16.12.2014   

SK

Úradný vestník Európskej únie

C 451/31

Spravodajca:

pán McDONOGH

1.1

Výbor by privítal vytvorenie orgánu zameraného na kybernetickú bezpečnosť na úrovni EÚ, analogického ústrednému orgánu v leteckom priemysle, Európskej agentúre pre bezpečnosť letectva (EASA), ktorý by na úrovni EÚ zabezpečil silné vedenie potrebné na riešenie ťažkostí pri zavádzaní účinnej celoeurópskej politiky v oblasti kybernetickej bezpečnosti.

1.2

Informovaní a schopní občania majú pre spoľahlivú kybernetickú bezpečnosť v Európe zásadný význam. Vzdelávanie občanov v oblasti osobnej kybernetickej bezpečnosti a ochrany údajov by malo byť základnou súčasťou učebných osnov a školiacich programov na pracovisku. Okrem toho by EÚ mala podnecovať verejné informačné programy a iniciatívy v celej Únii venované týmto témam.

1.3

Podniky by mali mať zákonnú povinnosť aktívne pristupovať k vlastnej ochrane pred kybernetickými útokmi, vrátane bezpečných a odolných informačných a komunikačných technológií (IKT) a školení pre pracovníkov v oblasti bezpečnostných politík podobných tým, ktoré už existujú v oblasti bezpečnosti a ochrany zdravia.

1.4

Každý členský štát by mal mať organizáciu, ktorej úlohou je informovať, vzdelávať a podporovať sektor MSP, pokiaľ ide o problematiku najlepších postupov v oblasti kybernetickej bezpečnosti. Veľké firmy môžu potrebné znalosti získať ľahko, MSP však potrebujú podporu.

1.5

Mal by sa rozšíriť mandát Agentúry Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA) a mali by sa zabezpečiť finančné prostriedky potrebné na prevzatie priamejšej zodpovednosti za vzdelávanie v oblasti kybernetickej bezpečnosti a informačné programy zamerané osobitne na občanov a malé a stredné podniky (MSP).

1.6

Podniky a organizácie musia zvýšiť informovanosť o zodpovednosti za kybernetickú bezpečnosť na úrovni riadiacich orgánov. O potenciálnej zodpovednosti podnikov vyplývajúcej z neprimeranej politiky a krokov v oblasti kybernetickej bezpečnosti by sa mali výslovne informovať členovia riadiacich orgánov všetkých organizácií.

1.7

Keďže všetci poskytovatelia internetových služieb v EÚ majú zásadnú úlohu pri poskytovaní online služieb, mali by mať osobitnú povinnosť chrániť svojich zákazníkov pred kybernetickými útokmi. Táto povinnosť by sa mala vymedziť v právnych predpisoch na úrovni EÚ a do týchto predpisov začleniť.

1.8

Na to, aby sa zaistilo urýchlené využitie ohromného potenciálu v oblasti hospodárskeho rastu spôsobeného dynamickým rozvojom tzv. cloud computingu (1), mali by sa osobitné bezpečnostné požiadavky a povinnosti na úrovni EÚ uložiť aj poskytovateľom cloudových služieb.

1.9

Výbor sa domnieva, že dobrovoľné opatrenia sú nepostačujúce a že teda musia existovať silné regulačné povinnosti pre členské štáty, aby zaistili harmonizáciu, správu vecí verejných a presadzovanie európskej kybernetickej bezpečnosti. Taktiež sú potrebné právne predpisy, na základe ktorých bude oznamovanie významných incidentov v oblasti kybernetickej bezpečnosti povinné pre všetky podniky a organizácie, nielen pre poskytovateľov kritickej infraštruktúry. To by pomohlo zlepšiť reakciu Európy na hrozby, ako aj rozšíriť znalosti o kybernetických útokoch a lepšie ich pochopiť, vďaka čomu bude možné vytvoriť lepšie obranné prvky.

1.10

Výbor dôrazne odporúča, aby EÚ zaujala prístup k riešeniu hrozby kybernetických útokov založený na plánovaní, a to tak, že zaistí, aby všetky technológie a služby používané v Európe na poskytovanie pripojenia na internet a online služieb boli projektované tak, aby poskytovali najvyššiu možnú úroveň ochrany pred kybernetickými útokmi. Úvahy pri plánovaní by sa mali osobitne zameriavať na rozhranie človek-stroj.

