Unia Europejska wobec zagrożeń dla
bezpieczeństwa teleinformatycznego
– zarys problemu
Rocznik Integracji Europejskiej nr 7, 129-145
2013
MIRON ŁAKOMY
KatowiceUnia
Europejska
wobec
zagrożeń
dla bezpieczeństwa
teleinformatycznego
-
zarys
problemu
Wstęp
Upowszechnienie komputerów oraz dostępu do Internetu od początku lat 90.
XXwieku doprowadziłododynamicznego rozwoju procesów digitalizacji.Stałosię to
szczególnie widoczne w XXI wieku, kiedyInternetzaczął odgrywać rosnącą rolęw ży
ciu politycznym, gospodarczym oraz społecznym. Jak zauważyli Krzysztof Liedel
i MichałGrzelak, globalnasieć, dostępna nie tylkoza pomocąkomputerów i telefonów
komórkowych, ale także tabletów czy przedmiotów codziennegoużytku, stała się jed
nym z podstawowych mediów oraz synonimemwolności słowa, nieskrępowanego przepływu informacji, a w pewnychprzypadkach,nawet narzędziem rewolucji i zmian
społecznych (Liedel, Grzelak, 2012, s. 126). Cyberprzestrzeń rozumianazaPierrem
Delvyjako „przestrzeń otwartego komunikowania za pośrednictwem połączonych komputerów i pamięci informatycznych, pracującychna całym świecie” (Cyberprzes
trzeń - definicje),jednocześnie stałasię jednak równieżwymiarem,wktórymzaczęły
pojawiać się poważnezagrożenia takdlabezpieczeństwanarodowego1, jak i między
narodowego.WedługAlexisaBautzmanna, sprawiło to,iż coraz więcej państw zaczęło
sięinteresowaćtą problematyką, dostrzegającmiędzyinnymirosnącą użyteczność In
ternetudodziałań o charakterze militarnym. Jego zdaniem, nawetw strukturach Rady Bezpieczeństwa ONZ możnaobecnie zauważyć swoisty „powiew”zimnejwojny, tym
razem o charakterze elektronicznym (Bautzmann,2012,s. 80-81). Poważne ataki tele informatyczne stały się bowiemprzykrą codziennościąstosunków międzynarodowych
przełomupierwszej i drugiej dekady XXI wieku.
1 Warto zauważyć, iż już w amerykańskiej National Security Strategy z 2010roku stwierdzono, iż cyberzagrożenia stanowią jednez najpoważniejszych wyzwańdla bezpieczeństwa narodowego, bezpieczeństwa publicznegoorazrozwoju gospodarczego (National Security Strategy).
Zasadniczym impulsem, któryuświadomił społeczności międzynarodowej wagę
tych zagadnień były z pewnością wydarzeniaw Estonii oraz wGruzji.Wtym pierw szym przypadku, w kwietniu 2007 roku w wyniku sporu politycznego na linii
Tal-lin-Moskwa, doszło do bezprecedensowych ataków teleinformatycznych naestoński Internet. Rosyjscyhakerzy zdołalinie tylko włamać siędo szeregunajważniejszych portalisektora takpublicznego, jaki prywatnego, ale także m.in.sparaliżować banko wość internetową. Byłto pierwszy przypadek w historii, kiedy suwerenne państwo zo
stało na taką skalę zaatakowane wcyberprzestrzeni. Już rokpóźniej, w sierpniu2008
przeprowadzilimasowe cyberataki,tymrazem przeciwko gruzińskim stronom interne
towym. Oba tewydarzeniauświadomiły elitom politycznym potrzebę wypracowania skutecznych rozwiązań w dziedzinie bezpieczeństwa teleinformatycznego. Niektóre państwa, takiejak Stany Zjednoczone, Izrael, Rosja czy Chiny już od dawna prowa dziły pracenad uzyskaniem odpowiedniegopotencjałuw cyberprzestrzeni. Zdecydo wanąwiększość tegotypu działań podjęto jednakdopiero wdrugiej połowie pierwszej dekady XXI wieku (Łakomy, 2010, s. 61-65). Warto zauważyć, iż „pierwsza cy-
berwojna”z Estonii ujawniła także zasadnicze nieprzygotowanie organizacji między narodowych doreagowania na tego typu incydenty. Wśrodowisku międzynarodowym
nie wypracowano bowiemdotychczas spójnego modus operandi wtejdziedzinie, tak
z punktuwidzenia prawa międzynarodowego publicznego,jak i bieżącej współpracy
politycznej oraz wojskowej2.Stosunkowo najszybciej na wyzwaniate zareagował So
juszPółnocnoatlantycki,któryw ciągu kilku lat przygotował wmiaręspójną i,jak na
razie,skuteczną strategięcyberbezpieczeństwa (Myrli).Wtymkontekście,warto więc postawić pytanie, jaki stosunekdotych nowych zagrożeń dlabezpieczeństwa między narodowego ma Unia Europejska. Biorąc pod uwagęcorazwyraźniejszy rozwój wyz
wańw cyberprzestrzeni, odpowiednia nań reakcjastaje się warunkiem sine qua non nie tylko zapewnieniaEuropie odpowiedniego poziomu bezpieczeństwa, ale także umoc nienia jej pozycji międzynarodowej (Dziwisz, 2011). Jest to tym istotniejsze, iż od
dawna jednocząca się Europaformułujerosnące ambicje odgrywania ważnej roliwno
wej architekturze ładu międzynarodowego (Rewizorski, 2010, s. 137-153).
2 Do najważniej szych problemówmożnatu zaliczyćm.in. dezaktualizację prawawojny, wyzwa nia związane z identyfikacją sprawców oraz interpretacjąumówmiędzypaństwowych i traktatów so juszniczych, wtym np. traktatu waszyngtońskiego (Ellis, 2011).
Zagrożenia teleinformatyczne
Podejmującpróbę analizy polityki cyberbezpieczeństwa Unii Europejskiej,warto
na wstępie dokonać krótkiej charakterystykinajważniejszych zagrożeń teleinforma
tycznych. Jest to zadanie stosunkowo trudne,gdyżniema zgody badaczytakco do typologii, jak i definicjiwyzwań pojawiających się wcyberprzestrzeni. Jednym z naj częściej wykorzystywanych terminów jest z pewnością cyberprzestępczość, która
sprawia jednak poważne problemynaturyidentyfikacyjnej i interpretacyjnej. Amery
kańskie Internet Crime Complaint Center zdefiniowało ją jako „oszustwo online wwielu formach, obejmujące kwestie praw własności intelektualnej, włamań kompute
rowych (haking), szpiegostwa gospodarczego,wymuszaniaonline,międzynarodowego
praniapieniędzy, kradzieżytożsamości orazrosnącej listyprzestępstw ułatwianych
dzięki Internetowi”. Natomiast według Konwencji Rady Europy o Cyberprzestępczo-ściw skład tego procederu możnazaliczyć czterykategorie działań wykonywanych
przy pomocy komputerów: szerokorozumiane naruszenia bezpieczeństwa takiejak ha king czy nielegalne uzyskaniedanych, oszustwai fałszerstwa, pornografia dziecięca oraz naruszenia praw autorskich.Jak jednak słusznie stwierdziły Kristin M. Finklea oraz Catherine A. Theohary, rozumienie zjawiska cyberprzestępczości może być zdecy
dowanie szerszei obejmowaćwykorzystanie komputerów dowszelkich tradycyjnych
aktówłamania prawa. Ponadto ich zdaniem, czynnikiem, któryodróżnia cyberprzes tępczośćod innych rodzajów szkodliwej działalności wInternecie jest przede wszyst
kimodmienna motywacja. Tym samym, przykładowo cyberszpiegostwowzależności
od motywacji, może być uznanealbo zacyberprzestępczość, albo za aktinspirowany państwowo.Jestto o tyle istotne, iż w obuprzypadkach może to skutkować odmienny mireperkusjamio charakterze prawnym lubpolitycznym (Finklea, Theohary, 2012;
Konwencja Rady Europy). Wartowyodrębnić jeszcze dwa rodzaje szkodliwej aktyw
nościcyberprzestrzennej o charakterzepozapaństwowym. Pierwszą z nich jesthaking, który można zdefiniować jako szkodliwądziałalnościąw sieci, której celem samym
w sobie jest sam akt udanego cyberataku, bez politycznego, społecznego lub ekono
micznegopodtekstu. Drugim jest natomiast haktywizm, który bywa często utożsamia ny zwykorzystaniem Internetu do manifestacji określonego stanowiska wobec szeroko rozumianych kwestii politycznych,społecznych lub gospodarczych za pomocątechnik
hakerskich. Łączy się on więcponiekąd z zagadnieniem obywatelskiegonieposłu szeństwa, wyrażanegojednak za pomocą sieci (Terlikowski, 2008; Electronic Civil Disobedience).
