Μια σειρά από νέα εργαλεία για την αύξηση της ψηφιακής ασφάλειας πρότεινε χθες η Ευρωπαϊκή Επιτροπή, προκειμένου να αναβαθμιστεί η ανθεκτικότητα και η αντίδραση της ΕΕ στις ψηφιακές επιθέσεις. Μεταξύ των προτάσεων περιλαμβάνεται και η σύσταση ενός Ευρωπαϊκού οργανισμού ψηφιακής ασφάλειας, που θα συμβάλει στην προστασία των Ευρωπαίων από τέτοιες επιθέσεις.
Σύμφωνα με την επιτροπή, οι Ευρωπαίοι εμπιστεύονται πολύ τις ψηφιακές τεχνολογίες, καθώς αυτές παρέχουν στους πολίτες νέες ευκαιρίες επικοινωνίας, διευκολύνουν τη διάδοση πληροφοριών και αποτελούν τη ραχοκοκαλιά της ευρωπαϊκής οικονομίας.
Ωστόσο, έχουν επίσης δημιουργήσει νέους κινδύνους, με τις απόπειρες κρατικών και μη κρατικών παραγόντων να κλέψουν δεδομένα, να διαπράξουν απάτες ή ακόμη και να αποσταθεροποιήσουν κυβερνήσεις να αυξάνονται διαρκώς. Κατά τη χρονιά που μας πέρασε, σημειώνονταν πάνω από 4.000 επιθέσεις με λυτρισμικό (ransomware) κάθε μέρα και το 80% των ευρωπαϊκών επιχειρήσεων βίωσε τουλάχιστον ένα επεισόδιο ψηφιακής ασφάλειας. Οι οικονομικές επιπτώσεις των ψηφιακών εγκλημάτων έχουν πενταπλασιαστεί κατά τη διάρκεια των τελευταίων τεσσάρων μόλις ετών.
Με σκοπό να εξοπλίσουν την Ευρώπη με τα κατάλληλα εργαλεία για την αντιμετώπιση των ψηφιακών επιθέσεων, η Ευρωπαϊκή Επιτροπή και η Ύπατη Εκπρόσωπος προτείνουν μια ευρεία δέσμη μέτρων για την οικοδόμηση ισχυρής ψηφιακής ασφάλειας για την ΕΕ. Στα μέτρα αυτά περιλαμβάνονται η σύσταση ενός οργανισμού της ΕΕ για την ψηφιακή ασφάλεια, ο οποίος θα συνδράμει τα κράτη μέλη στην αντιμετώπιση ψηφιακών επιθέσεων, καθώς και η θέσπιση ενός νέου ευρωπαϊκού συστήματος πιστοποίησης, το οποίο θα διασφαλίζει ότι προϊόντα και υπηρεσίες του ψηφιακού κόσμου είναι ασφαλή προς χρήση.
Όπως αναφέρει η ΕΕ, με τις πρόσφατες επιθέσεις με χρήση λυτρισμικού, τη δραματική αύξηση του κυβερνοεγκλήματος, την ολοένα και αυξανόμενη χρήση μέσων του κυβερνοχώρου από κρατικούς παράγοντες για την επιδίωξη των γεωπολιτικών τους στόχων και τη διαφοροποίηση των επεισοδίων κυβερνοασφάλειας, η ΕΕ πρέπει να καταστεί ανθεκτικότερη στις κυβερνοεπιθέσεις και να αναπτύξει αποτελεσματικές ενωσιακές ικανότητες αποτροπής στον κυβερνοχώρο και ποινικοδικαιικές απαντήσεις, ώστε να προστατεύονται καλύτερα οι πολίτες, οι επιχειρήσεις και οι δημόσιοι οργανισμοί της Ευρώπης. Αυτός είναι και ο σκοπός της σημερινής δέσμης μέτρων για την κυβερνοασφάλεια.
Ένας οργανισμός της ΕΕ για την ψηφιακή ασφάλεια: Βασιζόμενος στον υφιστάμενο οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), ο νέος οργανισμός θα έχει ως μόνιμη εντολή να συνδράμει τα κράτη μέλη στην αποτελεσματική αποτροπή και αντιμετώπιση κυβερνοεπιθέσεων. Ο νέος οργανισμός θα ενισχύσει την ετοιμότητα αντίδρασης της ΕΕ μέσω της διοργάνωσης ετήσιων πανευρωπαϊκών ασκήσεων με αντικείμενο την ψηφιακή ασφάλεια, καθώς και μέσω της διασφάλισης της καλύτερης ανταλλαγής πληροφοριών και γνώσεων σχετικά με απειλές, η οποία θα επιτευχθεί με τη δημιουργία κέντρων ανταλλαγής και ανάλυσης πληροφοριών. Επιπλέον, ο νέος οργανισμός θα συμβάλει στην εφαρμογή της οδηγίας για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, η οποία προβλέπει υποχρεώσεις κοινοποίησης των σοβαρών συμβάντων στις εθνικές αρχές.
