52014IE1488

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 52014IE1488 - EN

Document 52014IE1488

Help

Mišljenje Europskog gospodarskog i socijalnog odbora o kibernetičkim napadima u EU-u — (samoinicijativno mišljenje)

SL C 451, 16.12.2014, p. 31–38 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

HTML

PDF

Official Journal

16.12.2014

Službeni list Europske unije

C 451/31

Mišljenje Europskog gospodarskog i socijalnog odbora o kibernetičkim napadima u EU-u

(samoinicijativno mišljenje)

(2014/C 451/05)

Izvjestitelj:

g. McDONOGH

Dana 27. veljače 2014., sukladno pravilu 29. stavku 2. svojeg Poslovnika, Europski gospodarski i socijalni odbor odlučio je sastaviti samoinicijativno mišljenje o temi

kibernetički napadi u EU-u.

Stručna skupina za prijevoz, energiju, infrastrukturu i informacijsko društvo, odgovorna za pripremu rada Odbora o toj temi, Mišljenje je usvojila 18. lipnja 2014.

Europski gospodarski i socijalni odbor Mišljenje je usvojio na svom 500. plenarnom zasjedanju održanom 9. i 10. srpnja 2014. (sjednica od 10. srpnja), sa 135 glasova za i 1 protiv.

1. Zaključci i preporuke

1.1

Odbor se zalaže za uspostavljanje tijela za kibernetičku sigurnost na razini EU-a, istovrsnog središnjem tijelu u zrakoplovnoj industriji (Europskoj agenciji za sigurnost zračnog prometa, EASA), kako bi se na razini EU-a osiguralo snažno vodstvo potrebno za rješavanje složene provedbe učinkovite europske politike kibernetičke sigurnosti.

1.2

Informirani i osnaženi građani ključni su za jaku kibernetičku sigurnost u Europi. Edukacija građana na području osobne kibernetičke sigurnosti i zaštite podataka trebala bi biti temeljni sastavni dio školskih nastavnih planova i programa za obuku na radnom mjestu. EU bi, povrh toga, trebao poticati programe i inicijative za informiranje javnosti o tim temama diljem Unije.

1.3

Poduzeća bi trebala imati zakonsku obvezu zauzimanja proaktivnog pristupa zaštiti od kibernetičkih napada, što podrazumijeva sigurnu i otpornu informacijsku i komunikacijsku tehnologiju (IKT), kao i obuku osoblja o sigurnosnim politikama, baš kao i u slučaju zdravlja i sigurnosti.

1.4

Svaka bi država članica trebala imati organizaciju zaduženu za informiranje, edukaciju i podupiranje sektora malog i srednjeg poduzetništva u pogledu najboljih praksi na području kibernetičke sigurnosti. Velika poduzeća na jednostavan način mogu stjecati potrebna znanja, no malim i srednjim poduzećima potrebna je podrška.

1.5

Trebalo bi proširiti nadležnosti Europske agencije za sigurnost mreža i podataka (ENISA) te osigurati financijska sredstva kako bi se omogućila neposrednija odgovornost za programe edukacije i osvješćivanja u pogledu kibernetičke sigurnosti, usmjerenih posebno na građane i mala i srednja poduzeća.

1.6

Poduzeća i organizacije moraju na razini uprave podići svijest o odgovornosti za kibernetičku sigurnost. Direktori svih organizacija trebali bi svakako biti upoznati s potencijalnim korporativnim obvezama koje proizlaze iz neodgovarajuće politike kibernetičke sigurnosti i neodgovarajućeg postupanja.

1.7

Zbog svoje presudne uloge u pružanju online usluga, svi davatelji internetskih usluga u EU-u trebali bi imati posebnu odgovornost za zaštitu svojih klijenata od kibernetičkih napada. Tu odgovornost treba definirati i ugraditi u zakonodavstvo na razini EU-a.