Z zagadnieniem tym wiąże sięponiekąd zjawiskocyberterroryzmu, który to termin podobnie jakcyberprzestępczość, jest często swobodnie wykorzystywany w debacie
publicznej. Tak jak w przypadkuhaktywizmu, u podstaw cyberterroryzmu leży moty wacja o charakterze politycznymlub społecznym. Tujednakpodobieństwa się kończą, gdyż podmiotami dokonującymitego rodzaju cyberataków mogąbyć tak jednostki,ich grupy (np. organizacje terrorystyczne), jak również państwa. Innącechą, która od różnia go od haktywizmu jesttakże typowedla terroryzmu dążenie do wyrządzenia po
ważnych szkód np. infrastrukturze krytycznej państwa, aco zatym idzie, wywarcia
wpływuna poczucie bezpieczeństwa ludności (Bógdał-Brzezińska, Gawrycki, 2003;
Łakomy, 2010;Gordon, Ford,2003). Kolejnym typem szkodliwej działalności w sie
ciach teleinformatycznych jest z pewnością cyberszpiegostwo, które może byćzdefi niowane jakopróba uzyskanianiejawnychinformacji w cyberprzestrzeni.Od początku XXI wiekutaforma zagrożeńteleinformatycznych przeżywa dynamiczny rozwój. Jest to szczególnie widoczne w przypadkuhakerówchińskich, którzy wielokrotnie w ostat nich latachskutecznie wyprowadzaliniejawnedaneitechnologiezkomputerówna leżących nie tylko do zachodnich instytucji państwowych,ale także wielkich korporacji (Rohoziński, Deibert, 2009; Adair, Deibert, Walton, 2010). Wreszcie, można także za
uważyć rosnącą rolęcyberprzestrzeni jako kolejnegoteatru wojny. Potencjał militarne
go wykorzystania sieci teleinformatycznych potwierdziła w ostatnich latach m.in.
izraelskaoperacjawojskowaOrchard, przeprowadzona w 2007 rokuprzeciwko insta lacjom atomowym w Syrii (Ciarkę, Knake, 2010; Łakomy, 2011, s. 151; Department of
Defense Strategy).
Unia Europejska wobec zagrożeń dla bezpieczeństwa teleinformatycznego
W świetle omówionych powyżej zagrożeń, warto więc zwrócić uwagę, wjaki
wcześniej, wydarzenia wEstonii oraz Gruzji w zasadniczym stopniu uświadomiły eli
tom politycznym państw zachodnich potrzebęwypracowania skutecznych rozwiązań
w tej dziedzinie. Udowodniły także nieprzygotowanie do walki ztymi zagrożeniami SojuszuPółnocnoatlantyckiego. Wtym kontekście, należyzauważyć, iż reakcja Unii
Europejskiej nie mogła jednakpodążyć ścieżką wytyczoną przezNATO(Healey, van
Bochoven,2012). Polityka UEwobec wyzwań teleinformatycznych musiała bowiem wziąć pod uwagę szereg dylematów natury instytucjonalnej, prawnej i politycznej.
Przedewszystkim,podstawowa wątpliwość dotyczyłatego, w jakisposób Europa po winna zareagować na te zagrożenia, nie powielając zarazem rozwiązań przyjętych przezPakt Północnoatlantycki. Tymsamym powstało też pytanie,które organyUnii
Europejskiej powinny tąproblematyką sięzainteresować: te właściweWspólnej Poli tyce Bezpieczeństwa iObrony,czy też te obejmujące wymiar sprawiedliwości i spraw
wewnętrznych. Był to problemo tyle poważny, iż jakwskazano wcześniej,cyberza- grożeniamogą przybierać formę działalności tak o charakterze kryminalnym, jak i in spirowanym przez rządy państw. Co więcej, wykorzystanie mechanizmów WPBiO mogłoby sugerować chęć dublowania procedur wypracowanych w ramach NATO. Byłoby to o tyle problematyczne, iż stałoby towsprzeczności zkoncepcją nowegopo działuobowiązków między UE a SojuszPółnocnoatlantycki, sformułowaną przezpre
zydenta Francji Nicolasa Sarkozy (Conférence sur lasécurité).Po drugie, pojawiła się
wątpliwość, wjakimzakresie UE mogłaingerować w polityki cyberbezpieczeństwa
państw członkowskich? Po trzecie, jak zauważyła Annegret Bendiek, priorytetem Unii
Europejskiej jest stworzenie przestrzeni wolności, bezpieczeństwa i sprawiedliwości.
W tym kontekście,powstała wątpliwość, czy decyzje podejmowane przez instytucje UE nie zaprzepaściłybytego celu, nadając priorytetbezpieczeństwu kosztem wartości,
jaką jest wolność. Wreszcie, Unia Europejska musiała podjąć decyzję, czy polityka cyberbezpieczeństwa powinna objąć także sektor prywatny oraz szeroko pojęte środo
wisko międzynarodowe(Bendiek2012).
Jednązpierwszych inicjatywUnii Europejskiejwdziedzinie cyberbezpieczeństwa była z pewnością decyzja o utworzeniu w 2004roku Europejskiej Agencji ds. Bezpie czeństwa Sieci i Informacji (European Network and Information SecurityAgency), na mocy dyrektywy nr 460/2004. Stwierdzono w niej, iż „systemy komunikacji iinfor macji stały się zasadniczym czynnikiem w rozwoju społecznym i gospodarczym. Komputeryoraz sieć stają się wszechobecnym dobrem, natakiej samej zasadziejak elektrycznośćczy dostęp do wody. Bezpieczeństwo sieci komunikacyjnych isystemów informacyjnych, a wszczególności ich dostępność, jestzatemobiektem rosnącej troski społeczeństwa”. Dyrektywa przewidziała cztery zadaniadla agencji. Przede wszyst kim, miała ona być odpowiedzialna za wzmocnienie zdolności Unii Europejskiej,jej państw członkowskich, a także środowiska biznesowego do zapobiegania i zwalczania
wyzwańwdziedziniebezpieczeństwainformacyjnego. Podrugie,agencja miała być organem pomocniczym oraz doradczym dlaKomisji Europejskiejoraz państwczłon
kowskich w kwestiach dotyczących bezpieczeństwa teleinformatycznego, ale tylko w zakresie określonym przez regulamin. Po trzecie, miała stymulować współpracę
międzysektoramipublicznym a prywatnym. Wreszcie po czwarte, miałatakże poma
gaćKomisjiEuropejskiej w rozwoju acquiscommunautairewdziedziniebezpieczeń stwa teleinformatycznego(Regulation (EC) No460/2004).
Powołanie wyspecjalizowanego organu zajmującego się cyberbezpieczeństwem
jużw 2004 rokumogło świadczyć o dużym znaczeniu tej problematyki dlainstytucji
unijnych. Mimo to, przezpierwsze trzy lata funkcjonowania, ENISAwzasadzienie
osiągnęłaznaczących sukcesów. Wydaje się, iżstałosiętak z dwóch powodów. Przede
wszystkim, Unia Europejska, mimo zapisów dyrektywy nr 460, w rzeczywistości
niedostrzegała jeszcze rosnącego znaczenia wyzwań na tym obszarze. Było to tym
widoczniejsze, iż również Sojusz Północnoatlantycki oraz poszczególne państwa członkowskie także niebyły wówczaszainteresowane opracowaniem strategii bezpie czeństwa teleinformatycznego (Myrli). Po drugie, UE nie dysponowałatakże odpo wiednimimechanizmami i procedurami, którepozwoliłyby na rozwinięciewspółpracy
w tej dziedzinie. Kwestiete uznano bowiem przedewszystkim zaobszarbezpośred nichprerogatyw państwowych oraz zakres kompetencji Sojuszu Północnoatlantyckie
go. Ponadto, trwaływówczas prace nadreformąinstytucjonalną Unii, co w pewnym
sensie mogło paraliżować nowe inicjatywy w zakresie cyberbezpieczeństwa. Jedno cześnie jednak, należy zauważyć, iż UE mimo wszystko dysponowała wówczas wy
jątkowymi instrumentami wpływania na porządek prawny krajów członkowskich,
czego jednak należycie nie wykorzystano.
