Съдържание приети текстове p7 ta-prov(2012)0446

Киберсигурност и отбрана

Комисия по външни работи

PE489.358

Резолюция на Европейския парламент от 22 ноември 2012 г. относно кибернетична сигурност и отбрана (2012/2096(INI))

– като взе предвид доклада относно изпълнението на Европейската стратегия за сигурност, приет от Европейския съвет на 11 и 12 декември 2008 г.,

– като взе предвид Конвенцията на Съвета на Европа за престъпленията в кибернетичното пространство, приета в Будапеща на 23 ноември 2004 г.,

– като взе предвид заключенията на Съвета относно защитата на критичната информационна инфраструктура от 27 май 2011 г. и предходните заключения на Съвета относно кибернетичната сигурност,

– като взе предвид съобщението на Комисията „Програма в областта на цифровите технологии за Европа („Digital Agenda for Europe“)“ от 19 май 2012 г. (COM(2010)0245),

– като взе предвид Директива 2008/114/ЕО на Съвета от 8 декември 2008 г. относно установяването и означаването на европейски критични инфраструктури и оценката на необходимостта от подобряване на тяхната защита¹,

– като взе предвид неотдавнашното съобщение на Комисията относно създаването на Европейски център по киберпрестъпност като приоритет на стратегията за вътрешна сигурност (COM(2012)0140),

– като взе предвид своята резолюция от 10 март 2010 г., озаглавена „Прилагането на Европейската стратегия за сигурност и на Общата политика за сигурност и отбрана“²,

– като взе предвид своята резолюция от 11 май 2011 г. относно развитието на общата политика за сигурност и отбрана след влизането в сила на Договора от Лисабон³,

– като взе предвид резолюцията си от 22 май 2012 г. относно стратегията за вътрешна сигурност на Европейския съюз⁴,

– като взе предвид своята резолюция от 27 септември 2011 г. относно предложението за регламент на Европейския парламент и на Съвета за изменение на Регламент (ЕО) № 1334/2000 за въвеждане на режим на Общността за контрол на износа на стоки и технологии с двойна употреба¹,

– като взе предвид своята резолюция от 12 юни 2012 г. относно защитата на критичната информационна инфраструктура – постижения и предстоящи стъпки: за постигане на сигурност в световното кибернетично пространство²,

– като взе предвид резолюцията на Съвета на ООН по правата на човека от 5 юли 2012 г., озаглавена „Насърчаване, защита и упражняване на правата на човека в интернет“³, която признава значението на защитата на правата на човека и свободното движение на информация онлайн,

– като взе предвид заключенията на срещата на върха в Чикаго от 20 май 2012 г.,

– като взе предвид дял V от Договора за ЕС,

– като взе предвид член 48 от своя правилник,

– като взе предвид доклада на комисията по външни работи (A7-0335/2012),

А. като има предвид, че в днешния глобализиран свят за ЕС и държавите членки е от съществено значение да могат да разчитат на сигурно киберпространство и безопасна употреба на информационните и цифровите технологии и на устойчиви и надеждни информационни услуги и свързаните с тях инфраструктури;

Б. като има предвид, че информационните и комуникационните технологии се използват и като инструменти за репресия; като има предвид, че контекстът, в който се използват те, определя до голяма степен влиянието, което те могат да окажат като сила или за положително развитие, или за репресия;

В. като има предвид, че кибернетичните предизвикателства, заплахи и атаки нарастват с драматична бързина и представляват сериозна заплаха за сигурността, отбраната, стабилността и конкурентоспособността на националните държави, както и на частния сектор; като има предвид, че поради това такива заплахи не следва да бъдат считани за проблем на бъдещето; като има предвид, че естеството на повечето силно видими и разрушителни кибернетични инциденти вече е политически мотивирано; като има предвид, че макар че в преобладаващата си част кибернетичните инциденти продължават да бъдат примитивни, заплахите за критичните активи стават все по-сложни и налагат задълбочена защита;

