Kyberbezpečnost již dávno není technologický, ale celospolečenský problém, tvrdí zpráva odborníků z evropského Společného výzkumného střediska. Kyberútoky ohrožují chod států i běžný život jejich občanů, podle některých odhadů způsobí jen letos globální škody ve výši 5,5 bilionů eur (zhruba 150 bilionů korun). Státy by proto podle autorů dokumentu měly vypracovat strategické plány kyberbezpečnosti, v současnosti je již totiž nepřijatelné, aby se problémy řešily, až když se objeví. Kyberbezpečnost je zároveň klíčovou součástí nové bezpečností strategie EU, kterou Evropská komise představila v pátek.
Dnes již asi nikdo nezpochybňuje skutečnost, že kyberútoky mohou závažně ohrozit chod států i běžný život jejich občanů. Podle některých odhadů způsobí kyberkriminalita do konce roku 2020 globální škody ve výši 5,5 bilionu eur (zhruba 150 bilionů korun), což je ve srovnání s 2,7 biliony eur (zhruba 73 bilionů korun) v roce 2015 nárůst o polovinu, částečně také díky výjimečné situaci související s koronavirovou krizí. Podle čerstvé Zprávy o kyberbezpečnosti z dílny evropského Společného výzkumného střediska (JRC), kterou v pátek představila Evropská komise, se jedná o největší finanční přesun v historii, o oblast, která bude již v příštím roce z globálního hlediska pro kyberzločince výnosnější než obchod s většinou nelegálních drog dohromady.
Koronakrize dramaticky zrychlila digitalizaci
Letošní koronavirová krize dramaticky zrychlila proces digitalizace díky masivnímu přesunu řady činností ve většině oborů do online prostředí, včetně veřejné správy, zdravotní péče, školní výuky nebo bankovních služeb. Podle autorů zprávy se tak s konečnou platností ukázalo, že kyberbezpečnost již není pouze technologický problém, ale musí zajímat celou evropskou společnost. Závažný dopad kyberhrozeb spočívá podle dokumentu i v tom, že mohou vážně ohrozit důvěru lidí v digitální služby, bez nichž si již chod dnešní společnosti nedovedeme představit.
Kyberútok nemocnici zablokuje. Lékaři potřebují bezpečně pracovat s daty, aby mohli vůbec léčit
Z tohoto pohledu se jedná o jakýsi nekonečný příběh – nové technologické možnosti přinášejí zároveň nová zranitelná místa, která vyžadují nová opatření. Současná digitální společnost s tím však musí počítat a aktivně se připravit. Autoři zprávy proto volají po sjednocující mezioborové strategii pro kyberbezpečnost využitelné napříč společností. Ta se musí zabývat nejen technologickými aspekty ale také tím, jak se správně „kyberbezpečně“ chovat a pohybovat ve virtuálním prostředí.
Celospolečenský, nikoli technologický problém
Kyberbezpečnost a digitalizace jsou dvě strany stejné mince, prohlásila nedávno předsedkyně Evropské komise Ursula von der Leyenová. „Kyberbezpečnost nelze vnímat izolovaně, je to klíčová součást našich životů a obchodů, které vedeme online,“ doplnil při představení zprávy JRC slova své šéfky komisař pro vnitřní trh Thierry Breton. Proto je podle něj zapotřebí zaujmout holistický přístup a působit na všech úrovních společnosti – od jednotlivých občanů a podnikatelů po úroveň členských států Evropské unie.
Podle jeho kolegyně komisařky pro inovace a výzkum Mariyi Gabrielové, odpovědné za činnost JRC, právě poslední měsíce ukázaly, jak důležitou a zároveň velmi zranitelnou součástí našich životů je digitální svět. „A právě tato zpráva o kyberbezpečnosti představuje nový systémový přístup k tomu, jak se chránit, přičemž ústřední součástí toho je vzdělávání a rozvoj digitálních dovedností.“ Problém kyberbezpečnosti se totiž doposud obvykle řešil na úrovni dílčích sektorů, ale s postupem digitalizace společnosti a bez ohledu na to, zda se jedná o triviální každodenní úkon nebo složitou finanční transakci, lékařský výkon či zabezpečení energetické sítě, se ukazuje, že je nutné zaujmout zcela odlišný přístup. Kyberbezpečnost by se měla stát jednou ze systémových priorit na úrovni jednotlivých států i celé Evropské unie.
Nové technologie přinášejí nejen možnosti, ale i hrozby
Nové technologie jako umělá inteligence, blockchain nebo kvantové počítače přinášejí nové možnosti, ale také hrozby, kterým je třeba věnovat pozornost již od začátku. V současnosti je proto podle dokumentu již zcela nepřijatelné řešit problém, až když se objeví. Kybernetické útoky mohou mít tak devastující účinky, že je nutné se připravit.
