Informační společnost v červenci 2020

10.08.2020
Euroskop

Členské státy podaly zprávu o provádění evropského souboru opatření k zabezpečení sítí 5G, EU poprvé uložila sankce za kybernetické útoky

  • EU hodnotila zabezpečení sítí 5G

  • Za kybernetické útoky byly poprvé uděleny sankce

Krátce…

Členské státy podaly zprávu o provádění evropského souboru opatření k zabezpečení sítí 5G

  • Zavedení sítí 5G je pro všechny členské státy strategicky důležité, protože může otevřít nové příležitosti pro podniky.

  • Zpráva potvrzuje odhodlání EU a poukazuje na oblasti, které si zasluhují pozornost a na kterých je třeba dále pracovat.

  • Sítě 5G jsou významné coby centrální kritická infrastruktura pro budoucí technologie, a proto je důležité, aby jejich zavádění mohlo postupovat rychle a bezpečně.

Členské státy 24. 7. 2020 zveřejnily za podpory Komise a agentury ENISA (Agentury EU pro kybernetickou bezpečnost) zprávu o pokroku při provádění společného evropského souboru opatření ke zmírnění rizik. Na tom se dohodly v lednu 2020, kdy jej také podpořila Komise ve svém sdělení z ledna 2020. Ve zmiňovaném souboru je vytyčen společný přístup k řešení bezpečnostních rizik, která jsou spojena se zaváděním páté generace mobilních sítí, tzv. sítí 5G. Soubor vychází z posouzení zjištěných hrozeb a spočívá v přiměřených zmírňujících opatřeních. V mnoha členských státech se na realizaci opatření ještě stále pracuje, ale zpráva konstatuje, že všechny země EU začaly v souvislosti se sítěmi 5G přezkoumávat a zlepšovat příslušná bezpečnostní opatření, což svědčí o tom, že se s koordinovaným přístupem stanoveným na úrovni EU plně ztotožňují. U každého opatření, které je v souboru navrženo, zpráva mapuje stav jeho provádění, resp. co již členské státy učinily a v jakých oblastech naopak opatření dosud realizována nebyla. V návaznosti na výzvu Evropské rady ke stanovení společného přístupu k bezpečnosti sítí 5G přijala Komise v březnu 2019 doporučení ohledně kybernetické bezpečnosti sítí 5G. Vyzvala v něm členské státy, aby provedly vnitrostátní posouzení rizik a přezkoumaly domácí opatření. Na úrovni EU pak měly země spolupracovat na koordinovaném posouzení rizik a vypracovat společný soubor opatření k jejich zmírnění. Na základě vnitrostátních posouzení rizik, která provedly členské státy, pak zpráva o celounijním koordinovaném posouzení rizik v oblasti kybernetické bezpečnosti sítí 5G, předložená v říjnu 2019, určila hlavní hrozby a aktéry hrozeb, nejcitlivější aktiva, hlavní slabiny a řadu strategických rizik, více v příspěvku „V EU začal platit akt o kybernetické bezpečnosti“, Informační společnost v červnu 2019, v příspěvku „Členské státy vypracovaly vnitrostátní posouzení rizik v otázce bezpečnosti sítí 5G“, Informační společnost v červenci 2019 a v příspěvku „EU upozorňuje na rizika sítí 5G“, Informační společnost v říjnu 2019. Jako doplněk k této zprávě a jako další podklad pro plánovaný soubor opatření provedla agentura ENISA speciální analýzu hrozeb, ve které rozebrala určité technické aspekty, zejména identifikaci síťových aktiv a nebezpečí, kterým jsou vystavena. V lednu 2020 přijaly členské státy prostřednictvím skupiny pro spolupráci v oblasti bezpečnosti sítí a informací evropský soubor opatření pro zmírnění rizik. V tentýž den také Komise přijala sdělení, v němž tento soubor opatření podpořila. Zdůraznila význam jeho účinného a rychlého provedení a členské státy vyzvala, aby do 30. 6. 2020 připravily o jeho provádění zprávu. Předložená zpráva analyzuje, jak členské státy pokročily v provádění souboru opatření dohodnutých na úrovni EU, a vyvozuje několik závěrů. Ve většině členských států byly posíleny nebo jsou posilovány pravomoci vnitrostátních regulačních orgánů k regulování zabezpečení sítí 5G, včetně pravomocí řídit pořizování síťového vybavení a služeb ze strany operátorů. V několika členských státech již existují opatření, která mají omezit zapojení dodavatelů na základě jejich rizikového profilu. V mnoha dalších zemích EU se tato opatření nacházejí v pokročilé fázi přípravy. Ostatní členské státy zpráva vybízí, aby pokračovaly v práci a proces v nadcházejících měsících dokončily. Pokud jde o přesný rozsah omezení, zpráva zdůrazňuje, že je důležité nahlížet na síť jako celek a zabývat se hlavními prvky sítě a rovněž dalšími prvky, které jsou kritické a vysoce citlivé, včetně řídicích funkcí a rádiové přístupové sítě. Omezení je třeba stanovit i pro další klíčová aktiva, např. pro vymezené zeměpisné oblasti nebo pro vládní či jiné stěžejní subjekty. Pro operátory, kteří již uzavřeli smlouvy s rizikovými dodavateli, by měla být stanovena přechodná období. Většina členských států přezkoumává požadavky na mobilní operátory, pokud jde o zabezpečení a odolnost sítí. Zpráva podtrhává, že je důležité zajistit, aby tyto požadavky byly zpřísněny, aby se řídily nejnovějšími a nejmodernějšími postupy a aby jejich dodržování ze strany operátorů bylo účinně kontrolováno a prosazováno. Na druhou stranu je zapotřebí zapracovat na tom, aby se zmírnilo nebezpečí závislosti na rizikových dodavatelích, i s ohledem na snížení závislosti na úrovni Unie. Základem by mělo být důkladné zmapování dodavatelského řetězce sítí a také bude třeba sledovat, jak se situace vyvíjí. Ze zprávy vyplývá, že se zjistily problémy v koncepci a prosazování vhodných strategií spočívajících ve využívání více dodavatelů pro jednotlivé operátory mobilních sítí na vnitrostátní úrovni, a to kvůli technickým nebo provozním potížím (např. nedostatečné interoperabilitě nebo velikosti země). Pokud jde o prověřování přímých zahraničních investic, třinácti členským státům ještě chybí potřebný národní mechanismus, který by měly bezodkladně zavést, mimo jiné i proto, že již brzy (od října 2020) začne platit rámec EU pro prověřování investic. Tyto prověřovací mechanismy by se měly používat v případě investičních změn, které by mohly mít dopad na hodnotový řetězec 5G, s přihlédnutím k cílům dohodnutého souboru opatření. Zpráva také doporučuje, aby v další fázi orgány členských států: při provádění opatření v rámci dohodnutého souboru vzájemně sdílely více informací o problémech, osvědčených postupech a řešeních; dále monitorovaly a vyhodnocovaly provádění souboru; nadále spolupracovaly s Komisí na krocích, které je v rámci souboru potřeba učinit na úrovni EU, mimo jiné v oblasti normalizace a certifikace, nástrojů na ochranu obchodu a pravidel hospodářské soutěže, aby se zabránilo narušení trhu s dodávkami 5G. Taktéž je třeba investovat do kapacit EU v oblasti technologií 5G a technologií, které budou následovat po 5G, a zajistit, aby projekty 5G podporované z veřejných prostředků braly v potaz kybernetická bezpečnostní rizika. Komise má dále pracovat s členskými státy a agenturou ENISA v rámci skupiny pro spolupráci v oblasti bezpečnosti sítí a informací, aby bylo monitorováno provádění dohodnutého souboru opatření a bylo zajištěno jeho účinné a jednotné uplatňování. V rámci provádění doporučení Komise, které bylo přijato v roce 2019, by členské státy měly do října 2020 ve spolupráci s Komisí zhodnotit jeho účinky a rozhodnout, zda jsou zapotřebí další kroky. Hodnocení by mělo zohlednit výsledky koordinovaného posouzení rizik na úrovni EU, jež bylo zveřejněno v říjnu 2019, a účinnost opatření v rámci dohodnutého souboru.

