|
4.13 |
EESO tudi ugotavlja, da varnost sedanje kriptografske programske opreme in sistemov ogroža prihod kvantnih računalnikov, ki naj bi bili javno dostopni čez desetletje ali že prej. Zato je potreben prehod na kvantno odporno ali postkvantno kriptografijo. To se odraža v svetovnih pobudah za standardizacijo postkvantnih kriptografskih sistemov, kot so ameriški postopek standardizacije postkvantne kriptografije NIST, delovna skupina za kvantno varno kriptografijo Evropskega inštituta za telekomunikacijske standarde (ETSI) in natečaj kitajskega združenja za kriptološke raziskave o postkvantni kriptografiji. |
|
4.14 |
EESO priporoča revizijo nacionalnih strategij kibernetske varnosti, da bodo skladne s strategijo Komisije in da se bodo odločitve, sprejete na ravni držav članic, približale predlogom, ki jih vsebuje strategija Komisije. Strategija za celotno EU in nacionalne strategije bi se morale uskladiti za učinkovit boj proti sedanjim in prihodnjim kibernetskim grožnjam. |
|
4.15 |
EESO glede na to, da so prihodnja tveganja večinoma nepredvidljiva, in glede na točko 4.13 zgoraj priporoča, da se strategija Komisije za kibernetsko varnost redno posodablja vsaj vsaki dve leti, da se bo mogoče učinkovito prilagajati prihodnjim tehnologijam in tveganjem. Kot smo že omenili, bodo pri posodabljanju strategij za kibernetsko varnost bistveni tudi vključevanje deležnikov in raziskave na visoki ravni. |
V Bruslju, 27. aprila 2021
Predsednica Evropskega ekonomsko-socialnega odbora
Christa SCHWENG
(1) Kibernetski napad na pametno omrežje bi lahko vplival na oskrbo potrošnikov in podjetij z energijo.
(2) https://www.databreaches.net/chwapi-hospital-hit-by-ransomware-operations-canceled-and-another-city-hit/
(3) https://www.digitaleurope.org/
(4) Kibernetsko zavarovanje je seveda omejeno. Med pandemijo COVID-19 se je jasno pokazalo, da je kopičenje tveganj izziv, ko gre za možnost zavarovanja. Nedavne raziskave podjetja AON podpirajo trditev, da je zavarovanje le zelo majhen (5 %) del stroškov kibernetske pripravljenosti. Ugotovljeno je bilo, da sta revizija in usposabljanje najpomembnejša dejavnika stroškov.
(5) Eurofound (2020), Living, working and COVID-19, serija COVID-19, Urad za publikacije Evropske unije, Luxembourg.
(6) https://www.europarl.europa.eu/RegData/etudes/STUD/2019/608864/IPOL_STU(2019)608864_EN.pdf