1.8

Da bi se osiguralo brzo ostvarivanje ogromnog potencijala za gospodarski rast koji leži u dinamičnom širenju računalstva u oblaku (1), posebne sigurnosne kriterije i obveze na razini EU-a treba uvesti i za davatelje usluga računalstva u oblaku.

1.9

Odbor smatra da dobrovoljne mjere nisu dovoljne te da su potrebne stroge zakonske obveze za države članice u pogledu usklađivanja, vođenja i provedbe europske politike kibernetičke sigurnosti. Osim toga, za sva poduzeća i organizacije, a ne samo za pružatelje ključne infrastrukture, treba važiti zakonska obveza izvještavanja o važnim slučajevima povrede kibernetičke sigurnosti. To bi pridonijelo sposobnosti Europe da reagira na prijetnje te boljem poznavanju i razumijevanju kibernetičkih napada, radi razvijanja boljih obrambenih strategija.

1.10

Odbor snažno preporučuje da EU zauzme pristup svladavanja prijetnje od kibernetičkih napada koji počiva na dizajnu time što će se pobrinuti da sve tehnologije i usluge koje se koriste u Europi za pružanje internetskih veza i sve online usluge budu osmišljene tako da omoguće najveću moguću razinu zaštite od kibernetičkih napada. Prilikom dizajniranja trebalo bi se posebno usredotočiti na sučelje čovjek-stroj.

1.11

EGSO teži tome da europske organizacije za normizaciju razviju i šire istinske norme kibernetičke sigurnosti za sve mrežne tehnologije i usluge. Te bi norme trebale obuhvaćati obvezatni kodeks ponašanja kako bi se osiguralo da sva IKT oprema i internetske usluge prodane europskim građanima udovoljavaju najstrožim standardima.

1.12

EU se mora smjesta pobrinuti za to da svaka država članica dobije potpuno operativan tim za hitne računalne intervencije (CERT), kako bi i sebe i Europu zaštitila od kibernetičkih napada.

1.13

Odbor traži da Europski centar za kibernetički kriminal (EC3) pri Europolu dobije dodatna sredstva koja su mu potrebna za borbu protiv kibernetičkog kriminala i jačanje suradnje s policijskim snagama u Europi i snagama izvan Unije te za jačanje sposobnosti Europe da ulovi i procesuira kibernetičke kriminalce.

1.14

Ukratko, EGSO smatra da EU-ova politika kibernetičke sigurnosti mora biti uspješna osobito u sljedećim točkama: odlučnom EU-ovom vodstvu, politikama kibernetičke sigurnosti koje povećavaju sigurnost uz očuvanje privatnosti i drugih temeljnih prava, podizanju svijesti građana i poticanju proaktivnih pristupa zaštiti, sveobuhvatnom upravljanju država članica, informiranom i odgovornom poslovanju, tijesnoj suradnji među vladama, privatnim sektorom i građanima, odgovarajućoj razini ulaganja, dobrim tehničkim standardima te dovoljnim ulaganjima u istraživanja, razvoj i inovacije, kao i međunarodnom angažmanu. Stoga Odbor ponavlja svoje preporuke o politici kibernetičke zaštite koje je već iznio u mnogim ranijim mišljenjima (2) te poziva Komisiju da poduzme daljnje korake u vezi s aktivnostima zatraženima u tim dokumentima.

2. Opseg mišljenja

2.1

Internetsko gospodarstvo odgovorno je za petinu rasta BDP-a u EU-u, a svake godine 200 milijuna Europljana kupuje na internetu. Ovisimo o internetu i s njim povezanoj digitalnoj tehnologiji kao podršci našim vitalnim sektorima energije, zdravlja, vladinih i financijskih usluga. Međutim, ključna digitalna infrastruktura i usluge koje igraju toliko važnu ulogu u našem ekonomskom i društvenom životu podložne su sve većem riziku od kibernetičkih napada koji prijete našem blagostanju i kvaliteti života.