EU poprvé uložila sankce za kybernetické útoky

  • Omezující opatření zahrnují zákaz cestování a zmrazení majetku.

  • Opatření mají mít odrazující účinek.

Rada 30. 7. 2020 rozhodla o uložení omezujících opatření vůči 6 osobám a 3 subjektům, které jsou odpovědné za kybernetické útoky nebo do nich byly zapojeny. Patří mezi ně pokus o kybernetický útok namířený proti Organizaci pro zákaz chemických zbraní (OPCW), útoky známé pod označením ‚WannaCry‛ ‚NotPetya‛ a ‚Operation Cloud Hopper‛. Omezující opatření zahrnují zákaz cestování a zmrazení majetku. Osoby a subjekty z EU kromě toho nesmějí osobám a subjektům zařazeným na seznam zpřístupňovat finanční prostředky. Sankce jsou jednou z možností, jež nabízí soubor nástrojů EU pro diplomacii v oblasti kybernetiky, umožňujících předcházet nepřátelským činnostem v kyberprostoru namířeným proti EU nebo jejím členským státům, odrazovat od nich a reagovat na ně, přičemž EU tento nástroj využila vůbec poprvé. Právní rámec, jímž se zavádí režim cílených omezujících opatření v případě kybernetických útoků, byl přijat v květnu 2019. EU se snaží zvyšovat svou odolnost a schopnost předcházet kybernetickým hrozbám a nepřátelským činnostem v kyberprostoru, odrazovat od nich a reagovat na ně s cílem zajistit bezpečnost EU a chránit její zájmy. V červnu 2017 EU svou reakci zintenzivnila zřízením rámce pro společnou diplomatickou reakci EU na nepřátelské činnosti v kyberprostoru (tzv. soubor nástrojů pro diplomacii v oblasti kybernetiky). Tento rámec EU a jejím členským státům umožňuje využívat všech opatření SZBP, a to v nezbytných případech i včetně omezujících opatření, k tomu, aby předcházela nepřátelským činnostem v kyberprostoru namířeným proti integritě a bezpečnosti EU a jejích členských států, odrazovala od nich a reagovala na ně. Cílená omezující opatření mají mít odrazující účinek. EU chce usilovat o celosvětový, otevřený, stabilní, mírový a bezpečný kyberprostor, a znovu proto zdůrazňuje, že je zapotřebí posílit mezinárodní spolupráci s cílem prosazovat v této oblasti řád založený na pravidlech.

Sdílet tento příspěvek

Další aktuality