1.11

EHSV si želá, aby európske organizácie pre normalizáciu vytvorili a rozšírili zásadné normy v oblasti kybernetickej bezpečnosti týkajúce sa všetkých IKT sieťových technológií a služieb. Tieto normy by mali zahŕňať povinný kódex postupov zaisťujúci, aby všetky IKT zariadenia a internetové služby predávané európskym občanom spĺňali najvyššie možné normy.

1.12

EÚ musí bezodkladne konať a zaistiť, aby každý členský štát mal zavedený plne funkčný tím reakcie na núdzové počítačové situácie (CERT) a mohol tak chrániť seba aj Európu pred kybernetickými útokmi.

1.13

Výbor žiada, aby Európske centrum boja proti počítačovej kriminalite (EC3) pri Europole dostalo ďalšie finančné prostriedky, ktoré potrebuje na boj proti počítačovej kriminalite a na posilnenie spolupráce medzi policajnými zložkami v Európe a so zložkami za hranicami Únie, aby sa zlepšila schopnosť Európy zadržiavať a trestne stíhať páchateľov počítačovej kriminality.

1.14

Možno teda zhrnúť, že podľa EHSV je nutné, aby politika EÚ v oblasti kybernetickej bezpečnosti spĺňala predovšetkým tieto nároky: silné vedúce postavenie EÚ; politiky v oblasti kybernetickej bezpečnosti, ktoré zvyšujú bezpečnosť a súčasne zachovávajú súkromie a iné základné práva; zvyšovanie informovanosti občanov a podpora aktívnych prístupov k ochrane; komplexná verejná správa členských štátov; informované a zodpovedné kroky podnikov; intenzívne partnerstvo medzi verejnou správou, súkromným sektorom a občanmi; primeraná úroveň investícií; dobré technické normy a dostatočné investície do výskumu, vývoja a inovácií; medzinárodná angažovanosť. Výbor preto opäť zdôrazňuje svoje odporúčania, ktoré sa týkajú politiky v oblasti kybernetickej bezpečnosti, ako ich vyjadril v mnohých predošlých stanoviskách (2), a vyzýva Komisiu, aby na opatrenia v nich požadované nadviazala.

2.1

Internetové hospodárstvo generuje viac než jednu pätinu rastu HDP v EÚ a 200 miliónov Európanov každoročne nakupuje online. Naše životne dôležité energetické, zdravotnícke, vládne a finančné služby sú závislé od internetu a s ním spojených digitálnych technológií. Kritická digitálna infraštruktúra a služby, ktoré zohrávajú takú zásadnú úlohu v našich hospodárskych a sociálnych životoch, sú však vystavené čoraz väčšiemu riziku kybernetických útokov, ktoré ohrozujú našu prosperitu a kvalitu života.

2.2

Výbor sa domnieva, že čoraz väčšej závislosti Únie od internetu a digitálnych technológií dostatočne nezodpovedajú postupy a politiky poskytujúce primeranú úroveň kybernetickej bezpečnosti v celej Európe dnes a do budúcnosti. Zámerom tohto stanoviska je zvýrazniť medzery, ktoré výbor vidí v politike EÚ v oblasti kybernetickej bezpečnosti a odporučiť vylepšenia, ktoré by zlepšili zmierňovanie rizík v oblasti kybernetických útokov.

2.3

Motivácia kybernetických útokov sa môže výrazne odlišovať: od veľmi osobnej, napríklad pomsta voči osobe alebo spoločnosti, po kybernetickú špionáž zo strany národných štátov a kybernetickú vojnu medzi krajinami. Pri príprave tohto stanoviska sme sa rozhodli zúžiť jeho rozsah tak, aby sa zaberalo výhradne kybernetickými útokmi s kriminálnou motiváciou, a to s cieľom zamerať odporúčania na problémy, ktoré väčšinu výboru zaujímajú primárne. Zložitá politická diskusia o kybernetických útokoch zo strany členských štátov proti občanom a iným štátom môže byť témou ďalšieho stanoviska v budúcnosti.