Nelze se však chránit izolací, pokračují autoři dokumentu. Společnost se stále více propojuje a sdílí větší a větší objemy dat. Je proto třeba budovat natolik kvalitní ochranu, která umožní „otevření“ systémů. Zároveň se ale nesmí zapomínat na další potřeby dnešní doby jako je ochrana soukromí a osobních dat. Kyberbezpečnost tedy vyžaduje jednotný a koordinovaný přístup v rámci všech hospodářských odvětví. A to navzdory faktu, že opatření na ochranu před kyberútoky jsou často vnímána jako zbytečný výdaj a někdy, bohužel, i obcházena.
Zpráva zároveň připouští, že za úspěšností většiny rozsáhlých kybernetických útoků stojí lidská chyba. Svalovat vinu na konkrétní uživatele však není řešením, upozorňuje, nezbytností je větší zapojení veřejnosti a její porozumění tomu, co bezpečné chování v digitální společnosti obnáší.
Evropská komise chce vytvořit nový bezpečnostní ekosystém EU
Podpora a rozvoj kyberbezpečnosti je i v těchto souvislostech důležitou kapitolou nového víceletého rozpočtu Evropské unie, na němž se nedávno shodli evropští lídři. Zároveň je jednou z prioritních oblastí nové bezpečnostní strategie EU 2020-2025, kterou Evropská komise představila rovněž minulý pátek. „Bezpečnost je průřezová záležitost, která zasahuje téměř do každé sféry života a týká se řady politik,“ prohlásil při této příležitosti místopředseda Komise Margaritis Schinas a dodal: „Je načase, abychom překonali mylné rozlišování mezi online a offline, mezi digitálním a fyzickým prostředím a mezi vnitřními a vnějšími bezpečnostními zájmy a hrozbami.“ Strategie má podle něj spojit všechny tyto aspekty s cílem vybudovat skutečný „bezpečnostní ekosystém“ EU.
Evropská komise při této příležitosti ohlásila přípravu nových pravidel na ochranu kritické infrastruktury (fyzické i digitální) a do konce roku dokončí přezkum fungování směrnice o bezpečnosti sítí a informací, v současnosti hlavního právního předpisu EU v oblasti kyberbezpečnosti. Kromě toho chce vytvořit platformu pro spolupráci a koordinaci evropských států v této oblasti. Součástí jejích plánů je i zvyšování povědomí veřejnosti o rizicích kyberkriminality a rozvoj znalostí, jak se před nimi chránit.
Důležitým prvkem strategie je také boj proti hybridním hrozbám a zajištění celounijního přístupu, který má zahrnout jejich včasné odhalování, analýzu, prevenci, reakci na krizi a zvládání následků. Komise chce proto vyhodnotit účinnost stávajících norem o počítačové kriminalitě a zváží mimo jiné opatření namíření proti krádeži identity.
Kybernetický Pearl Harbor za dveřmi?
Konat je však nutné nejen na národní, potažmo evropské, úrovni. Podle autorů zprávy je kyberbezpečnost zásadní podmínkou budoucí evropské digitální suverenity. Digitální svět se totiž podle nich stane bitevním polem pro obrovské množství různých skupin a hráčů. „Útoky kyberzločinců, včetně těch financovaných ze strany některých států, na nemocnice a výzkumná centra během pandemie covid-19 odhalily nedostatek globálně odsouhlasených norem v oblasti kyberbezpečnosti. Ukazuje se, že potřebujeme jakousi digitální Ženevskou úmluvu,“ píše se v dokumentu.
Bude to drahé, ale zároveň naprosto zásadní. „Potencionální kybernetický útok na kritickou infrastrukturu jakékoli země ve stylu „Pearl Harboru“ je za dveřmi“, připomínají autoři citát bývalého amerického ministra obrany Leona Panetty, který odkazuje na dnes již legendární japonský útok proti základně amerického Tichomořského loďstva v havajském Pearl Harboru v roce 1941, po němž vstoupily USA oficiálně do bojů 2. světové války.
Evropská komise proto plánuje rozvíjet v této oblasti úzkou spolupráci se svými strategickými partnery jako je NATO a skupina sedmi hospodářsky nejvyspělejších zemí světa G7 (Francie, Itálie, Japonsko, Kanada, Německo, Velká Británie, USA), a v rámci svých partnerství s dalšími třetími zeměmi prosazovat evropské standardy kybernetické bezpečnosti, podobně jako to například dělá v oblasti ochrany osobních dat.
Helena Sedláčková