Г. като има предвид, че кибернетичното пространство, с почти два милиарда глобално взаимосвързани потребители, се е превърнало в едно от най-мощните и ефективни средства за разпространение на демократичните идеи и организиране на хората в усилията им да постигнат своите стремежи към свобода и да се борят с диктаторските режими; като има предвид, че използването на кибернетичното пространство от недемократични и авторитарни режими представлява нарастваща заплаха за правата на хората на свобода на изразяване и свобода на сдружаване; като има предвид, че поради това е от съществено значение да се гарантира, че кибернетичното пространство ще остане открито за свободния обмен на идеи, информация и изразяване на мнение;

Д. като има предвид, че в ЕС и в държавите членки съществуват многобройни пречки от политическо, законодателно и организационно естество пред изграждането на всеобхватен и единен подход спрямо кибернетичната отбрана и кибернетичната сигурност; като има предвид, че липсват обща дефиниция, стандарти и общи мерки в чувствителната и уязвима област на кибернетичната сигурност;

Е. като има предвид, че споделянето и координацията между институциите на ЕС, както и с държавите членки и с външни партньори и между тях все още не са достатъчни;

Ж. като има предвид, че в ЕС и на международно равнище липсват ясни и хармонизирани определения на „кибернетична сигурност“ и „кибернетична отбрана“; като има предвид, че разбирането за кибернетичната сигурност и за други ключови термини е твърде различно в различните страни;

З. като има предвид, че ЕС все още не е разработил собствени съгласувани политики за защита на критичната информационна инфраструктура, за което е необходим мултидисциплинарен подход, като се засилва сигурността при същевременно зачитане на основните права;

И. като има предвид, че ЕС предложи различни инициативи за справяне с киберпрестъпността на гражданско равнище, включително създаването на нов Европейски център по киберпрестъпност, но въпреки това не разполага с конкретен план на ниво сигурност и отбрана;

Й. като има предвид, че изграждането на доверие между частния сектор, от една страна, и правоприлагащите органи, институциите в областта на отбраната и други компетентни институции, от друга страна, е от изключителна важност за борбата срещу киберпрестъпността;

К. като има предвид, че взаимното доверие в отношенията между държавните и недържавните участници е предпоставка за надеждна кибернетична сигурност;

Л. като има предвид, че по-голямата част от кибернетичните инциденти както в публичния, така и в частния сектор не се съобщават поради чувствителното естество на информацията и възможните вреди за имиджа на засегнатите компании;

М. като има предвид, че голям брой кибернетични инциденти се случват поради недостатъчната устойчивост и здравина на частната и публичната мрежова инфраструктура, слабо защитени или обезопасени бази данни и други недостатъци в критичната информационна инфраструктура; като има предвид, че само няколко държави членки считат защитата на своите мрежи и информационни системи и свързаните с тях данни за свое съответно задължение за полагане на грижа, което обяснява липсата на инвестиции в съвременни технологии за сигурност, обучение и разработване на подходящи насоки, и като има предвид, че голям брой държави членки са зависими от технологии за сигурност от трети държави и следва да увеличат усилията си за намаляване на тази зависимост;

Н. като има предвид, че по-голямата част от извършителите на сериозни кибернетични атаки, които застрашават националната или международната сигурност и отбрана, никога не биват откривани и подложени на наказателно преследване; като има предвид, че не съществува нито международно договорена форма на реакция спрямо подкрепени от държавата кибернетични атаки към друга държава, нито яснота по въпроса дали това може да се счита за „casus belli“;