2.2

Odbor smatra da se sve veća ovisnost Unije o internetu i digitalnoj tehnologiji nedostatno odražava u praksama i politikama koje osiguravaju dovoljno visoku razinu kibernetičke sigurnosti diljem Europe u sadašnjosti i budućnosti. Svrha ovog mišljenja jest istaknuti nedostatke koje je Odbor utvrdio u EU-ovoj politici kibernetičke sigurnosti te preporučiti poboljšanja koja bi povećala ublažavanje rizika od kibernetičkih napada.

2.3

Postoji niz motiva za kibernetičke napade, od vrlo osobnih – primjerice, osveta nekom pojedincu ili poduzeću – do kibernetičke špijunaže koju provode države ili kibernetičkog rata između zemalja. Prilikom pripremanja ovog mišljenja odlučeno je da mu se tematski raspon suzi isključivo na kibernetičke napade s kriminalnom namjerom te da mu težište bude na iznošenju preporuka o problemima od primarnog interesa za većinu u Odboru. Složena politička rasprava o kibernetičkim napadima država članica na građane i druge države mogla bi biti tema nekog budućeg mišljenja.

2.4

U ovom je mišljenju riječ isključivo o kibernetičkim napadima kibernetičkih kriminalaca koji su motivirani financijskom dobiti, što čini glavninu napada. Uspostavljanjem politika i praksi kibernetičke sigurnosti kojima se učinkovito bori protiv kibernetičkih napada s kriminalnim motivima također se smanjuje rizik od kibernetičkih napada s političkim motivima ili osobnijim motivima.

2.5

Iako je EU dobro napredovao u provedbi mjera povjerenja i sigurnosti u okviru Digitalnog programa i razvio opsežnu strategiju kibernetičke sigurnosti koja se dotiče većine prethodno navedenih ciljeva, treba učiniti još više.

3. Kibernetički napadi i kibernetička sigurnost

3.1

Kibernetički napad jest bilo koja vrsta napadačke aktivnosti usmjerene na računalne informacijske sustave i infrastrukture, računalne mreže i/ili osobne digitalne uređaje, počinjena raznim zlonamjernim radnjama radi krađe, izmjene ili uništavanja mete. Meta mogu biti novac, podaci ili informacijska tehnologija.

3.2

Kibernetički kriminalci napadaju kako bi ukrali novac ili podatke, počinili prijevaru, kriminalnu špijunažu ili iznudu. Kibernetičkim kriminalnim napadima mogu se oštetiti ključne mreže i usluge o kojima ovisi naše zdravlje, sigurnost i gospodarsko blagostanje, što obuhvaća vladine, prometne i energetske mreže.

3.3

Prijetnja od kibernetičkih napada prati u stopu povećanje naše ovisnosti o internetu i digitalnoj tehnologiji. Prema nedavnom izvješću tvrtke Symantec, ukupni broj povreda zaštite podataka u svijetu povećao se 2013. godine za 62 % i popeo na više od 552 milijuna obznanjenih zapisa. Tim se povredama najčešće obznanjuju prava imena, datumi rođenja ili državni identifikacijski brojevi, zdravstveni ili financijski podaci. Usto je u posljednjih 12 mjeseci žrtvom kibernetičkih zločina postalo 38 % korisnika mobilnih telefona.

3.4

Kibernetički napadi mogu imati veliki utjecaj na pojedina poduzeća i općenito na europsko gospodarstvo.

—	U jednom izvješću industrije iz 2011. godine navodi se da žrtve kibernetičkih napada svake godine izgube otprilike 290 milijardi eura diljem svijeta, što znači da su ti napadi isplativiji od svjetske trgovine marihuanom, kokainom i heroinom.