2.4

Toto stanovisko sa zoberá len peňažne motivovanými kybernetickými útokmi zločincov v oblasti počítačovej kriminality, ktoré tvoria veľkú väčšinu útokov. Zavedením politík a postupov v oblasti kybernetickej bezpečnosti na účinné riešenie kybernetických útokov s kriminálnymi pohnútkami sa znižujú aj riziká vyplývajúce z kybernetických útokov motivovaných politickými či osobnejšími pohnútkami.

2.5

Hoci EÚ dosiahla dobrý pokrok pri realizácii opatrení v oblasti dôvery a bezpečnosti v rámci projektu Digitálna agenda a vytvorila rozsiahlu stratégiu v oblasti kybernetickej bezpečnosti, ktorá rieši väčšinu z vyššie uvedených cieľov, je nutné urobiť viac.

3.1

Kybernetický útok je akýkoľvek typ ofenzívneho kroku cieleného na počítačové informačné systémy, infraštruktúry, počítačové siete a/alebo osobné digitálne zariadenia rôznymi spôsobmi zákerných krokov s cieľom ukradnúť, pozmeniť alebo zničiť konkrétny cieľ. Cieľom môžu byť peniaze, údaje alebo informačné technológie.

3.2

Zločinci v oblasti počítačovej kriminality uskutočňujú kybernetické útoky s cieľom odcudziť peniaze alebo údaje, spáchať podvod, zločinnú špionáž alebo vydieranie. Kybernetické zločinné útoky môžu poškodiť zásadne dôležité siete a služby, od ktorých sme závislí z hľadiska zdravia, bezpečnosti a hospodárskeho blahobytu, a to vrátane vládnych, dopravných a energetických sietí.

3.3

Hrozba vyplývajúca z kybernetických útokov postupuje rovnakým tempom ako naša čoraz väčšia závislosť od internetu a digitálnych technológií. Podľa správy spoločnosti Symantec z nedávneho obdobia sa celkový počet prípadov porušenia ochrany údajov na svete v roku 2013 zvýšil o 62 %, pričom dosiahol viac než 552 miliónov uniknutých záznamov. V týchto prípadoch porušenia ochrany údajov často znamenal únik skutočných mien, dátumov narodenia alebo identifikačných čísiel, zdravotných záznamov či finančných informácií. Okrem toho, až 38 % používateľov mobilných telefónov sa za posledných 12 mesiacov stretlo s mobilnou počítačovou kriminalitou.

3.4

Kybernetické útoky môžu mať významný vplyv na jednotlivé spoločnosti a na hospodárstvo Európy ako také:

3.5

Techniky kybernetických útokov sa neustále vyvíjajú:

3.6

Medzi organizáciami, ktoré sa venujú kybernetickej bezpečnosti, panuje zhoda v tom, ktoré prioritné opatrenia by občania a podniky mali prijať, aby sa pred kybernetickými útokmi chránili. O týchto postupoch by sa malo informovať vo všetkých informačných a vzdelávacích programoch zameraných na kybernetickú bezpečnosť:

3.7

V malých podnikoch často chýba dostatočná IT podpora na to, aby dokázali držať krok s potenciálnymi kybernetickými útokmi, preto potrebujú osobitnú pomoc na to, aby sa dokázali chrániť pred kybernetickými útokmi.

3.8

Na boj proti kybernetickým útokom je zásadne dôležité zverejňovanie kybernetických útokov a zraniteľných miest systému, a to najmä pri riešení tzv. útokov nultého dňa, teda nových druhov útokov, ktoré predtým neboli v komunite kybernetickej bezpečnosti známe. Podniky však často kybernetické útoky nezverejňujú zo strachu o povesť a kvôli prípadným nárokom v oblasti zodpovednosti za škodu. Toto nezverejňovanie poškodzuje schopnosť Európy rýchlo a účinne reagovať na kybernetické hrozby a zlepšovať kybernetickú bezpečnosť ako takú prostredníctvom spoločného učenia sa.