Otendencjach tychświadczył fakt, iż kolejna inicjatywa dotycząca zagrożeń poja
wiającychsięwInternecie, miała miejscedopiero w dwalata po powołaniuENISA.
W maju2006 rokuKomisjaEuropejska wydała komunikat:A strategy for a SecureIn formation Society - „Dialogue,partnershipandempowerment”. Wdokumencie tym
stwierdzono, iżpowstałapotrzeba zbudowania jednolitej i bezpiecznej przestrzeni in formacyjnej UniiEuropejskiej.Podkreślono ambicję budowy „dynamicznej,globalnej strategii dla Europy, bazującej nakulturzebezpieczeństwa” oraz dialogu i partnerstwie. Co ciekawe,zauważono,iż szkodliwa działalność w cyberprzestrzeni nie stanowi za grożenia jedynie dla administracji publicznej, ale także dla sektora prywatnego oraz pojedynczych użytkowników. Tym samym, wskazano na fundamentalne znaczenie
sektora ICT dlagospodarki i rozwojuspołecznego Unii Europejskiej. Zawarte w tym
dokumencie nowe podejście do cyberbezpieczeństwa obejmowało więc trzy główne kierunki działań: wprowadzenie nowych zabezpieczeń teleinformatycznych, zaktuali
zowanieustawodawstwa dotyczącego komunikacji elektronicznejorazwalkę z
cyber-przestępczością. W tym kontekście, Komisja Europejska zapowiedziała działania mające na celu m.in. zwalczanie spamu oraz szkodliwego oprogramowania (szcze gólnie szpiegowskiego), a także wspieranierozwoju współpracy wtej dziedzinie odpo
wiednich służb państw członkowskich. Zauważono również potrzebę stworzenia wspólnego, europejskiego systemu wymiany informacji i ostrzegania oraz osiągnięcia dialogu i partnerstwa między wszystkimi zainteresowanymi stronami. Szczególny na
ciskpołożonotu na współpracęUE nietylko z państwami członkowskimi, ale także
sektorem prywatnym (Communication from the Commission totheCouncil,2006). Za
pisyte należy uznać za ciekawe z trzechpowodów. Przedewszystkim, inicjatywa ta była o tyle istotna, iżpodjęto ją jeszczeprzed „pierwszącyberwojną”w Estonii. Tym
samym, decydenci Unii Europejskiej,przynajmniejoficjalnie, już wcześniejdostrzegli
rosnące wyzwaniadla bezpieczeństwa teleinformatycznego Europy. Po drugie, innym
pozytywnym aspektemtego komunikatu było uznanie,iż skuteczne przeciwdziałanie zagrożeniom wInternecie,nie może sięopierać wyłącznie na instytucjach sektora
pu-blicznego. Współpracaorganówpaństwowych i międzynarodowychz podmiotami gos podarczymi,organizacjami pozarządowymi czy środowiskiem naukowym wydaje się być bowiemjednąz podstawowych zasad przeciwdziałania wyzwaniom teleinforma
tycznym. Wreszcie po trzecie, warto zwrócić uwagę na fakt, iż dokumentUE został
poświęcony przede wszystkim walce zcyberprzestępczością,pomijaj ącinne,omówio
ne wyżej przykładyszkodliwej działalności w sieci. Tymsamym, sugerowało to,Bruk
sela nie przewidywała uwzględnienia tych zagadnień w ramach projektu „Europy
obrony”.Tak więc, należypodkreślić, iż Unia Europejska stosunkowo wcześnie zain
teresowałasię problematykącyberprzestępczości. Niestety, wdużej mierze miało to charakter raczejpozorny, gdyż deklaracjompolitycznym nie towarzyszyły istotniejsze
inicjatywy w wymiarze praktycznym.
Jak wspomniano wcześniej, pewien przełom nastąpił dopiero w kwietniu 2007
roku, kiedy europejskie elity polityczne uświadomiły sobie wagę zagrożeń poja
wiającychsię wcyberprzestrzeni. W reakcji na wydarzenia w Estonii,już w maju Ko misja Europejska wydała komunikat, w którym zwracała się do innych instytucji
unijnych z prośbą o wypracowanie nowej strategii walki z cyberprzestępczością.
Stwierdzono w nim: „W świetle tego zmieniaj ącegosię środowiska, poj awiła siępaląca potrzeba podjęcia działań - tak na narodowym, jak i europejskim poziomie- przeciwko
wszelkimformom cyberprzestępczości, które stanowią corazpoważniejsze zagrożenie dla infrastruktury krytycznej, społeczności, biznesu oraz obywateli”. Zauważono, iż
walka z tego typu wyzwaniamijest wdużej mierze utrudnionawątpliwościami natury
prawnej, jurysdykcyjnej orazczystotechnicznej, związanej z identyfikacją sprawcy
ataku. Komisja podkreśliła potrzebę promowania europejskiej i międzynarodowej współpracyw tej dziedzinie.Do głównych jej założeń zaliczonom.in. walkę z cyber
przestępczością na poziomie narodowym,europejskim imiędzynarodowymoraz przy
gotowanie unijnej strategii wtej dziedzinie. Potwierdzono tym samym,iżto kwestie
kryminalnestały się głównym obiektem zainteresowania instytucji UE.Wśród innych
priorytetów KEwymieniono również pracę na rzecz zwiększenia świadomości na
temat zagrożeń pojawiających sięw Internecie.Do zadańnaprzyszłość zaliczono nato miast: rozwój współpracy operacyjnej służb, organizację wspólnychćwiczeń w zakresie
bezpieczeństwa teleinformatycznego, wzmocnienie dialogu z sektorem przemysło
wym, harmonizację narodowych regulacji prawnych oraz stworzenie instrumentów
służących gromadzeniu danych i statystyk dotyczących cyberprzestępczości. Wresz
cie, w dokumencie tympodkreślono znaczenie dotychczasowej aktywności Komisji
Europejskiejnaarenie międzynarodowej, w ramach takich struktur G-8 Lyon-Roma
High-Tech Crime Group lub Interpol (Communication, 2007). Warto zauważyć, iż
Unia Europejska zareagowałastosunkowo szybko na wydarzenia zEstonii, proponując pewien wachlarz rozwiązań, które miały stać sięfundamentem unijnejpolityki cyber- bezpieczeństwa.Na szczególną uwagęzasługuje fakt, iż Komisja Europejska skupiła się na tych wyzwaniach,któremiały związek z szeroko rozumianą cyberprzestępczoś
cią. Tymsamym,szkodliwądziałalnośćw sieci inspirowanąprzez państwa pozostawio
now gestii państw członkowskich oraz SojuszuPółnocnoatlantyckiego.Jednocześnie wartozauważyć, iż rozwiązania w tej dziedzinie byłyznacznieutrudnione ze względu na brakzgodywszystkich państwczłonkowskich naratyfikacj ę Konwencji Rady Euro pyo Cyberprzestępczości (TheGrowing Pains').
Wbrewoczekiwaniom, komunikatKE z maja 2007 roku spotkałsię jednak tylko
z ograniczonym zainteresowaniem innych organów i państw członkowskich UE.