—

Građani su izloženi stalnoj prijetnji krađe identiteta u kibernetičkim napadima. U svibnju 2014. u samo jednom napadu ukradena je baza podataka s osobnim podacima 145 milijuna korisnika eBay-a. Prema jednom istraživanju o kibernetičkoj sigurnosti Sveučilišta u Kentu iz 2013. godine, tijekom samo jedne godine (2012./13.) provaljeno je u više od 9 milijuna internetskih korisničkih računa odraslih Britanca, 8 % stanovništva financijski je oštećeno kibernetičkim napadima, a 2,3 % stanovništva Ujedinjene Kraljevine izgubilo je preko 10 000 funti zbog kibernetičkog kriminala.

—

U izvješću britanske vlade iz 2011. godine procijenjeno je da je ukupna financijska šteta koju je kibernetički kriminal nanio britanskom gospodarstvu iznosila 27 milijardi funti:

—	internetske prijevare – 1,4 milijarde funti

—	krađa identiteta – 1,7 milijardi funti

—	krađa intelektualnog vlasništva – 9,2 milijarde funti

—	špijunaža – 7,6 milijardi funti

—	gubitak podataka klijenata – 1 milijardu funti

—	krađa na internetu (izravna) od poduzeća – 1,3 milijarde funti

—	iznuda – 2,2 milijarde funti

—	fiskalna prijevara – 2,3 milijarde funti

—

Kibernetički napadi svake godine nanose Europi ogromnu ekonomsku štetu. U financijsku štetu mora se uračunati sljedeće:

—	gubitak intelektualnog vlasništva i osjetljivih podataka

—	situacijski uvjetovanu štetu, uključujući prekid usluga i zaposlenja

—	štetu nanesenu imidžu robne marke i reputaciji poduzeća

—	kazne i odštete isplaćene klijentima (zbog neugodnosti ili popratnog gubitka) ili ugovorne naknade (zbog kašnjenja itd.)

—	trošak protumjera i osiguranja

—	trošak strategija za ublažavanje posljedica i oporavak od kibernetičkih napada

—	gubitke u trgovanju i konkurentnosti

—	poremećaje u trgovanju

—	gubitak radnih mjesta;

—	Prema jednoj studiji o kršenju sigurnosti podataka iz 2014. godine, koju je izdala britanska vlada, 81 % velikih te 60 % malih i srednjih poduzeća pretrpjelo je 2013. godine povredu sigurnosti.

—	U istom se vladinu izvješću procjenjuje da bi prosječna financijska šteta od najtežeg oblika kibernetičke povrede sigurnosti mogla dosegnuti 1 4 00 000 eura za veliku organizaciju, odnosno do 1 40 000 eura za malo ili srednje poduzeće.

—	Čak i ako napadi ne uspiju, troškovi ublažavanja njihovih posljedica brzo rastu. Rast globalnog tržišta sigurnosti informacija povećat će se 2014. godine na 8,6 % i premašiti 73 milijardi USD.

3.5

Tehnike kibernetičkih napada neprekidno se razvijaju:

—

Kibernetički napad u pravilu uključuje uporabu vektora napada kojim kibernetički kriminalac može dobiti pristup internetskim identifikacijskim vjerodajnicama, računalu ili mrežnom poslužitelju s ciljem zlonamjernog ishoda. Najčešći vektori napada jesu USB uređaji, privici e-pošte, internetske stranice, skočni prozori, instant-poruke, sobe za čavrljanje te obmana, primjerice krađa identiteta (phishing).

—

Najčešći oblik napada jest pokretanje tzv. zlonamjernog programa (malware). Zlonamjerni program jest softver kojim se preuzima nadzor nad digitalnim uređajem da bi se postigla zločinačka namjera, primjerice da bi se ukrale vjerodajnice za prijavu ili novac ili da bi se sam program proširio na druge uređaje. Zlonamjerni programi obuhvaćaju računalne viruse (uključujući crve i trojanske konje), programe ransomeware, spyware, adware, scareware te druge zlonamjerne programe. Na primjer, ransomware je vrsta zlonamjernog programa kojom se blokira pristup napadnutom računalnom sustavu te traži otkupnina u zamjenu za deblokiranje.

