Útoků na evropské instituce v kyberprostoru přibývá. Jak se jim můžeme bránit?

Například před pár týdny se evropské instituce staly terčem kyberútoku z Ruska – čirou náhodou v ten samý den, co jsme se v europarlamentu shodli, že Rusko je stát podporující terorismus. Počet kyberútoků na EU ale za posledních pár let, obzvláště ze strany Ruska a Číny, roste neúměrně rychle. Jen v první polovině roku 2021 jich EU instituce zaznamenaly tolik, jako za celý rok 2020.

Jak se jim tedy máme efektivně bránit? A především, má smysl před zveřejněním bránit absolutně všechny informace? Pokud se chceme jako Evropa skutečně posunout do 21. století, měli bychom na takové otázky znát jasné odpovědi.

Praskliny se zvětšují

Před měsícem jsem se byl podívat do Centra pro kyberbezpečnost EU (CERT-EU), abych  zjistil, v jakém stavu se nachází kyberbezpečnost evropských institucí. Náplní malého týmu odborníků z CERT-EU je totiž dohlížet na IT bezpečnost EU orgánů. To probíhá především skrze sdílení informací o potenciálních hrozbách a koordinaci reakce na případné napadení. Bohužel, výsledky jsou žalostně slabé.

To veskrze potvrzuje i nedávná analýza vypracovaná Evropským účetním dvorem. Podle té evropské orgány a instituce nedosáhly úrovně kybernetické připravenosti, která by odpovídala současným hrozbám.

Znáte to, každý řetěz je pouze tak pevný, jako jeho nejslabší článek. Úplně stejně to funguje i s kyberbezpečnostní evropských orgánů. Všechny instituce jsou totiž propojené přes společnou síť, skrze kterou komunikují a sdílí mezi sebou informace. 

Každý jednotlivý orgán EU má navíc svůj vlastní přístup a kvalitu kybernetických opatření. To znamená, že ačkoliv třeba Evropská služba pro vnější činnost nebo Soudní dvůr EU řeší kyberobranu velmi zodpovědně, úroveň kyberobrany jiných institucí je ještě v plenkách.

Nefunguje ani žádný sjednocený kontrolní mechanismus, který by mohl dohlížet na to, jestli jednotlivé orgány vůbec kyberbezpečnost vůbec nějak zodpovědně řeší. V praxi to znamená, že my sami ani dokonce nevíme, kde se ten nejslabší článek řetězu kyberbezpečnosti nachází.

Co s tím? 

S žalostným stavem evropské kyberbezpečnosti musíme pohnout co nejdříve. Jako stínový zpravodaj se proto spolu s kolegy věnuji vypracování nového návrhu regulace EU pro posílení kyberobrany.

1. Především potřebujeme značně posílit roli CERT-EU, aby měl prostředky k tomu osvádět svoji práci doopravdy zodpovědně a na vysoké úrovni. Znamenalo by to především posílit počet zaměstnanců a jejich finanční ohodnocení, aby mohli konkurovat soukromému sektoru. V porovnání se stovkami lidí v ruských trollích farmách totiž v CERT-EU aktuálně pracuje zhruba kolem 50 lidí.
   
2. Pokud chceme mít jednotnou a kvalitní kyberbezpečnost v EU, potřebujeme nutně zajistit, aby instituce více spolupracovali mezi sebou. Instituce by si měly aktivně pomáhat a doporučovat nové systémy zabezpečení.
   
3. Přes to všechno ale stále nemáme záruku, že instituce opatření doopravdy zavedou. Tady budou hrát roli každoroční kyberbezpečnostní audity a následně kontrola Evropským účetním dvorem a autoritami udělující absolutoria. V praxi to znamená, že pokud instituce za uvedený rok nezavedou požadovaná opatření, může jim hrozit, že jim nebude udělena roční finanční uzávěrka.
   
4. Na zavedení a uplatnění opatření proti kyberútokům bude dohlížet Mezi-institucionální kyberbezpečnostní Komise. Součástí té by se mohl nově stát i Evropský inspektor ochrany údajů (EDPS).
   
5. Potřebujeme zvýšit zabezpečení komunikace mezi jednotlivými institucemi. Pokud se někomu podaří prorazit obranu jedné instituce, není možné, aby ihned získal informace těch ostatních. V nové regulaci proto navrhujeme zajistit end-to-end šifrování komunikace mezi institucemi a vývoj nových technologií za pomoci open-source řešení, čímž umožníme jednodušší kolektivní nalezení a opravu problémů. 

Všechno má své „ale“

Prozatím jsem v článku uvedl celou řadu důvodů, proč bychom měli zbystřit v ochraně citlivých informací EU před útoky nebo datovými úniky. Často se totiž naopak stává, že některé informace jsou tak střežené a tajné, že k nim nemají přístup ani europoslanci, kteří je potřebují k efektivnímu výkonu svého mandátu.

Univerzálním příkladem můžu uvést třeba odmítnutí zveřejnění smluv o nákupu vakcín Komisí, ačkoliv ji o to žádáme už téměř dva roky. Nakonec sice byly některé smlouvy zveřejněny, ale všechny klíčové informace zůstaly začerněné. Těžko pak můžu spolu s kolegy ve výboru pro rozpočtovou kontrolu dohlížet nad utrácením Komise, když ani nevíme, kolik peněz daňových poplatníků se doopravdy utrácí.

Ochrana informací je důležitá, ale nesmí se zneužívat k úmyslnému zatajování toho, jak se nakládá s evropskými penězi. Pracujeme proto na návrhu regulace o informační bezpečnosti v evropských institucích, abychom zajistili lepší dostupnost informaci veřejnosti.