Świadczył o tym fakt, iż dopiero w czerwcu 2008 roku podjęto działania narzecz
wdrożenia jego niektórychzałożeń. Rozpoczęto wówczas program SaferInternet Plus, któryprzewidywał czteryrodzajedziałańpodejmowanychprzez UE:walkę z niele
galną zawartością sieci,powstrzymywanie szkodliwej działalności (np. spamuzapo mocą specjalnych filtrówonline), promocję bezpieczniejszego środowiskasieciowego oraz wzmocnienie świadomości użytkowników. Na realizację tych celów w latach 2009-2013 przeznaczonowsumie 55 milionów euro(Making the Internet). Na uwagę
zasługują także podjęte w 2008roku publiczne konsultacje na temat bezpieczeństwa teleinformatycznego: Towards a Strengthened Network and Information Security in
Europe.Komisja Europejska stwierdziła wówczas, iż systemykomunikacyjne i infor macyjne „stają się systemem nerwowym naszego nowoczesnego społeczeństwa. Wiele usługi procesów wramach naszej gospodarki i społeczeństwajestzależnych od ich do
brego funkcjonowania” (Commission launches, 2008). Inicjatywy te można oceniać z dwóch perspektyw. Z jednej strony, należy zauważyć, iż wtym okresie to KE stała się
głównym promotoremeuropejskich działań na rzeczbudowywspólnej strategii prze ciwdziałania cyberprzestępczości. Zdrugiejjednak, wysiłki UE nadal nie przystawały
do wagi stale ewoluujących zagrożeń teleinformatycznych. Wydaje się, iżwdużej mie
rzemogłoto wynikać z niepewnego statusu traktatu reformującego UE.
Do pewnej intensyfikacji działańw tej dziedzinie doszło dopiero w marcu 2009
roku, kiedyKEprzyjęła kolejny komunikat,tym razem w sprawie ochronyinfrastruk turykrytycznej. Sugerowało to,iż UE poszerzyła zakres problemowy polityki bez
pieczeństwa teleinformatycznego pod wpływem doświadczeń wojny na Kaukazie w sierpniu2008 roku. Był to wstęp dorealizacji europejskiego programu ochronyin frastruktury krytycznej (An EuropeanProgramme forCritical Infrastructure Protec tion). Jegozasadniczym przesłaniem było stwierdzenie, iż sektor ICT powinienbyć
w przyszłości dla Europy priorytetowągałęzią gospodarki. W komunikacie podkreślo
nopotrzebę wyznaczenia najważniejszych części składowych europejskiej infrastruk tury krytycznej. Wynikało to zeświadomości Brukseli, iż ataki natego typu cele mogą
stanowićpoważnezagrożenie takdlagospodarki,jak i bezpieczeństwaludnościUnii Europejskiej. Wtymkontekście, zaakcentowano ponownie potrzebęosiągnięcialep szej koordynacji narodowych wysiłków wzakresiecyberbezpieczeństwa. Ponadto, za
uważonotakże koniecznośćrozwoju współpracy na arenie międzynarodowej,przede
wszystkimze względu natransnarodowy i globalny charakter Internetu. Nowy plan zwiększenia odpornościkrytycznej infrastruktury UE na cyberataki został więcoparty
na pięciu filarach:
- gotowości i zapobieganiu,które obejmowały m.in.osiągnięcieogólnoeuropejskiego porozumienia w sprawie minimalnych standardówzabezpieczeń oraz powołania
krajowych zespołów CERT we wszystkich państwach członkowskich3;
3 Zestaw tychwymagań został przyjętywgrudniu2009rokuprzez ENISĘ, przywspółpracy z europejskimśrodowiskiem zespołów CERT. W 2010 roku, zostały one przekształcone w zestaw re komendacjipolityki cyberbezpieczeństwa dla państw członkowskich (Baseline capabilities).
- wykrywaniui reagowaniu,polegających m.in. na budowie europejskiego systemu
wymiany informacji o zagrożeniachteleinformatycznych (European Information Sharing and Alert System -EISAS);
- łagodzeniu skutków i przywracaniu sprawności operacyjnej,mających na celu opra
cowaniekrajowychplanów awaryjnych oraz organizacjęregularnychćwiczeń wza kresie reagowania na cyberataki przeciwkoinfrastrukturzesieciowej. Co ciekawe,
europejskie ćwiczenia miały być wzorowane na amerykańskich CyberStorm', - współpracymiędzynarodowejobejmującej przygotowaniem.in. mapydrogowej dla
globalnejkooperacji w dziedzinie bezpieczeństwateleinformatycznego;
- opracowaniu standardów zabezpieczeń dla sektora ICT oraz wyznaczeniu elemen tów europejskiej krytycznej infrastruktury teleinformatycznej (Communication, 2009).
Przyjęty po 2007 r. kierunek rozwoju europejskiejpolityki cyberbezpieczeństwa został potwierdzony w maju2010roku,kiedy Unia Europejska przyjęła kolejnyistotny
dokument: Agendę Cyfrową dla Europy(A Digital Agenda for Europe).Podkreślono
w nim zasadniczy związek między bezpieczeństwem teleinformatycznym a długo
trwałymrozwojem gospodarczymi społecznym Europy, opartym o wolny rynek i tech nologie cyfrowe. Zauważono,iżzabezpieczenie Uniiprzed tegotypu wyzwaniami jest warunkiem sinequanon realizacji przedstawionej przez Komisję Europejską strategii Europa 2020. Ponadto, rozwój gospodarki cyfrowej, acoza tym idzie, przezwycięże
nie kryzysu gospodarczego w UE byłoby, według autorów, możliwe tylkopoprzezwy ciężeniusiedmiu zasadniczych przeszkód, do których zaliczono cyberprzestępczość. W dokumencie stwierdzono: „Europejczycy nie będą chcieli angażować sięw coraz
bardziej złożoną działalność internetową o ilenie będą mieli pewności, że oni sami lub ichdzieci mogą w pełni polegać nasieci.Dlatego Europa musizająć sięnowąformą
działalności kryminalnej - „cyberprzestępczością” - obejmującąmiędzyinnymi wy korzystywanie dzieci, kradzież tożsamości i ataki cybernetyczne orazmusi opracować odpowiednie mechanizmy reakcji. Jednocześnie powstawanie nowych baz danych i nowych technologii zezwalających na zdalną kontrolę osób stanowi nowe wyzwanie dla ochronypodstawowychpraw Europejczyków wzakresiedanych osobistych i pry
watności. Internetstałsię tak nieodzowną częścią infrastruktury informacyjnej zarów
no dla osób prywatnych, jak i dla gospodarki europejskiej, że musimy zapewnić odpornośćsystemów informatycznych i siecina wszelkiego rodzaju nowe zagrożenia”. W celu realizacji tych założeń, Komisja Europejska zadeklarowała m.in.unowocześ nienie ENISA,rozbudowęeuropejskich zespołów reagowania na incydenty komputero
we, przygotowanie do 2012 roku europejskiej platformy walkiz cyberprzestępczością,
wypracowanienowych przepisówi procedurreagowania na cyberataki oraz przepro wadzenie analizy możliwości powołania centrum ds. walkiz przestępczością interne
tową(Communication, 2010).