3.9

Občania a podniky nakupujú prístup na internet a služby prostredníctvom poskytovateľov internetových služieb. Kvôli ich kriticky dôležitej úlohe pri poskytovaní online služieb je zásadne dôležité, aby poskytovatelia internetových služieb svojim zákazníkom zabezpečovali čo najvyššiu možnú úroveň ochrany pred kybernetickými útokmi. Okrem zaistenia toho, aby ich vlastné služby a infraštruktúra boli vytvorené a udržiavané tak, aby poskytovali najvyššiu úroveň kybernetickej bezpečnosti, mali by poskytovatelia internetových služieb poskytovať svojim zákazníkom vynikajúce rady v oblasti kybernetickej bezpečnosti, a mali by mať zavedené osobitné protokoly na pomoc s identifikáciou kybernetických útokov na zákazníkov v prípade ich výskytu a na boj proti nim. Táto povinnosť by sa mala vymedziť v právnych predpisoch na úrovni EÚ a do týchto predpisov začleniť.

3.10

Urýchlenie zavádzania tzv. cloud computingu do používania občanmi a podnikmi v Európe je pre hospodárstvo EÚ veľmi dôležité (3). Súčasne s tým, ako sa zvyšuje miera spoliehania sa na cloud computing v prípade osobných aj podnikových aplikácií, je pre Európu dôležité predovšetkým zaistiť kybernetickú bezpečnosť poskytovateľov cloudových služieb. Neistota v oblasti bezpečnosti cloudových služieb má nepriaznivý vplyv na mieru zavádzania tejto dynamickej technológie. Výbor si želá, aby EÚ zaviedla osobitné bezpečnostné požiadavky a povinnosti pre poskytovateľov cloudových služieb, s cieľom podporiť vzostup cloud computingu v Európe.

3.11

Je nutné vyvinúť osobitné úsilie o nábor zamestnancov do európskeho odvetvia kybernetickej bezpečnosti. Očakáva sa, že dopyt po pracovníkoch v oblasti informačnej bezpečnosti na úrovni absolventov univerzít sa zvýši o viac než dvojnásobok miery rastu počítačového odvetvia ako celku. V tejto súvislosti výbor upozorňuje Komisiu na úspech tzv. hackerských súťaží v USA a v niektorých členských štátoch v oblasti zvyšovania informovanosti a formovania novej generácie odborníkov na oblasť kybernetickej bezpečnosti.

3.12

Jednou z najlepších stratégií ochrany pred kybernetickými útokmi je prístup založený na plánovaní spočívajúci v tom, že sa zaistí, aby všetky technológie a služby používané v Európe na poskytovanie internetového pripojenia a online služieb boli projektované tak, aby poskytovali najvyššiu možnú úroveň ochrany pred kybernetickými útokmi. Úvahy pri plánovaní by sa mali osobitne zameriavať na rozhranie človek-stroj. To by zahŕňalo spoluprácu medzi výrobcami technológií, poskytovateľmi internetových služieb, centrom EC3, agentúrou ENISA, národnými obrannými a bezpečnostnými agentúrami členských štátov a občanmi. Organizáciu tohto návrhu prístupu ku kybernetickej bezpečnosti by na úrovni EÚ mohla organizovať Komisia a prípadne koordinovať agentúra ENISA.

4.1

EÚ vytvára komplexnú stratégiu (4) zvyšovania kybernetickej bezpečnosti európskych občanov:

4.2

EHSV reagoval na Komisiou predložený návrh smernice o sieťovej a informačnej bezpečnosti (NIS) (6) dôrazne, pretože navrhované opatrenia považoval za príliš mierne, neschopné dostatočne dotlačiť členské štáty k ochrane ich občanov a podnikov pred kybernetickými útokmi. Pri prijímaní navrhovanej smernice však Parlament jej užitočnosť ešte oslabil tým, že jej pôsobnosť striktne obmedzil na poskytovateľov „kritickej infraštruktúry“, čím odstránil povinnosť jej uplatňovania na vyhľadávacie nástroje, platformy sociálnych médií, internetové platobné brány a poskytovateľov služieb cloud computingu.

