Spoločné pravidlá Únie zlepšili kyberbezpečnosť telekomunikačných sietí, hovoria experti

Ilustračný obrázok. [Pixabay]

Legislatíva na európskej úrovni v oblasti kybernetickej ochrany sietí sa v ostatnom roku rýchlo vyvíjala, no podľa odborníkov stále nie je konzistentná. Naprieč Úniou sa líši aj implementácia pravidiel. Problematické má byť napríklad hlásenie kybernetických incidentov, ktoré si rôzni aktéri vysvetľujú rozlične.

Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) sa v najnovšej štúdii pozrela na to, ako jednotlivé krajiny Únie implementujú európske predpisy v oblasti telekomunikačnej bezpečnosti. Zároveň zhodnotila vývoj pri harmonizácii pravidiel na celoeurópskej úrovni.

Experti, ktorí sa do štúdie zapojili, však vo všeobecnosti potvrdzujú, že spoločné európske pravidlá priniesli zlepšenie kybernetickej ochrany sietí.

Slovenské siete pandémiu zvládli, aj keď spotreba dát domácností narástla o polovicu

Spotreba dát v domácnostiach aj na mobiloch počas minulého roka výrazne stúpla. Operátori však tvrdia, že problémy im to nespôsobilo, keďže do infraštruktúry pravidelne investujú.  Podľa expertov sa telekomunikačný sektor musí pripraviť na náhle zmeny dopytu aj do budúcnosti.

Legislatíva Európskej únie v oblasti telekomunikačnej bezpečnosti sa za posledných niekoľko rokov výrazne zmenila. Koncom minulého roka nahradil článok 40 Európskeho kódexu elektronických komunikácií pôvodný článok 13a Smernice o spoločnom regulačnom rámci pre elektronické komunikačné siete a služby, starý takmer dekádu.

Ešte v roku 2019 Európska komisia vo svojom Odporúčaní o kybernetickej bezpečnosti 5G sietí odštartovala v tejto oblasti celoeurópsku spoluprácu. Po niekoľkých mesiacoch, v januári 2020, vydala expertná skupina súbor nástrojov, ktoré majú v EÚ znižovať riziko kybernetického útoku na siete piatej generácie, tzv. EU 5G Toolbox.

V súčasnosti európska exekutíva prehodnocuje aj dôležitú Smernicu o NIS, teda sieťových a informačných systémoch. V decembri Komisia predložila návrh doplnenej verzie (tzv. NIS 2), ktorá by mala obsahovať aj spoločné európske pravidlá v oblasti telekomunikačnej bezpečnosti. NIS2 bude súčasťou širšej stratégie EÚ v oblasti kybernetickej bezpečnosti, ktorá aktualizuje aj existujúce právne predpisy o ochrane kritickej infraštruktúry, vrátane telekomunikačných sietí.

Menej nových pravidiel, lepšia implementácia tých súčasných

Právomoci, ktoré majú národné inštitúcie v oblasti kybernetickej bezpečnosti telekomunikačnej infraštruktúry, hodnotia experti ako dostačujúce. No hoci sa kompetencie preskupili a mnohé orgány ich na papieri majú, odborníci upozorňujú, že na to, aby mohli plniť svoju funkciu, stále chýbajú finančné zdroje.

Podľa expertov majú jednotliví aktéri na vnútroštátnej úrovni problémy pri spoluprácu. Spomínajú sa najmä nejasnosti medzi orgánmi pre telekomunikačnú bezpečnosť, orgánmi na ochranu údajov a medzi telekomunikačnými operátormi a prevádzkovateľmi základných služieb. Niektoré krajiny síce pripravili usmernenia o implementácii legislatívy pre národné orgány, no tie chýbajú najmä prevádzkovateľom a poskytovateľom služieb, teda v prvom rade súkromným spoločnostiam.

Až 84 percent respondentov hovorí, že za problémy v spolupráci medzi štátnymi orgánmi a prevádzkovateľmi môže rozdielna kultúra v manažmente. Odborníci by preto radi videli lepšie a skoršie zapojenie súkromných spoločností zo sektora do tvorby relevantných politík.

Ochrana osobných údajov v Únii oslavuje tretie výročie, obstála pandemickú skúšku

Európska vlajková loď na ochranu osobných údajov, známa ako GDPR, oslavuje tretie výročie od vstupu do platnosti. Podľa expertov obstálo skúšky, pričom tou najväčšou bola pandemická kríza.

Špecifickou oblasťou je hlásenie incidentov na vnútroštátnej úrovni. ENISA tvrdí, že povinné ohlasovanie porušení kybernetickej bezpečnosti je „základným kameňom“ právnych predpisov Európskej únie v tejto oblasti. Pravidlá oznamovania incidentov sa zaviedli spolu so smernicou o NIS v roku 2018, a to pre prevádzkovateľov základných služieb, ktorí pôsobia v celom rade kritických odvetví, akými sú energetika a doprava, financie a zdravotníctvo.

Podľa agentúry funguje ohlasovanie dobre, no priestor na zlepšenie je jasný. Príkladom sú pretrvávajúce problémy s hlásením rovnakého incidentu viacerým orgánom, alebo nedostatku spätnej väzby po predložení správy o incidente. Niektorí zainteresovaní hovoria preto o „administratívnej záťaži“. Napríklad Dánske centrum pre kybernetickú bezpečnosť (CFCS) tento problém vyriešilo tak, že sa v rámci domácich štruktúr stalo jediným orgánom, ktorému musia relevantní aktéri hlásiť kybernetický útok. Len CFCS následne kontaktuje ďalšie, relevantné autority.

Podľa expertov si pod pojmom „incident“ predstavujú rozličné spoločnosti aj rozličné udalosti, no až 69 percent expertných účastníkov prieskumu hovorí, že sa úradom hlásia správne incidenty.

V Európe tento rok pribudlo najviac technologických jednorožcov na svete

Po pandemickom roku investuje rizikový kapitál v najväčších objemoch do techfiriem v Únii. Najviac európskych start-upov, ktorých hodnota sa v ostatných piatich rokoch vyšplhala nad miliardu dolárov, vzniklo v Kodani.

Na európskej úrovni je podľa expertov spolupráca efektívnejšia, a to vďaka postupnej harmonizácii pravidiel. Tá však stále nie je dostatočná. Odborníci hovoria o „nekonzistentnosti implementácie“ naprieč Úniou. Národné kapacity v oblasti telekomunikačnej bezpečnosti totiž podľa nich nie sú v celej EÚ porovnateľné.

Do najbližšieho obdobia preto odporúčajú sústrediť sa na uplatňovanie existujúcich pravidiel po celom bloku, namiesto tvorby nových pravidiel.