—	Zlonamjerni program može pretvoriti računalo i u tzv. bot povezan s botnetom ili zombi-mrežom kibernetičkog kriminalca, kojima on upravlja da bi napadao žrtve.

—	Napad e-poštom (spam) javlja se kada kriminalac pošalje neželjenu gomilu e-poruka, obično kako bi naveo žrtvu da potroši novac na krivotvorenu robu. Botnetovima se šalje većina neželjene e-pošte.

—

Phishing je napad u kojem kriminalac, koji se lažno predstavlja kao pouzdani subjekt, pokušava ukrasti korisničko ime, zaporku i podatke o kreditnoj kartici kako bi preuzeo nadzor nad žrtvinom e-poštom, profilom na društvenim mrežama i bankovnim računima. Phishing je osobito učinkovit oblik kriminala jer 70 % internetskih korisnika odabire istu lozinku za gotovo sve internetske usluge kojima se služi.

—

Kibernetički kriminalci ponekad upotrebljavaju napad kojim se odbija usluga (engl. denial-of-service, DoS) da bi iznudili novac od poduzeća ili organizacija. DoS napad jest pokušaj onemogućivanja korisnika da se služe svojim strojem ili mrežnim resursom tako da se meta preoptereti vanjskim komunikacijskim zahtjevima kako ne bi mogla odgovoriti na legitiman promet ili kako bi odgovarala toliko sporo da je gotovo nedostupna. I za DoS napade kriminalci obično koriste botnetove.

3.6

Među organizacijama za kibernetičku sigurnost postoji dogovor o prioritetnim mjerama koje građani i poduzeća trebaju poduzeti kako bi se zaštitili od kibernetičkih napada. Te prakse moraju biti obuhvaćene svakim programom obrazovanja i podizanja svijesti o kibernetičkoj sigurnosti:

Građani

—	upotrebljavajte jake i pamtljive lozinke

—	instalirajte softver za zaštitu od virusa na nove uređaje

—	provjerite postavke privatnosti na društvenim medijima

—	obavljajte sigurnu kupnju na internetu i uvijek provjeravajte jesu li internetske prodajne stranice sigurne

—	preuzimajte tzv. zakrpe za softver i aplikacije kada vas se na to upozori.

Poduzeća

—	sastavite popis sigurnih aplikacija

—	koristite standardne i sigurne konfiguracije sustava

—	pokrpajte aplikacijski softver unutar 48 sati

—	pokrpajte sistemski softver unutar 48 sati i

—	smanjite broj korisnika s administratorskim ovlastima.

3.7

Mala poduzeća često nemaju dostatnu IT podršku da idu ukorak s mogućim kibernetičkim prijetnjama pa im je potrebna posebna pomoć da se zaštite od kibernetičkih napada.

3.8

Otkrivanje kibernetičkih napada i ranjivih točaka u sustavu ključno je u borbi protiv kibernetičkih napada, osobito prilikom rješavanja takozvanih napada nultog dana, tj. novih inačica napada koje do tada nisu bile poznate u zajednici kibernetičke sigurnosti. Međutim, poduzeća često ne obznanjuju kibernetičke napade jer strahuju od štete za svoj ugled i odgovornost. To neobznanjivanje šteti sposobnosti Europe da brzo i učinkovito uzvrati na kibernetičke prijetnje, kao i da poboljša opću kibernetičku sigurnost kroz zajedničko učenje.

3.9

Građani i poduzeća kupuju pristup internetu i odgovarajuće usluge od davatelja internetskih usluga. Zbog svoje presudne uloge u pružanju online usluga, od ključne je važnosti da svi davatelji internetskih usluga svojim klijentima osiguraju najveću moguću razinu zaštite od kibernetičkih napada. Osim što se trebaju pobrinuti za to da se njihove vlastite usluge i infrastruktura osmišljavaju i održavaju na način da nude najveću razinu kibernetičke sigurnosti, davatelji internetskih usluga trebali bi svojim klijentima pružati kvalitetne savjete o kibernetičkoj sigurnosti i trebali bi imati posebne protokole koji bi pridonijeli prepoznavanju i suzbijanju kibernetičkih napada na klijente čim do njih dođe. Ta bi se odgovornost trebala definirati i ugraditi u zakonodavstvo na razini EU-a.