Ο οργανισμός για την ψηφιακή ασφάλεια θα συμβάλει επίσης στη θέσπιση και εφαρμογή του πλαισίου πιστοποίησης ενωσιακού επιπέδου, το οποίο προτείνει η Επιτροπή για να εξασφαλίζεται ότι προϊόντα και υπηρεσίες είναι ασφαλή σε επίπεδο ψηφιακού περιβάλλοντος. Όπως μπορούν σήμερα οι καταναλωτές να έχουν εμπιστοσύνη στα τρόφιμα που καταναλώνουν χάρη στις ενωσιακές επισημάνσεις των τροφίμων, νέα ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας θα διασφαλίζουν την αξιοπιστία των δισεκατομμυρίων συσκευών (“διαδίκτυο των πραγμάτων”) στις οποίες βασίζονται οι σύγχρονες υποδομές ζωτικής σημασίας, όπως τα δίκτυα ενέργειας και μεταφορών, αλλά και νέων καταναλωτικών προϊόντων, όπως τα συνδεδεμένα αυτοκίνητα. Τα εκδιδόμενα πιστοποιητικά ψηφιακής ασφάλειας θα αναγνωρίζονται σε όλα τα κράτη μέλη, με αποτέλεσμα να μειωθεί ο διοικητικός φόρτος και το κόστος που σήμερα βαρύνουν τις επιχειρήσεις.
Ενίσχυση των ικανοτήτων της ΕΕ στον τομέα της ψηφιακής ασφάλειας
Αποτελεί στρατηγικό συμφέρον της ΕΕ να εξασφαλίσει ότι τα τεχνολογικά εργαλεία κυβερνοασφάλειας αναπτύσσονται κατά τρόπο ώστε, αφενός, να προάγουν την άνθηση της ψηφιακής οικονομίας και, αφετέρου, να προστατεύουν την ασφάλεια, την κοινωνία και τη δημοκρατία. Στην προστασία αυτή περιλαμβάνεται η προστασία των κρίσιμων πόρων υλισμικού και λογισμικού. Με στόχο την ενίσχυση των ικανοτήτων της ΕΕ στον τομέα της κυβερνοασφάλειας, η Επιτροπή και η Ύπατη Εκπρόσωπος προτείνουν:
– Ένα Ευρωπαϊκό κέντρο έρευνας και ικανοτήτων στον τομέα της ψηφιακής ασφάλειας (με τη σύσταση μιας πιλοτικής δομής εντός του 2018). Σε συνεργασία με τα κράτη μέλη, το κέντρο αυτό θα συμβάλλει στην ανάπτυξη και καθιέρωση των εργαλείων και των τεχνολογιών που χρειάζονται για να μπορεί η Ευρώπη να ανταποκρίνεται σε μια διαρκώς μεταβαλλόμενη απειλή και να διασφαλίζει ότι οι άμυνές της είναι εξίσου προηγμένες με τα όπλα που χρησιμοποιούν οι ψηφιακοί εγκληματίες. Επιπλέον, θα συμπληρώνει τις προσπάθειες που καταβάλλονται σε ενωσιακό και εθνικό επίπεδο για την ανάπτυξη ικανοτήτων στον τομέα αυτό.
– Ένα σχέδιο στρατηγικής για την αντιμετώπιση από την Ένωση και τα κράτη μέλη μεγάλης κλίμακας ψηφιακών επιθέσεων κατά τρόπο ταχύ, λειτουργικό και συντονισμένο. Η προτεινόμενη διαδικασία καθορίζεται σε σύσταση που εκδόθηκε την προηγούμενη εβδομάδα. Επιπλέον, η σύσταση καλεί τα κράτη μέλη και τα θεσμικά όργανα της ΕΕ να θεσπίσουν ένα ενωσιακό πλαίσιο αντιμετώπισης κρίσεων ψηφιακής ασφάλειας, ώστε να καταστεί το σχέδιο στρατηγικής λειτουργικό. Αυτό θα υποβάλλεται τακτικά σε δοκιμές στο πλαίσιο ασκήσεων διαχείρισης κρίσεων στο ψηφιακό περιβάλλον και άλλων κρίσεων.
– Περισσότερη αλληλεγγύη: Στο μέλλον, θα πρέπει να εξεταστεί το ενδεχόμενο σύστασης ενός νέου ταμείου αντιμετώπισης επειγουσών απειλών ψηφιακής ασφάλειας για τα κράτη μέλη που θα έχουν εφαρμόσει με υπευθυνότητα όλα τα μέτρα ψηφιακής ασφάλειας που θα επιβάλλει η ενωσιακή νομοθεσία. Το ταμείο αυτό θα μπορεί να παρέχει επείγουσα βοήθεια σε στήριξη των κρατών μελών — κατά το πρότυπο του μηχανισμού πολιτικής προστασίας της Ένωσης, ο οποίος χρησιμοποιείται για να παρασχεθεί βοήθεια σε περιπτώσεις δασικών πυρκαγιών ή φυσικών καταστροφών.