Potwierdzeniem obranegokierunku rozwoju polityki cyberbezpieczeństwabył ko lejny komunikat KomisjiEuropejskiej zmarca 2011 roku. Został on w pełni poświęco ny ochronie krytycznej infrastruktury teleinformatycznej UE. W dokumencie tym podkreślono świadomość dynamicznego rozwoju wyzwań rodzących sięw sieci. Po razkolejny stwierdzono,iż niesą onewłaściwe j edynie dla Unii, przez co walkaznimi
sowych osiągnięć polityki cyberbezpieczeństwa zaliczono: wymianę doświadczeń w ramach EuropejskiegoForum Państw Członkowskich (EuropeanForum ofMember
States), powołanie europejskiego partnerstwa publiczno-prywatnego (European Pu blic-Private Partnership for Resilience), ustalenieminimalnych wymogóworaz reko mendacji dla państw członkowskich,stworzenie mapydrogowej rozwoju europejskiego systemu wymiany informacji oraz alarmów w ramach ENISA oraz przeprowadzenie
pierwszych paneuropejskich ćwiczeń wtejdziedzinie,które miały miejsce 4 listopada
2010 roku. Wzięło w nich aktywny udział 19 państw członkowskich UE wraz ze Szwajcarią, Norwegią orazIslandią.Wśródsukcesów, dokument KE wymienił także aktywnośćUniiEuropejskiej naareniemiędzynarodowej, w tymwspółpracę ze Stana mi Zjednoczonymi,OECD,ITU,NATOczygrupą G-8. Ponadto, za istotne osiągnięcie uznano wyznaczenie najważniejszych elementów krytycznej infrastruktury teleinfor
matycznej. Wreszcie, KE ustanowiła kilkazadań na przyszłość:
- promocję elastyczności oraz stabilnościfunkcjonowaniaInternetu, poprzez aktywną
współpracęUEz innymi partneraminaarenie międzynarodowej;
- budowę strategicznych partnerstw,obejmujących z jednej strony współpracęnaro dowych zespołów reagowania na incydenty komputerowe(CERT), z drugiej nato
miast, funkcjonowanie powołanej w 2010 roku europejsko-amerykańskiej grupy
roboczej ds. cyberbezpieczeństwai cyberprzestępczości (EU-U.S. Working Group on Cyber-Security andCyber-Crime);
- rozwój zaufaniaw sieciowej „chmurze”, obejmujący dynamicznedostosowywanie się do stale rozwijających się technologii;
- wzmocnienieprzygotowaniaUnii Europejskiej do obrony przed cyberatakami, przede wszystkim dzięki stworzeniu sieci dobrze działających narodowychzespołówre agowania na incydenty komputerowe dokońca 2012 roku;
- opracowanie do 2012 r. planów UE nawypadek wystąpienia poważnych cyber-
ataków oraz przeprowadzanie regularnych, paneuropejskich ćwiczeńw przestrzeni
teleinformatycznej ;
- koordynacja wysiłków państwczłonkowskich oraz Komisji Europejskiej w celu promocji norm irozwiązań wzakresieglobalnej „stabilności oraz elastyczności”
Internetu.
Co ważne,w dokumencie stwierdzono, iż celem Unii Europejskiej jestzrównow
ażenie dotychczasowej dyskusji na tematcyberbezpieczeństwa, która w zbytdużym stopniu skupia się na kwestiachmilitarnych oraz bezpieczeństwienarodowym (Com
munication, 2011). Wydaje się, iż było to bardzo znamienne sformułowanie. Potwier dziło bowiem odmienny charakter polityki cyberbezpieczeństwa UE, skupionej na walcez cyberprzestępczością i wypracowaniuodpowiednich norm i procedur, tak w ra
mach partnerstwa publiczno-prywatnego, jak i współpracy międzynarodowej. Tym
samym, UniaEuropejska nie podejmowała prób dublowanianarodowychbądźnatow skich kompetencji w tej dziedzinie.
Bezwzględunapowyższe deklaracj e,j ednak nieulega wątpliwości,iż rzeczywiste osiągnięciaUnii Europejskiejwdziedziniebezpieczeństwa teleinformatycznego były
do2011 roku dośćograniczone. Takprzed jak i po2007 roku opracowanocoprawda szereg dokumentów o charakterze koncepcyjnym, jednak ich praktyczne znaczenie
przystosowanado wyzwań, które ujawniły się wcyberprzestrzeni.Tymsamym, sukce sy wymienione przez Komisję Europejską odegrały raczej niewielką rolę. Pewne sygnały zmian pojawiły siędopierow 2012 roku. Już w marcu bowiem powołano nową komórkę w ramach Europolu: Europejskie Centrum Cyberprzestępczości (European Cybercrime Center). Do głównych obszarów zainteresowania ECC, przy poszanowa
niu zasadysubsydiamości, zaliczono przede wszystkim: zorganizowaną
cyberprzes-tępczość, najbardziej szkodliwe akty przestępcze w sieci, np. na tleseksualnymoraz atakiprzeciwkoinfrastrukturze krytycznej. ECC mapełnić następującefunkcje:
- centralnego punktu wymiany informacji na temat cyberprzestępczości w ramach Unii Europejskiej,tak dla zespołów CERT, jakisektora prywatnego;
- wspomagania państw członkowskich w zakresie sporządzania ekspertyz orazpro
wadzania ćwiczeń;
- wspierania dochodzeńprowadzonych przez służby państw członkowskich w zakre
sie przestępczości teleinformatycznej;
- reprezentowania europejskiego punktu widzenia w debatach na temat cyberprze
stępczości z sektorem prywatnym, środowiskiem naukowym czyorganizacjamipo zarządowymi.
Szczególnie ciekawy wydaj e się ten ostatni punkt. Odpowiednie zwalczanie za grożeń pojawiających sięw cyberprzestrzeni nie jest bowiem możliwe jedynieprzy wykorzystaniu środków i służbpublicznych.Zgodnie z zapowiedziami, ECCpowinno
osiągnąć pełną gotowość operacyjną do 2013roku.W komunikacie KomisjiEuropej skiej na ten temat potwierdzono, iżto właśnie działalność kryminalna wInternecie zo stała uznanaza jednoz najpoważniejszych wyzwań stojących takprzed UE,jak i całą
społecznościąmiędzynarodową. Ponadto, Europol zintensyfikował swoją aktywność
wcyberprzestrzeni,czegowyrazem była m.in.operacjaRescue, w ramach której ujęto
niemal 200 przestępcówna tleseksualnym(Communication,2012). Wyrazemrealiza cji wcześniejszych założeń były także nowe inicjatywy podejmowane przez ENISA.
Przykładowo w październiku2012 roku ogłosiła ona europejski miesiąc cyberbez-
pieczeństwa. Głównym założeniem tego projektu było zwiększenie świadomości społeczeństw oraz elit politycznychtą problematyką. Warto dodać, iż stanowił on
pewnąformęuzupełnienia podobnych działańwramach EU-U.S. WorkingGroup on
Cyber-Security and Cyber-Crime {European CyberSecurity Month).
Innymprzejawemwdrażania założeń politykicyberbezpieczeństwa Unii Europej skiej w 2012 było z pewnościąwsparciebadań w tej dziedzinie.W listopadzie, Komisja Europejska zadeklarowałabowiem, iż mając świadomość wyzwań stójących na drodze
realizacji agendycyfrowej,zdecydowanosię zintensyfikować działalność naukową na
tym obszarze. W latach 2007-2013 KE przeznaczyła na ten cel ok.350 mineuro.Nato miast w budżecie na lata 2013-2020 przewidzianoaż 400mineuro,wraz z kolejnymi 450 min euro z projektu SecureSocieties. Wśródnajistotniejszych inicjatyw nauko
wych, KE wymieniła: Syssec, Nessos, TECOM oraz projekty rozwijające techniki
kryptograficzne (Digital Agenda).Wzrost środków na badania o 14%był więc kolej
nym sygnałem priorytetyzacjipolityki cyberbezpieczeństwa UE (Baker,2012).