3.10

Ubrzavanje usvajanja računalstva u oblaku među građanima i poduzećima u Europi vrlo je važno za gospodarstvo EU-a (3). Budući da se i poduzeća i pojedinci sve više pouzdaju u računalstvo u oblaku, sve je važnije da Europa osigura kibernetičku sigurnost upravo pružatelja usluga u oblaku. Neizvjesnost u vezi sa sigurnošću usluga u oblaku negativno se odražava na stopu prihvaćenosti te dinamične tehnologije. Odbor se zalaže za to da EU pružateljima usluga u oblaku nametne posebne sigurnosne zahtjeve i obveze radi poticanja rasta računalstva u oblaku u Europi.

3.11

Posebni napori moraju se uložiti u zapošljavanje radnika u europskoj industriji kibernetičke sigurnosti. Očekuje se da će potražnja za diplomiranim radnicima u području informacijske sigurnosti rasti stopom dvostruko većom od stope rasta cjelokupne računalne industrije. U tom kontekstu Odbor Komisiji svraća pozornost na uspjeh natjecanja u SAD-u i u nekim državama članicama u podizanju svijesti o kibernetičkoj sigurnosti i stvaranju nove generacije stručnjaka za kibernetičku sigurnost.

3.12

Jedna od najboljih strategija zaštite od kibernetičkih napada jest zauzimanje pristupa koji počiva na dizajnu time što će se pobrinuti da sve tehnologije i usluge koje se koriste u Europi za pružanje internetskih veza i sve online usluge budu osmišljene tako da omoguće najveću moguću razinu zaštite od kibernetičkih napada. Prilikom dizajniranja trebalo bi se posebno usredotočiti na sučelje čovjek-stroj. Na tome bi trebali surađivati proizvođači tehnologije, davatelji internetskih usluga, industrija kibernetičke sigurnosti, EC3, ENISA, nacionalna tijela država članica za obranu i sigurnost, kao i građani. Organizaciju tog pristupa kibernetičkoj sigurnosti koji počiva na dizajnu mogla bi na razini EU-a provesti Komisija, a kooridnaciju bi možda mogla preuzeti ENISA.

4. Politika kibernetičke sigurnosti EU-a

4.1

EU razvija sveobuhvatnu strategiju (4) za povećanje kibernetičke sigurnosti za građane Europe:

—	Stup pouzdanja i sigurnosti Digitalnog programa obuhvaća 14 mjera usmjerenih na povećanje kibernetičke sigurnosti i zaštitu podataka.

—	Direktivom o kibernetičkim napadima (5), koja se u nacionalno zakonodavstvo mora prenijeti do 4. rujna 2015., propisane su minimalne upute za definiranje kaznenih djela na tom području i kazne za osobe proglašene krivima za takva kaznena djela.

—	Kako bi se povećalo znanje o kibernetičkoj sigurnosti i olakšala prekogranična suradnja među državama članicama, EU je ojačao mandat Europske agencije za sigurnost mreža i podataka (ENISA).

—	Radi suzbijanja kibernetičkog kriminala, pri Europolu je uspostavljen Europski centar za kibernetički kriminal (EC3).

—	Cilj inicijative za politiku zaštite ključnih informacijskih infrastruktura (CIIP) jest zaštititi Europu od kibernetičkih smetnji, poput napada, povećanjem kibernetičke sigurnosti i otpornosti diljem Europe.

—	Cilj Strategije za bolji internet za djecu jest osigurati sigurno internetsko okruženje za djecu i boriti se protiv internetskih sadržaja sa seksualnim zlostavljanjem djece, kao i protiv seksualnog iskorištavanja djece.

