Die EU moet meer doen om kuberaanvalle af te skrik van kwaadwillige akteurs wat die blok se kritieke infrastruktuur en noodsaaklike dienste teiken, volgens 'n konsep EU-raadsreaksie op die Europese Kommissie se nuwe kuberveiligheidstrategie.
Die dokument, verkry deur EURACTIV, word tans deur verteenwoordigers van EU-lidlande in die EU-raad gedebatteer, nadat dit aan die begin van die jaar deur die Portugese Presidensie van die EU opgestel is.
Met die oog op die doeltreffendheid van die blok se 2017 kuberdiplomasie-gereedskapskis, wat breedweg uiteensit hoe EU-lande moet reageer wanneer hulle kuberaanvalle in die gesig staar, lui die EU-raadsdokument dat verdere besprekings oor die omvang van die maatreëls gehou moet word, met die oog op verdere “ kuberaanvalle te voorkom en teë te werk met sistemiese gevolge wat ons voorsieningskettings, kritieke infrastruktuur en noodsaaklike dienste kan beïnvloed.”
Vroeër vanjaar het die EU bepalings uitgevoer wat in sy kuberdiplomasie-nutsgoedkas, wat beperkende maatreëls instel teen ses individue en drie entiteite wat verantwoordelik is vir die 'WannaCry'-, 'NotPetya'- en 'Operation Cloud Hopper'-aanvalle.
As 'n moontlike uitbreiding van sulke strafmaatreëls, merk die teks ook op hoe toekomstige besinning gemaak moet word oor die "interaksies" tussen die kuberdiplomasie-gereedskapskis en die moontlike gebruik van verskeie EU-verdragsartikels.
Dit sluit artikel 42.7 van die Verdrag van Lissabon – die wedersydse verdedigingsklousule – en artikel 222 – die solidariteitsklousule – in, wat EU-lande toelaat om bystand aan ander lande op die blok te bied wanneer hulle voor aanvalle, terreurbedreigings gekonfronteer word en hulp benodig.
Frankryk was die eerste EU-nasie wat artikel 42.7 van die verdrag formeel ingeroep het in die nasleep van die terreuraanvalle in Parys in 2015, in 'n poging om ondersteuning van EU-vennote te kry vir voortgesette operasies teen die Islamitiese Staat in Sirië.
Uit die EU-raadskonsepte wat deur EURACTIV gesien is, blyk dit nou dat EU-lande kuberaanvalle onder dieselfde terme as algemene terreuraktiwiteit begin oorweeg, met betrekking tot oproepe vir gesamentlike ondersteuning van vennote in die blok.
Kommissie se kuberstrategie
Die Raadsdokument kom in reaksie op die Kommissie se Kuberveiligheidstrategie vir die Digitale Dekade, wat middel Desember aangebied is. Dit is gedateer 16 Februarie en is onlangs aan EU-afvaardigings gestuur nadat dit in die Raad se Horisontale Werkgroep oor kuberkwessies bespreek is.
EU-lidlande blyk grootliks die planne van die Kommissie te ondersteun en vra vir groter afskrikmiddel om skadelike kuberaanvalle teen kritieke infrastruktuur te blokkeer.
Die Kommissie se strategie het voorgestel a hersiening van die Richtlijn Sekuriteit van Netwerk en Inligtingstelsels (NIS 2), wat nuwe sektore by die omvang van minimum kuberveiligheidsvereistes voeg, asook om sanksieregimes vir kuberaanvalle oor EU-lidlande verder te harmoniseer.
As deel van hierdie planne sal sekere "noodsaaklike en belangrike entiteite" oor kritieke openbare en private sektore, soos hospitale, energienetwerke, spoorweë, datasentrums, openbare administrasies, navorsingslaboratoriums en die vervaardiging van kritieke mediese toestelle en medisyne, verplig word om toepaslike kuberveiligheidsrisikobestuursmaatreëls sowel as nuwe verslagdoeningsverpligtinge aan te neem.
Verwant hiermee is planne vir die Kommissie om die omvang van die 2008 Europese Kritiese Infrastruktuur-richtlijn uit te brei, met die bekendstelling van 'n Kritiese entiteite veerkragtigheid (CER) richtlijn, wat nou tien sektore as "kritiek" sal oormerk, insluitend energie, vervoer, bankwese, finansiële mark-infrastruktuur, gesondheid, drinkwater, afvalwater, digitale infrastruktuur, openbare administrasie en ruimte.
Bedreigingslandskap te midde van koronavirus
Namate die EU aanhou wankel van die impak van die koronaviruspandemie, het die aandag toenemend gefokus op die kwesbaarheid van sekere "noodsaaklike dienste", wat in die Raadsdokumente uitgelig word.
Verlede jaar het lede van die NAVO-alliansie 'n verklaring vrygestel waarin hulle "destabiliserende en kwaadwillige kuberaktiwiteite gerig is teen diegene wie se werk van kritieke belang is vir die reaksie teen die pandemie, insluitend gesondheidsorgdienste, hospitale en navorsingsinstellings."
NAVO se opmerkings het gekom ná 'n verklaring van April van die Kommissie se hoof van buitelandse sake, Josep Borrell, wat gesê het "kwaadwillige kuberaktiwiteite" is regoor Europa se gesondheidsorgsektor aangeteken, insluitend uitvissing en wanware verspreidingsveldtogte, skanderingsaktiwiteite en verspreide ontkenning van diens (DDoS) aanvalle.
’n Week tevore het owerhede in die Tsjeggiese Republiek aanvalle op kritieke nasionale infrastruktuur aangemeld, met die Nasionale Kuber- en Inligtingsveiligheidsowerheid (NÚKIB) wat ’n kuberveiligheidswaarskuwing uitgereik het.
Hierdie week is twee Franse hospitaalgroepe besmet met die kriptovirus RYUK losprys, wat gelei het tot die oorplasing van 'n aantal pasiënte na ander webwerwe.
[Redigeer deur Frédéric Simon]