О. като има предвид, че Европейската агенция за мрежова и информационна сигурност (ENISA) участва като посредник за държавите членки с цел подкрепа на обмена на добри практики в областта на кибернетичната сигурност посредством препоръки за разработването, изпълнението и поддържането на стратегия за кибернетична сигурност, има подпомагаща роля в националните стратегии за кибернетична сигурност, националните планове за действие в извънредни ситуации, организирането на общоевропейски и международни обучения във връзка със защитата на критичната информационна инфраструктура (ЗКИИ) и разработването на сценарии за национални обучения;

П. като има предвид, че към юни 2012 г. само 10 държави – членки на ЕС, са приели официално национални стратегии за кибернетична сигурност;

Р. като има предвид, че кибернетичната отбрана е един от най-важните приоритети на Европейската агенция по отбрана, която създаде в рамките на Плана за развитие на способностите проектен екип по въпросите на кибернетичната сигурност, като мнозинството от държавите членки работят по събирането на опит и представянето на препоръки;

С. като има предвид, че инвестициите в изследванията в областта на кибернетичната сигурност и отбрана са от съществено значение за напредъка и за поддържането на високо равнище на кибернетична сигурност и отбрана; като има предвид, че разходите за научноизследователска и развойна дейност са намалели, вместо да достигнат договорените 2% от общите разходи за отбрана;

Т. като има предвид, че повишаването на осведомеността и образоването на гражданите по въпросите на кибернетичната сигурност следва да представлява основата на всяка цялостна стратегия за кибернетична сигурност;

У. като има предвид, че трябва да се постигне ясен баланс между мерките за сигурност и правата на гражданите в съответствие с ДФЕС, като например правото на неприкосновеност на личния живот, защита на данните и свобода на изразяване, като никое от тях не бъде жертвано за сметка на другото;

Ф. като има предвид, че е налице нарастваща нужда от по-добро зачитане и защита на правото на хората на неприкосновеност на личния живот, както е посочено в Хартата на ЕС и в член 16 от ДФЕС; като има предвид, че необходимостта от сигурност и защита на киберпространството е важна за институциите и военните органи на национално равнище, но никога не трябва да се използва като извинение, за да се ограничават правата и свободите в кибернетичното и информационното пространство по какъвто и да било начин;

Х. като има предвид, че глобалният и транснационален характер на интернет налага нови форми на международно сътрудничество и управление с множество заинтересовани страни;

Ц. като има предвид, че правителствата все повече разчитат на частни участници за сигурността на тяхната критична инфраструктура;

Ч. като има предвид, че Европейската служба за външна дейност (ЕСВД) все още не е включила активно аспекта на кибернетичната сигурност в своите отношения с трети страни;

Ш. като има предвид, че Инструментът за стабилност засега е единствената програма на ЕС, която има за цел реакция при неотложни кризисни ситуации или глобални/трансрегионални предизвикателства пред сигурността, включително заплахи за кибернетичната сигурност;

Щ. като има предвид, че съвместният отговор – посредством работната група ЕС-САЩ по въпросите на кибернетичната сигурност и киберпрестъпността – на заплахите за кибернетичната сигурност е един от приоритетните въпроси в отношенията между ЕС и САЩ;

Действия и координация на ЕС

1. Отбелязва, че кибернетичните заплахи и атаки срещу правителствените, административните, военните и международните органи представляват рязко нарастваща опасност и явление както в ЕС, така и в глобален мащаб, и че са налице съществени причини за загриженост, че държавни и недържавни субекти, особено терористични и престъпни организации, могат да атакуват критични информационни и комуникационни структури и инфраструктури на институциите на ЕС и държави членки, като имат потенциала да причинят значителни вреди, включително динамични последици;