Wartozauważyć,iż na przełomie pierwszej i drugiej dekady XXI wieku,równolegle
zdziałaniamipodejmowanymi przez KE, kwestie te znalazły sięrównieżw obszarzeza interesowań europejskiej dyplomacji.Na konferencji w Budapeszcie4października
2012 roku Catherine Ashton stwierdziła bowiem wyraźnie, iż Internet ma ogromne
znaczenie,nietylko dla rozwoju gospodarczego Europy, ale także przemianpolitycz
nych i społecznych, co najlepiej udowodniłaarabska wiosna. W związku z tym, wol ność słowa, wolność zrzeszania się czy prawo dostępu do informacji powinny być respektowane również w cyberprzestrzeni. Jej zdaniem, Internet nie może stać się
„ofiarą własnego sukcesu”. Zadeklarowaławięc,iż„Unia Europejska jest zdetermino wana, aby promować i bronić swoich wartości online”. Według Ashton, kwestia ta
stałasięjednym zfundamentalnychcelów dyplomacjiUnii Europejskiej (Ashton 2012). W 2012roku,wyzwaniami w cyberprzestrzenizainteresował sięrównieżParlament Europejski. Wtym kontekście, najistotniejsze znaczenie miał raportz listopada spo
rządzony przez eurodeputowanegoTunne Kelama.Stwierdzono wnim rażącą niesku teczność dotychczasowychwysiłków UE na rzecz cyberbezpieczeństwa. T. Kelam zauważył,iż w ramach UE brakujejednoznacznychrozwiązań koncepcyjnychi proce duralnych wtej dziedzinie. Jego zdaniem, UniaEuropejskazbyt późno zareagowała na zagrożeniakomputerowe, co wynika międzyinnymi z brakudostatecznejkoordynacji
na szczeblu europejskim oraz brakuspójności pomiędzy strategiamicyberbezpieczeń stwa poszczególnych państw członkowskich. W związku ztym,raport zaakcentował
potrzebę budowy wzajemnego zaufania między sektorami publicznym iprywatnym oraz przygotowania i implementacji narodowych strategii cyberbezpieczeństwa. Co
więcej,w raporcie zaznaczono,iż problematykatapowinna być nie tylko obiektem za interesowania ENISA ale także Europejskiej Agencji Obrony, co sugerowało otworze
nie się namilitarny wymiarcyberprzestrzeni. Wreszcie, zaapelował do Europejskiej Służby Działań Zewnętrznych, aby wwiększymstopniuniżdotychczas,położyła na
cisk na współpracę z innymi podmiotami międzynarodowymi, wtym przedewszyst
kim zUSA (EU CyberSecurityand Defense). Na problem tenzwróciliuwagę również inni członkowie Parlamentu Europejskiego.W listopadzie 2012rokuna spotkaniu poś więconymbezpieczeństwu teleinformatycznemu,po raz kolejny krytycznieodnieśli
się oni do dotychczasowych działań Unii. Zauważono wówczas, iżUEpowinna skoń
czyć z tendencją do „delegowania problemów bezpieczeństwa na innych”. Przestrze
gano przed redukowaniem budżetówobronnych oraz zaakcentowano potrzebę budowy
strategii cyberbezpieczeństwa na poziomie unijnym. Stwierdzono bowiem, iż rozwój
sieci teleinformatycznych wiąże sięzzagrożeniami dla„bezpieczeństwa, obronności,
stabilności ikonkurencyjności UE” (Smith,2012).
Wreszcie,o pewnych osiągnięciach UniiEuropejskiej naobszarze bezpieczeństwa teleinformatycznego świadczy także fakt powołania 1 września 2012 roku Zespołu Re agowania na Incydenty Komputerowe UniiEuropejskiej (Computer Emergency
Res-ponse Team-CERT-UE). Składa się onz ekspertów komputerowych pochodzących z najważniejszychinstytucji Unii Europejskiej: KomisjiEuropejskiej, Parlamentu Eu ropejskiego czy Komitetu Regionów. Głównym zadaniem CERT-EU jest wspieranie
innych instytucji Uniiwochronie przeciwko„intencjonalnymizłośliwym atakom, któ re zaszkodziłybyintegralności ichaktywów teleinformatycznych oraz szkodziłyby in
teresom Unii Europejskiej”. Nowy organ pełni więc cztery funkcje: wykrywania,
prewencji, odpowiedzi orazregeneracji uszkodzonej infrastruktury (RFC2350). Po wołanie tego zespołu było przede wszystkim realizacją jednego z najważniejszych zapisów AgendyCyfrowejdla Europy. Z drugiejjednak strony, porównując działania
UE do reform, które po 2007roku przeprowadził Sojusz Północnoatlantycki, może dzi wić tak długi okres jego tworzenia. Jest to tym ciekawsze, iż w tym samymokresie, Unia Europejska kładła duży nacisk na wypracowanie narodowych rozwiązań na ob szarze cyberbezpieczeństwa, przede wszystkim poprzez powołanie zespołówCERT we wszystkichpaństwach członkowskich.
Zakończenie
Szkodliwa działalnośćw cyberprzestrzeni, tak o charakterze przestępczym, jak i pań stwowym, w XXI wieku stała się poważnymwyzwaniem dla politykiwewnętrznej oraz bezpieczeństwa i obronyUnii Europejskiej. Bruksela stosunkowo wcześnie zain
teresowała się problematyką bezpieczeństwa teleinformatycznego, czego wyrazem
stało się powołanie European Network and Information Security Agency.Nie ulega
jednak wątpliwości, iż podjęte po 2004 roku działaniaw dużej mierze rozminęły się
z wagą wyzwań teleinformatycznych. Nowy rozdział polityki cyberbezpieczeństwa
UE został otworzony dopiero w2007 roku,kiedy w wyniku pierwszej cyberwojny wEstonii, europejscy decydenci uświadomili sobieczęściowopotrzebę wypracowania kompleksowych rozwiązań w tejdziedzinie. W przeciwieństwie jednakdo niektórych
państwczłonkowskich, np. Francji (Information systemsdefence and security),Nie miec (Cyber Security Strategy for Germany), Wielkiej Brytanii, Polski czy Sojuszu Północnoatlantyckiego, początkowe prace nad politykącyberbezpieczeństwa miały
charakter niemal wyłącznie koncepcyjny. Porównując wysiłki poczynione przez NATO
(Healey, von.Bochoven, 2012) i UE po 2007 roku, woczy rzuca się niewielkie zainte resowanie Brukseli wypracowaniem praktycznych ramwspółpracywcyberprzestrze
ni. Możnawskazać natrzy grupypowodów tego stanu rzeczy. Przede wszystkim,
europejscy decydenci nie chcieli dublować struktur i rozwiązań z zakresu „twardego
bezpieczeństwa”poczynionych przez Sojusz Północnoatlantycki. Podrugie, polityka cyberbezpieczeństwa była postrzegana jako obszar kompetencji państw członkow
skich.Wreszcie po trzecie,kwestie związane zrozwojem idei „Europy obrony” wokre
sie prac nad traktatem reformującym UEzeszły na dalszy plan. Wyrazempowyższych tendencji byłykolejne dokumenty przedstawiane przezKomisję Europejską, w których wielokrotnie podkreślano,iż UE kwestie bezpieczeństwa teleinformatycznego postrze gałaprzede wszystkim zperspektywy cyberprzestępczościi szkód, jakie wyrządza ona rozwojowi gospodarczemui społecznemu. Ten kierunek działań wydaje się szcze gólnieinteresujący,ponieważ kładł on nacisk na niemilitame i niepaństwowe aspekty
szkodliwego wykorzystania sieci. Tym samym, Unia Europejskadziałała nieco pod
prąd globalnych tendencjiwyrażanych m.in. przez Stany Zjednoczone,którezaczęły
postrzegaćcyberprzestrzeń jako kolejny teatr konfliktu zbrojnego. Tym samym, nie dość, że UEniedublowała funkcji i kompetencjipaństwczłonkowskich oraz NATO,
to jeszcze znalazła pewną „niszę” w tej dziedzinie. Należy bowiem pamiętać, iż do 2007roku nie udało się wypracować spójnych i efektywnychram współpracy między
narodowej wzakresiezwalczania przestępczości teleinformatycznej. Przykłademnie
skuteczności wcześniejszych rozwiązań tego typu były poważne problemy, jakie napotkała ratyfikacja Konwencji Rady Europy o Cyberprzestępczości. O wadze
współpracy na poziomie europejskim i międzynarodowym świadczył także fakt, iż
szkodliwa działalnośćw Internecie ma charakter transnarodowy, przez co rozwiązania na poziomie państwowym częstokroć mogłysię okazywaćmało efektywne.
Komisja Europejska od2007roku wydała szereg dokumentów,deklaracji i komuni katów,które w ciekawy sposóbujmowały problematykę cyberbezpieczeństwa,wska
zując nanajważniejszezagrożenia i dylematy, ale także proponując ciekawedefinicje
zagrożeń oraz pewne rozwiązania praktyczne. Niestety, propozycje KE tylko w niewiel kim stopniuzostałyzrealizowane. Mimo wielokrotnegopodkreślania, że UE dostrzega
znaczenie wyzwańw cyberprzestrzeni, merytoryczna współpraca państw członkow skichoraz instytucji Unii rozwijała siębardzo powoli. Do istotnych osiągnięć Uniina leżyzpewnościązaliczyćm.in. wzmocnienie potencjału ENISA, budowę europejskiego systemu wymiany informacji i alarmów (EISAS),rozpoczęcieprogramu ochrony in frastruktury krytycznej (An EuropeanProgramme forCritical Infrastructure Protec-
tiori), czy rozwój partnerstwa publiczno-prywatnego. Byłytoważne inicjatywy, które
świadczyłyorosnącymzrozumieniuzagrożeń pojawiających sięw cyberprzestrzeni.