—

U predloženoj se Direktivi o sigurnosti mreža i podataka (NIS) od država članica zahtijeva da ispune niz uvjeta NIS-a, npr. da osiguraju učinkovit rad tima za hitne računalne intervencije (CERT). U njoj se također navode kriteriji za pružatelje ključne infrastrukture u vezi sa sigurnošću mreže i izvještavanjem.

4.2

EGSO je oštro reagirao na Komisijin prijedlog Direktive o sigurnosti mreža i podataka (NIS) (6) jer je smatrao da su predložene mjere preblage i da ne bi bile dovoljne da prisile države članice da zaštite svoje građane i poduzeća od kibernetičkih napada. Međutim, iako je usvojio predloženu Direktivu, Parlament je dodatno umanjio njezinu učinkovitost tako što je ograničio područje primjene Direktive na pružatelje „ključne infrastrukture”, izbacivši iz nje tražilice, platforme društvenih medija, pristupnike za internetsko plaćanje i pružanje usluga računalstva u oblaku.

4.3

Predložena direktiva NIS nije dovoljna da se osigura zakonodavstvo potrebno za bolju osviještenost o prijetnjama i veću sposobnost reagiranja na kibernetičke napade u Uniji. Odbor se zalaže za donošenje novog zakona kojim bi se na izvještavanje o svim važnim slučajevima povrede kibernetičke sigurnosti obvezalo sve subjekte, a ne samo pružatelje ključne infrastrukture. Izostanak obveznog izvještavanja pomaže računalnim kriminalcima da iskorištavaju neznanje ranjivih meta.

4.4

EU bi također trebao razmotriti produženje ENISA-ina mandata radi povećanja svijesti o prijetnji koju predstavljaju kibernetički napadi i jačanja sposobnosti uzvraćanja na njih diljem Unije. Uloga ENISA-e mogla bi se proširiti tako da ona preuzme neposredniju odgovornost za programe edukacije i osvješćivanja o kibernetičkoj sigurnosti usmjerene posebno na građane te mala i srednja poduzeća.

4.5

Europski centar za kibernetički kriminal (EC3) uspostavljen je pri Europolu 2013. godine radi povećanja sposobnosti Europe za borbu protiv kibernetičkog kriminala. EC3 djeluje kao središnje europsko čvorište za obavještajno praćenje kriminala i pruža podršku državama članicama u njihovom radu i istragama kibernetičkih napada. Međutim, EC3 u svom prvom godišnjem izvješću upozorava da postojeći resursi već ograničavaju napredak u istragama te da se neće moći nositi s količinom velikih istraga koje mu pristižu.

4.6

EU bi od europskih organizacija za normizaciju – CEN-a, CENELEC-a i ETSI-ja – trebao zatražiti da razviju minimalne norme kibernetičke sigurnosti za sav softver, informacijsko-komunikacijski hardver i usluge internetske prodaje u EU-u. Te bi se norme trebale neprekidno ažurirati kako ne bi zaostajale za novim prijetnjama.

4.7

Za sva poduzeća i organizacije, a ne samo za pružatelje ključne infrastrukture, treba važiti zakonska obveza izvještavanja o važnim slučajevima povrede kibernetičke sigurnosti. To bi pridonijelo ublažavanju posljedica postojećih prijetnji i boljem poznavanju i razumijevanju kibernetičkih napada koji se provode te samim time pomoglo nadležnim tijelima, industriji kibernetičke sigurnosti, poduzećima i građanima da poboljšaju kibernetičku sigurnost i bore se protiv prijetnji. Da bi se potaknula razmjena informacija o kibernetičkim napadima, trebalo bi zakonski osigurati odgovarajući stupanj anonimnosti za poduzeća i organizacije koji prijavljuju napad. Također bi se trebalo razmotriti pružanje zaštite od odgovornosti gdje je to prikladno.