2. Във връзка с това подчертава необходимостта от глобален и координиран подход към тези предизвикателства на равнище ЕС чрез разработване на цялостна стратегия на ЕС за кибернетична сигурност, която да предостави обща дефиниция за кибернетичната сигурност и отбрана и за това, какво представлява кибернетична атака, свързана с отбраната, както и обща оперативна визия, и да вземе предвид добавената стойност на съществуващите агенции и органи, както и добрите практики на държавите членки, които вече разполагат с национални стратегии за кибернетична сигурност; подчертава изключителната важност на координирането и създаването на взаимодействия на равнището на Съюза, които да спомогнат за съчетаването на различни инициативи, програми и дейности от военно и гражданско естество; подчертава, че такава стратегия следва да гарантира гъвкавост и да бъде актуализирана редовно, така че да бъде приспособявана към бързо променящото се естество на киберпространството;

3. Настоятелно призовава Комисията и върховния представител на Съюза по въпросите на външните работи и политиката на сигурност да разгледат възможността за сериозна кибернетична атака срещу държава членка в предстоящото си предложение относно правилата за прилагане на клаузата за солидарност (член 222 от ДФЕС); освен това счита, че макар да е необходимо кибернетичните атаки, застрашаващи националната сигурност, да бъдат дефинирани посредством обща терминология, те биха могли да бъдат обхванати от клаузата за взаимна отбрана (член 42, параграф 7), без да се нарушава принципът на пропорционалност;

4. Подчертава, че ОПСО трябва да гарантира защитата на силите, провеждащи военни операции и цивилни мисии на ЕС, от кибернетични атаки; подчертава, че кибернетичната отбрана следва да стане активен капацитет на ОПСО;

5. Подчертава, че всички политики на ЕС за кибернетична сигурност следва да се основават на защита и опазване на цифровата свобода, както и на зачитане на човешките права онлайн, и да бъдат разработвани така, че да ги осигуряват в максимална степен; изразява убеждението си, че Интернет и ИКТ следва да бъдат включени във външната политика и политиката на сигурност на ЕС с цел напредък на тези усилия;

6. Призовава Комисията и Съвета да признаят недвусмислено цифровите свободи като основни права и като необходима предпоставка гражданите да се ползват от универсалните човешки права; подчертава, че при разработването на техните реакции на кибернетичните заплахи и атаки държавите членки следва да си поставят за цел никога да не излагат на риск правата и свободите на гражданите си и следва да предвидят в законодателствата си подходящо разграничение между гражданско и военно равнище на кибернетичните инциденти; призовава към предпазливост при прилагане на ограничения върху възможността гражданите да се възползват от инструментите на комуникационните и информационните технологии;

7. Призовава Съвета и Комисията, заедно с държавите членки, да изготвят Бяла книга относно киберотбраната, като се установят ясни дефиниции и критерии, които да разделят нивата на кибернетичните атаки в гражданската и военната сфера съгласно техните мотиви и последствия, както и нивата на реакция, включително разследването, разкриването и съдебното преследване на извършителите;

8. Вижда ясна необходимост от актуализиране на Европейската стратегия за сигурност с оглед да се идентифицират и да се намерят средства за преследване и изправяне пред съда на отделни, свързани с мрежата и подкрепяни от държавата извършители на кибернетични атаки;

На равнище ЕС

9. Подчертава важността на хоризонталното сътрудничество и координация по въпросите на кибернетичната сигурност в рамките на институциите и агенциите на ЕС и между тях;

10. Подчертава, че новите технологии представляват предизвикателство по отношение на начина, по който правителствата изпълняват своите традиционни основни задачи; отново потвърждава, че политиките, свързани с отбраната и сигурността, включително подходящият демократичен контрол, в крайна сметка са отговорност на правителството; отбелязва все по-значимата роля на частноправните субекти за изпълнение на задачите, свързани с отбраната и сигурността, често без необходимата прозрачност, отчетност или механизъм за контрол;

11. Подчертава, че правителствата трябва да спазват основните принципи на международното публично и хуманитарно право, като например зачитането на държавния суверенитет и правата на човека, при използването на нови технологии в рамките на политиките за сигурност и отбрана; подчертава ценния опит на държави – членки на ЕС, като Естония в определянето и създаването на политики за кибернетична сигурност, както и за кибернетична отбрана;

12. Признава необходимостта от оценка на цялостното равнище на кибернетичните атаки срещу информационните системи и инфраструктура на ЕС; в този контекст подчертава необходимостта от непрекъсната оценка на степента на подготвеност на институциите на ЕС да се справят с потенциални кибернетични атаки; подчертава по-специално необходимостта от засилване на критичната информационна инфраструктура;

13. Подчертава също така необходимостта от предоставяне на информация относно уязвимите места, сигналите и предупрежденията за нови заплахи спрямо информационните системи;

14. Отбелязва, че неотдавнашните кибернетични атаки срещу европейските информационни мрежи и правителствени информационни системи нанесоха значителни икономически щети и вреди по отношение на сигурността, размерът на които все още не е оценен в достатъчна степен;

15. Призовава всички институции на ЕС да разработят във възможно най-кратки срокове свои стратегии за кибернетична сигурност и планове за действие в извънредни ситуации с оглед на техните собствени системи;

16. Призовава всички институции на ЕС да включат в своя анализ на риска и в плановете си за управление на кризи въпроса за управление на кибернетични кризи; освен това призовава всички институции на ЕС да осигурят обучения за повишаване на осведомеността относно кибернетичната сигурност за целия си персонал; препоръчва провеждане на кибернетични учения веднъж годишно по подобие на ученията за действие при извънредни ситуации;

17. Подчертава важността на ефективното развитие на екип за незабавно реагиране при компютърни инциденти на ЕС (EU-CERT) и на национални екипи за незабавно реагиране при компютърни инциденти, както и на разработването на национални планове за действие в извънредни ситуации в случай на необходимост от предприемане на действия; приветства факта, че до май 2012 г. всички държави – членки на ЕС, създадоха национални екипи за незабавно реагиране при компютърни инциденти; настоятелно призовава за по-нататъшно развитие на националните екипи за незабавно реагиране при компютърни инциденти и на екип за незабавно реагиране при компютърни инциденти на ЕС, които да са в състояние при необходимост да предприемат действия в рамките на 24 часа; подчертава необходимостта да се разгледа осъществимостта на публично-частните партньорства в тази област;

18. Признава, че „Cyber Europe 2010“, първото паневропейско обучение относно защитата на критичната информационна инфраструктура, което бе проведено с участието на различни държави членки и водено от ENISA, се оказа полезно действие и пример за добра практика; подчертава също така необходимостта от възможно най-скорошно създаване на Предупредителна информационна мрежа за критичната инфраструктура на европейско равнище;

19. Подчертава значението на паневропейските учения при подготовката за широкомащабни инциденти по мрежовата сигурност и определянето на единен набор от стандарти за оценка на заплахите;

20. Призовава Комисията да проучи необходимостта от поща за кибернетична координация на ЕС;

21. Счита, че предвид високите нива на квалификация, необходими както за осигуряване на подходяща защита на кибернетичните системи и инфраструктури, така и за атаките срещу тях, Комисията, Съветът и държавите членки следва да обмислят възможността за разработване на стратегия от типа „white hat“ („етични хакери“); отбелязва, че в тези случаи опасността от „изтичане на мозъци“ е висока, както и факта, че особено малолетните лица, осъдени за подобни атаки, имат голям потенциал както за реабилитация, така и за интеграция в агенциите и органите по отбраната;

22. Приветства неотдавнашните инициативи и проекти, свързани с кибернетичната отбрана, по-специално относно събирането и картирането на данните, предизвикателствата и потребностите, свързани с кибернетичната сигурност и отбрана, и настоятелно призовава държавите членки към по-тясно сътрудничество, включително на военно равнище, с EDA по въпросите, свързани с киберотбраната;

23. Подчертава важността за държавите членки на тясното сътрудничество с EDA във връзка с развитието на техните национални способности за кибернетична отбрана; изразява убеждението си, че изграждането на взаимодействия, обединяването и споделянето на европейско равнище са от съществено значение за ефективната кибернетична отбрана на европейско и национално равнище;

24. Насърчава EDA да задълбочи сътрудничеството си с НАТО, националните и международните центрове за високи постижения, Европейския център по киберпрестъпност в рамките на Европол, с което да допринесе за съкращаване на времето за реакция в случай на кибератаки, и особено със съвместния център за високи научни постижения по киберотбрана (CCDCOE), да се концентрира върху изграждането на капацитет и обучението, както и върху обмена на информация и практики;

25. Отбелязва с безпокойство, че само една държава членка е постигнала равнището от 2 % разходи за научноизследователска и развойна дейност в областта на отбраната до 2010 г. и че пет държави членки не са похарчили нищо за научноизследователска и развойна дейност през 2010 г.; призовава EDA, заедно с държавите членки, да обединят ресурси и да инвестират ефективно в съвместна научноизследователска и развойна дейност, по-специално по отношение на кибернетичната сигурност и отбрана;

Държави членки

26. Призовава всички държави членки без по-нататъшно отлагане да разработят и завършат съответните си национални стратегии за кибернетична сигурност и отбрана и да осигурят солидна регулаторна среда и среда за определяне на политики, всеобхватни процедури за управление на риска и подходящи подготвителни мерки и механизми; призовава ENISA да подпомага държавите членки; изразява своята подкрепата за ENISA в разработването на Ръководство за добри практики в областта на добрите практики и препоръките за това, как да се разработва, изпълнява и поддържа стратегия за кибернетична сигурност;

27. Насърчава всички държави членки да създадат определени единици за кибернетична сигурност и кибернетична отбрана в рамките на своята военна структура с цел да осъществяват сътрудничество с подобни органи в други държави – членки на ЕС;

28. Насърчава държавите членки да въведат специализирани съдилища на регионално равнище, които да имат за цел по-ефективно санкциониране на атаките срещу информационните системи; подчертава необходимостта от насърчаване на адаптирането на националните законодателства, което ще позволи приспособяването им към развитието на техниките и начините на използването им;

29. Призовава Комисията да продължи да работи по съгласуван и ефикасен европейски подход, за да избягва излишни инициативи, като насърчава и подкрепя държавите членки в усилията им да разработят механизми за сътрудничество и да подобряват обмена на информация; счита, че между държавите членки следва да бъде установено едно минимално равнище на задължително сътрудничество и споделяне;

30. Настоятелно призовава държавите членки да разработят национални планове за действие в извънредни ситуации и да включат управлението на кибернетични кризи в плановете за управление на кризи и анализ на риска; подчертава освен това значението на подходящото обучение по основна кибернетична сигурност за всички служители в публичните субекти и по-специално на предлагането на специално обучение на членовете на съдебните институции и органите за сигурност в центрове за обучение; призовава ENISA и други съответни органи да подпомагат държавите членки при осигуряване обединяването и споделянето на ресурси, както и за избягване на дублирането;

31. Настоятелно призовава държавите членки да превърнат научноизследователската и развойна дейност в един от основните стълбове на кибернетичната сигурност и отбрана и да насърчават обучението на инженери, специализирани в защитата на информационните системи; призовава държавите членки да изпълнят своя ангажимент за увеличаване поне до 2 % на разходите за научноизследователска и развойна дейност в областта на отбраната, по-специално по отношение на кибернетичната сигурност и отбрана;

32. Призовава Комисията и държавите членки да предложат програми за насърчаване на общото безопасно използване на интернет, информационните системи и комуникационните технологии и за повишаване на осведомеността за него както сред частните, така и сред корпоративните потребители; предлага Комисията да стартира публична паневропейска образователна инициатива във връзка с това и призовава държавите членки да включат обучение по кибернетична сигурност в училищните програми от възможно най-ранна възраст;