Na szczególnąuwagęzasługuje rozwój współpracy z sektorem prywatnym,organiza
cjami pozarządowymi oraz środowiskiemnaukowym,co jest jednym zpodstawowych warunków skutecznego przeciwdziałaniacyberprzestępczości. Wreszcie, należypod kreślić postępy w zakresie organizacji ćwiczeń zespołów reagowania na incydenty komputerowe. Z drugiej jednak strony, wydaje się, iżdziałania Unii Europejskiej w tej
dziedzinie w dużej mierze rozminęły się zpotrzebami oraz oczekiwaniami. Przede
wszystkim, uderza bardzo długi okres formułowania podstawowych celówi założeń unijnej polityki cyberbezpieczeństwa. Co prawda, pierwsze dokumenty poświęcone
temu zagadnieniu pojawiły się jeszcze przed2007 rokiem, to jednakspójne plany opra cowano dopiero 2lata później. Najdobitniej o poważnych opóźnieniach świadczył fakt,
iżdopiero w 2012 roku powołanoeuropejski zespół reagowania naincydenty kompute
rowe (CERT-UE), copowinnobyć jednym z pierwszych posunięć UE. Intensyfikacja
działań na tym kierunku dopiero w 2012roku, czyli 5 latpo pierwszej cyberwojnie
świadczyła więc o poważnych zaniedbaniach. Po drugie, należy zauważyć, iż za wieloma deklaracjami KomisjiEuropejskiej bądź innych instytucji Unii niepodążyły
konkretne inicjatywy. Stało się to szczególnie widoczne w przypadku współpracy
międzynarodowej. Poza partnerstwemeuropejsko-amerykańskim,trudno bowiem wska zać na inneważne iskutecznie funkcjonujące, globalne inicjatywy wzakresie cyber bezpieczeństwa, których UE byłaby aktywnym uczestnikiem. Po trzecie wreszcie,
może dziwićfakt, iż UniaEuropejska dokońca 2012 rokunie opracowałajednolitej
i spójnej strategiicyberbezpieczeństwa. Jejrolępełniły dotychczas kolejne komunika
ty i programy (np. CIIP)KomisjiEuropejskiej oraz Agenda Cyfrowa dla Europy, które
szeroko nawiązywały do tejproblematyki.
Politykę Unii Europejskiej wobec zagrożeń teleinformatycznych na przełomie pierwszej idrugiej dekady XXI wiekumożna więc oceniaćdwojako. Z jednej strony, należy docenić, iż UE, mimowielu przytoczonych powyżej głosów,niepodjęła kro
ków zmierzających do dublowaniakompetencji państwczłonkowskichoraz funkcji Sojuszu Północnoatlantyckiego. Skupienie się na problematyce cyberprzestępczości
należy uznać zazasadne,nietylko z powodu jej rosnącegoznaczenia dla bezpieczeń stwa UE, aletakżedotychczasniedostatecznie wykształconych mechanizmów współpra
cy ponadnarodowej.Mimowieloletniegookresu formułowania polityki bezpieczeństwa teleinformatycznegoUE,potencjał ten nie został jednak dostatecznie wykorzystany.
Wartozauważyć,iż tymczasowe inicjatywy Brukselibyły realizowane bardzo powoli,
często rozmijając się z dynamiką i charakterem pojawiających sięw Interneciewyz
wań.Zdrugiej strony,można jednakzaobserwować intensyfikację współpracyw tym
zakresie, która uwidoczniła się pod koniec 2012 roku.Wtymkontekście, Unia
Euro-pejska na początku drugiejdekady XXI wieku stoiprzed szeregiem wyzwań w zakresie rozwoju polityki cyberbezpieczeństwa. Należy do nich zaliczyć m.in.:określeniejas
nych ram współpracy w środowisku międzynarodowym oraz na poziomie europej
skim, opracowanie spójnej strategii cyberbezpieczeństwa UE, rozwój zdolności
wzakresie koordynacji polityk państw członkowskich, organizacja wspólnychszko leń, ćwiczeń i manewrów, rozbudowa potencjałureagowania naincydenty komputero we, przygotowanie odpowiednich rozwiązań legislacyjnych oraz, lastbut not least, określenie jasnego stanowiska wobec dylematów związanych z ochroną wolności i prywatności użytkownikówInternetu(Bendiek, 2012).Reasumując wydaje się, iż od powiednie ustosunkowanie się do tych wyzwań będziejednym z czynników, które w przyszłościbędą wpływały nasytuację bezpieczeństwa Unii Europejskiej, tak w wy miarzewewnętrznym, jaki międzynarodowym.
Bibliografia
Aboutus, CERT-EU, http://cert.europa.eu/cert/plainedition/en/cert_about.html.
Adair S., Deibert R., Walton G., Shadows inthe Cloud: Investigating Cyber Espionage 2.0,Informa tion Warfare Monitor, Shadowserver Foundation, 6.04.2010.
AshtonC., SpeechEUHighRepresentative CatherineAshton on Cyber security:an open,free andse
cure Internet,European UnionExternal Action, Budapest, 4.10.2012.
BakerJ., EU’scybersecuritybudgetup 14%, IT World, 26.11.2012,http://www.itworld.com/it-mana- gement/321574/eus-cybersecurity-budget-14, 12.12.2012.
Baseline capabilities for national/governmental CERTs, European Network and Information Security Agency, Version 1.0, Initial Draft, December2009.
Bautzmann A. (2012), Lecyberspace,nouveau champde bataille?, „Diplomatie”, luty-marzec. Bendiek A. (2012),European Cyber SecurityPolicy, „SWPResearch Paper”,RP 13.
Bógdał-BrzezińskaA., GawryckiM. F. (2003), Cyberterroryzm i problemy bezpieczeństwa informa cyjnego we współczesnym świecie, FundacjiaStudiów Międzynarodowych, Warszawa. Clarke R. A., Knake R. (2010), Cyberwar:The Next Threat toNational Security and What to DoAbout
It,Ecco,NewYork.
Commission launches public consultation on networkand information society,Europe’s Information Society, 7.11.2008, http://ec.europa.eu/information_society/newsroom/cf/itemdetail.cfm7it-em_id=4464, 10.12.2012.
Communication from theCommission totheCounciland the European Parliament-Tackling Crime
in ourDigital Age: Establishing a European Cybercrime Centre(2012), Commission of the EuropeanCommunities, COM(2012) 140 final, Brussels, 28.03.2012.
Communication from the Commission to the Council,the European Parliament,the European Econo micand Social Committeeand theCommittee of theRegions (2006), Commission ofthe Eu ropeanUnion, COM(2006) 251 Final,Brussels, 31.05.2006.
Communication from the Commission to the EuropeanParliament, the Council and the Committee of the Regions,Towards the generalpolicy on thefight against cyber crime (2007), Commission of the EuropeanCommunities, Brussels 22.05.2007.
Communication from the Commission to the European Parliament, the Council,the European Econo micand Social Committee and the Committee of the Regions on Critical Information Infra structureProtection -Protecting Europe from large scale cyber-attacksand disruptions: enhancing preparedness, security andresilience(2009), Commission of the European Com munities, COM(2009) 149 Final, Brussels, 30.03.2009.
Communication from the Commission to the European Parliament, the Council,the European Econo micand Social Committee and the Committee of the Regions on Critical Information Infra structure Protection-A Digital Agenda for Europe (2010), Commission of theEuropean Communities, COM(2010)245 Final,Brussels, 19.05.2010.
Communication from the Commission to the European Parliament, the Council,the European Econo micand Social Committee and the Committee of the Regions on Critical Information Infra structureProtection -Achievements and next steps: towardsglobal cyber-security (2011), Commission of the EuropeanCommunities,COM(2011) 163 Final, Brussels, 31.03.2011.
Conférence sur la sécurité„ Wehrkunde ”. Allocution duPrésident dela République (2009), M. Nico las Sarkozy,Déclaration de la politiqueétrangères, Munich,7.02.2009.
Cyber SecurityStrategy for Germany,Federal Ministry of theInterior, February 2011.