4.8

Unatoč inicijativama koje je poduzeo EU, države članice na različitim su stupnjevima sposobnosti i spremnosti, što dovodi do fragmentiranih reakcija na kibernetičke napade diljem EU-a. S obzirom na to da su mreže i sustavi međusobno povezani, države članice s lošim pristupom kibernetičkoj sigurnosti umanjuju cjelokupnu sposobnost EU-a da se nosi s kibernetičkim napadima. Mora se poraditi na postizanju minimalne prihvatljive razine kibernetičke sigurnosti u svim državama članicama. Posebnu pažnju treba posvetiti tome da svaka država članica dobije potpuno operativan tim za hitne računalne intervencije (CERT).

4.9

Kao što se već očitovao u prethodnim mišljenjima (7), Odbor smatra da dobrovoljne mjere nisu učinkovite u povećanju zaštite EU-a od kibernetičkih napada te da su potrebne stroge zakonske obveze za države članice u pogledu usklađivanja, vođenja i provedbe europske politike kibernetičke sigurnosti.

4.10

Ukratko, kako bi mogla osigurati stvarnu i najsuvremeniju zaštitu građana i poduzeća od kibernetičkih napada, ta bi se EU-ova politika kibernetičke sigurnosti trebala usmjeriti na sljedeće mjere:

—	odlučno vodstvo EU-a koje uspostavlja politike, zakone i institucije radi poticanja visoke razine kibernetičke sigurnosti diljem Unije;

—	politike kibernetičke sigurnosti koje poboljšavaju sigurnost pojedinaca i zajednice te istodobno štite prava građana na privatnost i druge temeljne vrijednosti i slobode;

—	visoki stupanj osviještenosti građana o rizicima prilikom korištenja interneta te poticanje proaktivnog pristupa zaštiti njihovih digitalnih uređaja, identiteta, privatnosti i internetskih transakcija;

—	sveobuhvatno upravljanje kojim države članice nastoje osigurati sigurnost i otpornost ključnih informacijskih infrastruktura;

—	svjesno i odgovorno djelovanje svih poduzeća kako bi se osigurala sigurnost i otpornost njihovih informacijskih i komunikacijskih sustava te kako bi se zaštitilo poslovanje i interesi njihovih klijenata;

—	proaktivni pristup davatelja internetskih usluga zaštiti svojih klijenata od kibernetičkih napada;

—	tijesnu suradnju, na strateškoj i operativnoj razini, na području kibernetičke sigurnosti diljem Europe između vlada, privatnog sektora i građana;

—	ugrađivanje kibernetičke zaštite u internetske tehnologije i usluge već prilikom njihova razvoja;

—	odgovarajuće razine ulaganja u razvoj znanja i vještina u vezi s kibernetičkom sigurnošću radi razvoja stručne radne snage na tom području;

—	dobre tehničke standarde za kibernetičku sigurnost i dovoljna ulaganja u istraživanja, razvoj i inovacije radi pružanja podrške razvoju snažne industrije kibernetičke sigurnosti i visokokvalitetnih rješenja;

—	aktivnu međunarodnu suradnju s državama koje nisu članice EU-a radi razvoja usklađene svjetske politike i reakcija na prijetnje kibernetičkoj sigurnosti.

Bruxelles, 10. srpnja 2014.

Predsjednik Europskog gospodarskog i socijalnog odbora

Henri MALOSSE

(1) SL C 24, 28.1.2012., str. 40.; SL C 76, 14.3.2013., str. 59.

(2) SL C 97, 28.4.2007., str. 21.;

SL C 175, 28.7.2009., str. 92.;

SL C 255, 22.9.2010., str. 98.;

SL C 54, 19.2.2011., str. 58.;

SL C 107, 6.4.2011., str. 58.;

SL C 229, 31.7.2012., str. 90.;

SL C 218, 23.7.2011., str. 130.;

SL C 24, 28.1.2012., str. 40.