– Ενίσχυση των ικανοτήτων ψηφιακής άμυνας: Τα κράτη μέλη παροτρύνονται να συμπεριλάβουν την ψηφιακή άμυνα στο πλαίσιο της μόνιμης διαρθρωμένης συνεργασίας (PESCO) και του Ευρωπαϊκού Ταμείου Άμυνας, για την υποστήριξη έργων ψηφιακής άμυνας. Το Ευρωπαϊκό Κέντρο Έρευνας και Ικανοτήτων στον τομέα της ψηφιακής ασφάλειας θα μπορούσε επίσης να αναπτυχθεί περαιτέρω με την προσθήκη της διάστασης της ψηφιακής άμυνας.
Για την αντιμετώπιση του ελλείμματος δεξιοτήτων στον τομέα της ψηφιακής άμυνας, η ΕΕ θα δημιουργήσει, εντός του 2018, μια πλατφόρμα εκπαίδευσης και επιμόρφωσης στον εν λόγω τομέα. Η ΕΕ και το ΝΑΤΟ θα προάγουν από κοινού τη συνεργασία στο πεδίο της έρευνας και της καινοτομίας στον τομέα της κυβερνοάμυνας. Η συνεργασία με το ΝΑΤΟ, συμπεριλαμβανομένης της συμμετοχής σε παράλληλες και συντονισμένες ασκήσεις, θα διευρυνθεί.
– Ενίσχυση της διεθνούς συνεργασίας: Η ΕΕ θα ενισχύσει την απόκρισή της στις ψηφιακές επιθέσεις με την εφαρμογή του πλαισίου για κοινή διπλωματική αντίδραση της ΕΕ έναντι κακόβουλων δραστηριοτήτων στον ψηφιακό χώρο, το οποίο στηρίζει ένα στρατηγικό πλαίσιο για την πρόληψη των συγκρούσεων και τη σταθερότητα στον ψηφιακό χώρο. Αυτό θα συνδυαστεί με νέες προσπάθειες οικοδόμησης ικανοτήτων στον ψηφιακό χώρο, με στόχο να βοηθηθούν τρίτες χώρες στην αντιμετώπιση ψηφιακών απειλών.
Διατύπωση μιας αποτελεσματικής ποινικοδικαιικής απόκρισης
Μια αποτελεσματικότερη απόκριση των αρχών επιβολής του νόμου, η οποία θα εστιάζεται στον εντοπισμό, την ιχνηλάτηση και τη δίωξη των ψηφιακών εγκληματιών, είναι κρίσιμη για τη δημιουργία ενός αποτελεσματικού αντικινήτρου στη διάπραξη τέτοιων εγκλημάτων. Ως εκ τούτου, η Επιτροπή προτείνει την ενίσχυση της αποτρεπτικής ισχύος μας μέσω νέων μέτρων για την καταπολέμηση της απάτης και της πλαστογραφίας που αφορούν στα μέσα πληρωμής πλην των μετρητών.
Η προτεινόμενη οδηγία θα ενισχύσει τις δυνατότητες των Αρχών επιβολής του νόμου να αντιμετωπίζουν την εγκληματικότητα αυτής της μορφής, μέσω της διεύρυνσης της υπόστασης των αδικημάτων που σχετίζονται με τα συστήματα πληροφοριών ώστε να συμπεριληφθούν όλες οι πράξεις πληρωμής, συμπεριλαμβανομένων των πράξεων σε εικονικά νομίσματα. Επιπλέον, η εν λόγω οδηγία θα θεσπίσει κοινούς κανόνες σχετικά με το επίπεδο των ποινών και θα αποσαφηνίσει το πεδίο της δικαιοδοσίας των κρατών μελών ως προς τα αδικήματα αυτά.
Με στόχο τη διευκόλυνση της αποτελεσματικής διερεύνησης και δίωξης των εγκλημάτων που διαπράττονται μέσω του ψηφιακού χώρου, η Επιτροπή θα υποβάλει επίσης, στις αρχές του 2018, προτάσεις για τη διευκόλυνση της διασυνοριακής πρόσβασης σε ηλεκτρονικά αποδεικτικά στοιχεία. Επιπροσθέτως, έως τον Οκτώβριο, η Επιτροπή θα παρουσιάσει τις θέσεις της σχετικά με τον ρόλο της κρυπτογράφησης στο πλαίσιο των ποινικών ερευνών.