Cyberprzestrzeń - definicje, www.techsty.art.pl, 3.12.2012.
Departmentof Defense Strategyfor Operating in Cyberspace, U.S. DepartmentofDefense, July 2011.
Digital Agenda: European Commissionsupports research on Cyber security, Europa PressRelease, MEMO/12/899, 26.11.2012, http://europa.eu/rapid/press-release_MEMO-12-899_en.htm, 12.12.2012.
Dziwisz D. (2011),Cyberbezpieczeństwo -nowy priorytet strategii obronyStanówZjednoczonych,
„Sprawy Międzynarodowe”, nr 3.
Electronic Civil Disobedience & Hacktivism, Zapatistas: the first „postmodern” revolution, 17.10.2011.
Ellis B. W. (10.04.2011),The International Legal Implications andLimitationsofInformation Warfare:
What are the Options?, „USAWC Strategy Research Project”.
EUCyber Security andDefense:time toact now!Tunne Kelam MEP, EPP Group in the EuropeanPar liament, PressRelease, 22.11.2012, http://www.eppgroup.eu/press/showpr.asp7prcontroldoc-typeid=1 &prcontrolid= 11543&prcontentid=19197&prcontentlg=en, 12.12.2012.
European Cyber Security Month, European Network and Information Security Agency, http://www.enisa.europa.eu/activities/cert/security-month, 12.12.2012.
Finklea K. M., Theohary C.A. (20.07.2012),Cybercrime: Conceptual Issues for Congress and U.S. Law Enforcement, „Congressional Research Service”.
Gordons., FordR. (2003),Cyberterrorism?, „SymantecSecurityResponseWhite Paper”,Cupertino. Healey J., van Bochoven L. (2012), NATO’s CyberCapabilities: Yesterday, Today, and Tomorrow,
„Atlantic Council Issue Brief’, February.
Information systems defence andsecurity. France’sStrategy,Agence Nationalede la Sécurité des Systèmes d’information, February 2011.
Konwencja Rady Europyo Cyberprzestępczości,RadaEuropy, Budapeszt, 23.11.2001.
Łakomy M. (2010), Znaczenie cyberprzestrzeni dla bezpieczeństwa państw na początku XXIwieku,
Łakomy M.(2011), Cyberwojna jakorzeczywistość XXIwieku, „Stosunki Międzynarodowe - Inter national Relations”, nr3^1.
Liedel K.,Grzelak M. (2012), Bezpieczeństwo w cyberprzestrzeni. Zagrożenia iwyzwania dla Polski -zarys problemu, „Bezpieczeństwo narodowe”, nr2.
MakingtheInterneta safer place, European Commission. Information Society and Media, June 2008, http://ec.europa.eu/information_society/doc/factslieets/018-saferintemetplus-en.pdf, 10.12.2012. Myrli S., NATOand Cyber Defence, NATOParliamentary Assembly, 173 DSCFC09 EBIS.
NationalSecurity Strategy, The White House, Washington D.C. 2010.
Regulation (EC) No 460/2004ofthe EuropeanParliamentandof theCouncil of10 March 2004esta blishingthe EuropeanNetwork and Information SecurityAgency (Text with EEArelevance) (2004), Official Journal L 077,EURLEX, 13.03.2004.
Rewizorski M. (2010), Rola Unii Europejskiejwbudowie nowego ładu międzynarodowego,„Rocznik Integracji Europejskiej”, nr 4.
RFC 2350, Computer EmergencyResponse Team - CERT-UE, 25.10.2012.
Rohoziński R., DeibertR. (29.03.2009), Tracking Ghostnet: Investigating a Cyber Espionage Net
work,„Information Warfare Monitor”.
Smith T., EU must bolster its cyber security say MEP, CBR, 23.11.2012, http://www.cbronli-ne.com/news/eu-must-bolster-its-cyber-security-say-meps-231112, 12.12.2012.
Terlikowski M., Haking, haktywizm, cyberterroryzm, PolskiInstytut Spraw Międzynarodowych, 23.04.2008, www.pism.pl, 1.12.2012.
TheGrowing Pains in EU Cyber SecurityPolicy, „EuroWire”, Bertelsmann Foundation 2011.
Streszczenie
Szkodliwadziałalność w Internecie oraz innych sieciachteleinformatycznych, w XXI wieku stanowi corazwiększe wyzwanie dlabezpieczeństwa narodowego imiędzynarodowego. Coza tym idzie, problematyka ta stałasię istotna nietylko dla państw,ale takżeorganizacji międzyna rodowych. Unia Europejska, zrzeszająca jedne znajbardziej zdigitalizowanych społeczeństw globu, prowadziprace wtej dziedzinie już od 2004roku. Nie ulegajednak wątpliwości, iż wysiłkiUEw dużejmierzerozminęły sięzwagą zagrożeń cyberprzestrzennych. Do pewnej zmiany doszło dopiero po2007 roku,kiedy Bruksela w wyniku„pierwszej cyberwojny” w Esto nii, dostrzegła konsekwencje braku zabezpieczeń przed atakami komputerowymi. Wysiłki Unii, inspirowane w głównej mierze przez KomisjęEuropejskąprzebiegały dwutorowo.Zjednej stro ny, obejmowały one prace koncepcyjne, wtymm.in. analizę zjawiska cyberprzestępczościczy wrażliwości na ataki europejskiej krytycznej infrastruktury teleinformatycznej. Z drugiej, po dejmowano pracena rzecz rozwoju współpracy wzakresie cyberbezpieczeństwa między UE a państwamiczłonkowskimi. W tymkontekście, należy zauważyć, iż działania Unii Europej skiejw dużej mierze byłyopóźnionew stosunku dodynamiki pojawiających sięwcyberprze strzeniwyzwań. Co prawda,od 2007 roku, UE poczyniła szereg inicjatyw, które wzmocniły jej potencjał do działania wśrodowisku teleinformatycznym, jednakw wielu dziedzinachnadal ist niały poważnezaniedbania. Pewnaoznaka zmiany pojawiła się dopiero w 2012 roku, kiedy powołanozespół CERT-EUoraz zapowiedziano zwiększenieśrodków finansowych przeznaczo nychnacyberbezpieczeństwo. Mimo to, w przyszłości Bruksela będzie musiałaustosunkować się doszeregu wyzwań wtej dziedzinie,w tym m.in.: modelu współpracy międzynarodowej, opracowania spójnej strategiibezpieczeństwateleinformatycznego czy kwestii ochrony praw człowiekaw sieci. Odpowiednia reakcjana teproblemy będzie jednym zczynników, które
w przyszłości wpłyną na sytuacjębezpieczeństwaUnii Europejskiej, takw wymiarzewewnętrz nym jak imiędzynarodowym.
Summary
The European Union and threats to IT security - an outline of the issue
Harmfulactivitieson the Internet are a growing threatto national and internationalsecurity inthe21st century. Theseissues aretherefore becoming increasinglyimportant not only for indi vidualstates, butalso for internationalorganizationssuch asthe EuropeanUnion, which com bines the mostdigitalized societies in the world. Despite thefact thata European cyber security policy was already initiated in 2004, the EU’s attempts wereusually quite outdated. A major breakthrough took placein 2007, after the ‘first cyber war’ in Estonia. Afterwards,Brussels’ef forts went intwodirections. On the one hand,theEuropean Commission’s activities were aimed atfinding proper political, juridical and procedural solutionsto cyber threats. On the other hand, the EU was interested indeveloping close cooperation with member states,as well as with the in ternational environment. Unfortunately, most of the initiatives undertakenby the European Commission werestill laggingbehindthe global standards set by the UnitedStatesor the Atlan tic Alliance.This situationchangedonly in 2012, whenthe EU undertook someimportantac tions. Firstof all,a CERT-EUteam was finally set up. Furthermore, the Commission declared that the funding of cyber securityresearchwould be increasedby 14% inthe future. Andfinally, ENISA undertook several important projectsaimed at increasing cyber security awarenessin Europe. These efforts,however, are not sufficient tofight thecontemporary challenges arising from cyber space. Thisis why,inthe future, inorder to secure its political, social and economic development, the European Unionwill need to createa proper cybersecuritystrategy.
