Poslání
Problematika ochrany informačních infrastruktur před kybernetickými hrozbami je velmi aktuální a její význam dále roste. Zároveň se zvyšuje tlak na vytvoření systematického řešení této problematiky v rovině legislativní, organizační, metodické i technické. Tuto situaci lze doložit například SDĚLENÍM KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ o ochraně kritické informační infrastruktury, vydaným 30.3.2009 [KOM(2009) 149]. Uvádíme z něj zde několik relevantních úryvků.
Citace:
Informační a komunikační technologie (IKT) jsou stále úžeji propojeny s naším každodenním životem. Některé z těchto systémů, služeb, sítí a infrastruktur IKT (krátce infrastruktur IKT) tvoří zásadní součást evropského hospodářství a společnosti, neboť jednak poskytují základní zboží a služby, jednak tvoří podpůrnou platformu dalších kritických infrastruktur. Obvykle se považují za kritické informační infrastruktury (KII), protože jejich narušení nebo zničení by mělo závažný dopad na životně důležité společenské funkce. K nedávným příkladům patří rozsáhlé počítačové útoky na Estonsko v roce 2007 a poškození transkontinentálních kabelů v roce 2008. Podle odhadů Světového hospodářského fóra z roku 2008 existuje v následujících deseti letech 10–20% pravděpodobnost závažné poruchy KII s potenciálními celosvětovými hospodářskými náklady ve výši přibližně 250 miliard USD.
Odvětví IKT má zásadní význam pro všechny vrstvy společnosti. Podniky závisejí na odvětví IKT jak z hlediska přímých prodejů, tak účinnosti vnitřních procesů. IKT představují kritickou složku inovací a jsou zodpovědné za téměř 40 % růstu produktivity. IKT rovněž stále více pronikají do fungování vlád a orgánů veřejné správy: přebírání služeb elektronické správy na všech úrovních, jakož i nových aplikací, jako jsou inovativní řešení spojená se zdravotnictvím, energetikou a politickou spoluprací přináší značnou závislost veřejného sektoru na IKT. V neposlední řadě jsou na využívání IKT při každodenních činnostech v rostoucí míře závislí občané: zvýšení bezpečnosti KII by zvýšilo i důvěru občanů k IKT, a to i díky lepší ochraně osobních údajů a soukromí.
Počítačové útoky jsou nebývale důmyslné. Jednoduché experimenty se mění v složité činnosti vykonávané pro zisk nebo z politických důvodů. Nejčastěji uváděným příkladem tohoto obecného vývoje jsou nedávné rozsáhlé počítačové útoky v Estonsku, Litvě a Gruzii. Závažnost problému potvrzuje obrovský počet virů, programů typu worm a jiného škodlivého softwaru, šíření botnetů a neustálý nárůst spamů.
Vzhledem k velké míře závislosti na KII, k jejich přeshraničnímu propojení s ostatními infrastrukturami a jejich vzájemné závislosti, jakož i ke zranitelnosti a hrozbám, kterým čelí, vyvstává potřeba systémově řešit jejich bezpečnost a odolnost jako přední linie obrany proti selháním a útokům.
S cílem zajistit, aby se infrastruktury IKT využívaly v nejvyšší možné míře, a plně se tak uplatnily hospodářské a společenské příležitosti informační společnosti, musí jim všechny zúčastněné strany více důvěřovat. Závisí to na různých aspektech, z nichž nejdůležitějším je zajištění vysoké úrovně jejich bezpečnosti a odolnosti. Rozmanitost, otevřenost, interoperabilita, použitelnost, průhlednost, zodpovědnost, ověřitelnost různých složek a hospodářská soutěž jsou klíčovými faktory rozvoje bezpečnosti a podněcují zavádění výrobků, postupů a služeb, které zvyšují bezpečnost.
Zhostit se těchto úkolů vyžaduje přístup a kulturu založenou na řízení rizik, schopnou reagovat na známé hrozby a předvídat neznámé budoucí hrozby bez nepřiměřené reakce, která by zadusila vznikání inovativních služeb a aplikací.
Posilování bezpečnosti a odolnosti KII představuje z hlediska správy neobvyklé úkoly. Členské státy jsou i nadále plně odpovědné za stanovení politik souvisejících s KII, jejich provádění však závisí na zapojení soukromého sektoru, který vlastní nebo ovládá velký počet KII. Trhy na druhou stranu nedávají vždy soukromému sektoru dostatečné podněty, aby investoval do ochrany KII takovou měrou, kterou by vládní orgány za normálních okolností vyžadovaly.
K řešení tohoto problému vzniklo jako příklad na vnitrostátní úrovni partnerství veřejného a soukromého sektoru. Nicméně navzdory obecné shodě, že partnerství veřejného a soukromého sektoru by byla žádoucí i na evropské úrovni, takováto partnerství dosud nevznikla. Celoevropský mnohostranný rámec řízení, který může zahrnovat i rozšířenou úlohu ENISA, by podpořil zapojení soukromého sektoru do určování strategických cílů veřejné politiky a provozních priorit a opatření. Takový rámec by překlenul rozdíl mezi vnitrostátní tvorbou politiky a provozní realitou.
Řídicí mechanismy budou skutečně účinné, pouze pokud všichni zúčastnění budou mít spolehlivé informace, na jejichž základě budou moci jednat. Týká se to zejména vlád, které nesou konečnou odpovědnost za zajišťování bezpečnosti a blaha občanů.
Procesy a postupy pro sledování bezpečnostních incidentů sítí a jejich hlášení se však v jednotlivých členských státech značně liší. Některé ani nemají určenou sledovací organizaci. Důležitější však je, že spolupráce a sdílení spolehlivých a využitelných informací o bezpečnostních incidentech mezi členskými státy není dostatečně vyvinutá, má spíše neformální charakter nebo se omezuje na dvoustranné, v menší míře i mnohostranné výměny.
Veřejné politické diskuse po událostech v Estonsku naznačují, že účinky podobných útoků by bylo možné pomocí preventivních opatření a koordinovaného postupu při skutečné krizi omezit. Strukturovanější výměna informací a osvědčené postupy v celé EU by mohly značně usnadnit potírání přeshraničních hrozeb. Je nezbytné posílit stávající nástroje spolupráce včetně agentury ENISA a vytvořit nové nástroje, bude-li třeba. Zásadní význam má přístup zahrnující všechny zúčastněné strany na různých úrovních, který se bude uskutečňovat na evropské úrovni a plně respektovat a doplňovat vnitrostátní odpovědnosti.c