4.3

Navrhovaná smernica o NIS tak nebude dostatočná na to, aby sa zabezpečili právne predpisy potrebné na zlepšenie informovanosti o hrozbách a schopnosti reakcie na kybernetické útoky v Únii. Výbor si želá prijatie nových právnych predpisov, na základe ktorých bude povinné oznamovanie všetkých významných incidentov v oblasti kybernetickej bezpečnosti, a to nie len v prípade poskytovateľov kritickej infraštruktúry. Chýbajúca oznamovacia povinnosť pomáha kybernetickým zločincom ťažiť z neznalosti zraniteľných cieľov.

4.4

EÚ by mala zvážiť rozšírenie mandátu agentúry ENISA s cieľom posilniť informovanosť o hrozbe kybernetických útokov a zlepšiť schopnosť reakcie na ne v celej Únii. Úloha agentúry ENISA by sa možno mohla rozšíriť tak, aby mala priamejšiu zodpovednosť za vzdelávanie v oblasti kybernetickej bezpečnosti a informačné programy zamerané osobitne na občanov a MSP.

4.5

V roku 2013 bolo pri Europole zriadené Európske centrum boja proti počítačovej kriminalite (EC3) s cieľom zlepšiť schopnosť Európy bojovať proti počítačovej kriminalite. EC3 vystupuje ako ústredný centrum Európy pre spravodajské informácie v oblasti kriminality a podporuje operácie členských štátov a ich vyšetrovanie kybernetických útokov. Vo svojej prvej výročnej správe však EC3 vyslovilo varovanie, že už jeho súčasné prostriedky obmedzujú pokrok v oblasti vyšetrovania, a že EC3 nebude schopné zvládať množstvo významných vyšetrovaní, ktoré k nemu smerujú.

4.6

EÚ by mala požiadať európske organizácie pre normalizáciu – CEN, CENELEC a ETSI – aby vytvorili normy kybernetickej bezpečnosti pre akýkoľvek softvér, IKT hardvér či internetové služby predávané v EÚ. Tieto normy by sa mali neustále aktualizovať, aby zodpovedali novým hrozbám.

4.7

Sú potrebné právne predpisy, na základe ktorých bude oznamovanie významných incidentov v oblasti kybernetickej bezpečnosti povinné pre všetky podniky a organizácie, nie len pre poskytovateľov kritickej infraštruktúry. To by pomohlo zlepšiť zmierňovaciu reakciu na živé hrozby, ako aj znalosti o páchaných kybernetických útokoch a ako ich chápeme, čím sa orgánom, odvetviu kybernetickej bezpečnosti, podnikom a občanom pomôže so zlepšovaním kybernetickej bezpečnosti a v boji proti hrozbám. V záujme podpory výmeny informácií o kybernetických útokoch by akékoľvek právne predpisy mali zabezpečiť primeranú anonymitu podnikov a organizácií informujúcich o útoku. Zvážiť by sa v primeraných prípadoch malo aj poskytnutie ochrany pred zodpovednosťou za škody.

4.8

Napriek iniciatívam EÚ je v jednotlivých členských štátoch veľmi rozdielna úroveň schopnosti a pripravenosti, čo vedie k rozdrobenosti reakcií na kybernetické útoky v EÚ. Keďže siete a systémy sú navzájom prepojené, členské štáty s veľmi slabým prístupom ku kybernetickej bezpečnosti oslabujú celkovú schopnosť EÚ riešiť kybernetické útoky. Je potrebné prijať kroky na dosiahnutie toho, aby všetky členské štáty mali prijateľnú úroveň kybernetickej bezpečnosti. Osobitná pozornosť je potrebná na zaistenie toho, aby každý členský štát mal zavedenú plne funkčný tím reakcie na núdzové počítačové situácie (CERT).

4.9

Ako sa v záujme zvýšenia ochrany EÚ pred kybernetickými útokmi odporúčalo v predošlých stanoviskách (7), výbor sa domnieva, že dobrovoľné opatrenia nefungujú a musia existovať silné, v právnych predpisoch vymedzené povinnosti členských štátov zaistiť harmonizáciu, správu vecí verejných a presadzovanie európskej kybernetickej bezpečnosti.

4.10

Súhrnne povedané: aby politika EÚ v oblasti kybernetickej bezpečnosti bola schopná poskytovať občanom a podnikom skutočnú a aktualizovanú ochranu pred kybernetickými útokmi, mala by sa zameriavať na tieto prvky: