欧盟委员会发布内部争议巨大的《网络团结法案》提案,希望促进欧盟范围内合作,为重大网络攻击做好应对准备。
该提案是本周二(4月18日)提出的更广泛的网络安全一揽子计划的组成部分,旨在促进跨境与公私部门在预测和应对网络攻击方面的协调工作,相关预算为11亿欧元(约合人民币83亿元)。
此类立法建议最早出现于2022年3月,即俄乌战争爆发后不久,部分原因是欧盟委员会考虑到重大网络攻击的威胁正在持续增加。
该提案希望公共部门和私营实体能够相互配合,学习乌克兰已经实践的企业与政府当局合作应对网络威胁的模式。
但提案的某些内容引起了欧盟成员国的激烈争论和反对,特别是涉及情报共享以及私营企业认证和责任的条款。
欧盟委员会执行副主席玛格丽特·维斯塔格 (Margrethe Vestager)在提案发布会上表示,“近30%的欧洲中小企业在过去12个月中,至少经历过一次网络犯罪。”她补充称,《网络团结法案》标志着欧盟广泛的网络安全战略终于补齐了最后一块拼图,开始具备可操作性。
“我们将首次共同投资运营能力。网络安全能否成功将取决于我们是否能够携手并进,只有在整个欧洲的共同努力下才有可能实现。”
此次提案的首个核心要点,是建立起由欧盟各国和跨境安全运营中心(SOC)组成的欧洲网络护盾(Cyber Shield)。
提案目标是让安全运营中心明年投入运营,并与波罗的海和比荷卢经济联盟等近邻建立起区域网络合作中心。安全运营中心将使用AI等多项技术监控与识别网络威胁,并提醒政府当局注意即将发生的攻击活动。
在提案发布会上,负责欧盟内部市场的执行委员Thierry Breton表示,网络护盾将被用于检测、缓解和应对网络威胁。
与此同时,他试图向欧洲各国政府保证,这些措施将以成员国现有的网络安全运营中心为基础并展开配合,而非取代关系。
Breton指出,“各国可以继续保留原有设施,只是会在整个欧洲层面上来匹配这些现有网络安全设施。”
“各个国家都将有自己的中心,它们将充当对接原有设施的接口,并由此建立起覆盖整个欧洲的护盾或者护罩。”
该提案的第二大要点,是通过建立网络应急机制,提高欧盟在危机中的准备和应对能力。这项机制将测试能源和交通等关键部门的漏洞,并为欧盟各成员国间的互助工作提供财政支持。
该机制还将建立欧盟“网络安全预备队”,由可信赖和经过认证的私营企业参与,并随时准备应对重大网络事件。
Breton表示,虽然最初的计划是建立一支“网络军队”,但事实证明这项工作太过复杂。于是委员会选择建立储备力量,随时待命并在危机时刻进行干预。乌克兰已经采取了这样的制度。
该计划内容也引起了一些争议。据英国《金融时报》日前看到的一份文件,有24个欧洲国家政府(即除现任和之前连续两任欧盟主席国外的其他所有国家)呼吁欧盟委员会放缓这份网络团结提案,希望能将预备队的认证和部署维持在本国范围之内。
这一问题的症结在于,网络威胁情报可以被用来侵入任何一方的IT系统,不会区分目标具体是地缘政治对手、犯罪网络还是经济竞争对手。因此,各国政府都将威胁情报视为必须严密保护的信息。
欧盟委员会内部机构对公私合作问题也存在分歧。欧盟外交部门欧洲对外行动署(EEAS)目前在修订网络外交工具箱(Cyber Diplomacy Toolbox),该工具箱也会依靠私营企业来处理恶意网络活动。
《网络团结法案》的最后一个要素,是建立起网络安全事件审查机制。该机制要求对重大网络安全事件开展事后审查和分析,以指引欧盟网络防御方法的未来发展方向。
在提案发布会上,还公布了成立欧盟网络安全技能学院(EU Cybersecurity Skills Academy)的消息。该学院旨在提高网络技能,弥合现有网络人才缺口,帮助普通民众掌握必要网络安全能力,并培训该领域的专家。
转自 安全内参,原文链接:https://mp.weixin.qq.com/s/WHBY8Z83pRTALmjVWIMyZA
封面来源于网络,如有侵权请联系删除