2022 年 2 月 2 日,當歐洲和非洲的三家石油和運輸公司的系統癱瘓時,歐洲正在為即將到來的烏克蘭戰爭做準備,而全球能源市場也開始感受到俄羅斯邊境緊張局勢的影響。
這次網路攻擊引發了人們的擔憂,人們擔心烏克蘭的戰爭將迅速在網路上蔓延,關鍵基礎設施面臨風險。 SEA-Invest 襲擊事件發生後不到一周,就在俄羅斯軍隊越過邊境進入烏克蘭的前 11 天,歐洲央行警告歐洲銀行做好應對莫斯科發起的一波網路攻擊的準備。
距離歐盟委員會提出新的歐盟網路安全戰略不到 18 個月,醫院、電網和鐵路等關鍵基礎設施被強調為優先事項,但它也強調了日常家庭和辦公室面臨的風險。
「我們需要確保我們的系統是可靠的,」愛沙尼亞網路安全無任所大使塔內爾·塞普解釋道。
愛沙尼亞是歐洲數位化最先進的國家之一2000年實現無紙化並將自己定位為科技中心,創建了備受矚目的視訊通話公司 Skype,該公司於 2011 年被微軟收購。
塞普認為,愛沙尼亞的例子可以在整個非洲大陸重複,並優先考慮不受國家控制的開放網路。
「我們的想法相似,我們有相同的原則,」他說。
2007 年,愛沙尼亞成為大規模網路攻擊的目標,導致政府網站、銀行和媒體癱瘓,塞普於 2017 年為歐盟部長組織了一次網路防禦演習。
「這恰恰是為了向政治人物展示網路事件如何導致需要政治決策的情況,」他說。
歐盟委員會的提議之一是在歐盟範圍內建立一個由安全運營中心組成的“網路盾牌”,該中心使用人工智慧和機器學習作為網路攻擊的預警系統,並建立一個共享資訊和集體應對威脅的聯合單位。
歐盟網路安全機構 ENISA 於 2019 年成為常設機構,並被賦予更多資金和責任來負責歐盟成員國的合作與協調。
歐盟於2020年12月通過一項指令,要求企業解決其供應鏈和供應商關係中的網路安全風險,並要求成員國進行風險評估。
即使攻擊發生在二月,歐盟的回應團隊也及時協助烏克蘭政府抵禦網路攻擊。一月份,布魯塞爾舉辦了以一家虛構的芬蘭能源公司為主角的網路戰爭遊戲,以測試歐洲網路安全的彈性和準備情況,這是計劃為期六週的演習的一部分。
歐洲應對網路威脅的方法之一是透過歐盟範圍內的認證流程(例如品質標誌)來提高產品的網路安全標準。
目前,正在開發一個認證框架,以便可以針對特定類型的產品製定特定的認證方案。
“當我們考慮網路安全時,歐盟的巨大成功在於,它將網路安全從 80 年代技術性很強的資訊安全、電腦網路和系統狀態提升為現在 27 個國家政治議程上的首要項目”,倫敦大學學院教授蒂姆史蒂文斯說。
這種早期的網路安全方法更具反應性,重點在於如何最大限度地減少干擾並確保業務連續性。他解釋說,從那時起,它的方法發生了變化,從關注風險轉向關注特定威脅,包括犯罪團夥、民族國家以及介於兩者之間的一切威脅。
至於在國防方面更加積極主動,史蒂文斯表示,這是一個更「不舒服」的領域,因為歐盟從來就不是一個安全和國防組織。
但隨著歐盟也逐漸成為“網路外交參與者”,對俄羅斯、中國和北韓等一些已確定的威脅實施制裁。
「這很大程度上是重點的轉變。部分原因是環境迫使他們這樣做,」史蒂文斯說。
「如果您的成員國網路經常受到東歐某人的攻擊,那麼您將採取什麼措施?你就坐在那裡接受它嗎?
但塔內爾·塞普希望看到歐盟走得更遠。
他希望看到歐盟成員國承諾一定比例的 IT 投資用於網路安全和基礎設施,並由歐盟幫助計算成員國之間的公平貢獻。
「我們都希望推進電子化政府和服務,但我們都必須考慮安全問題,」他說。
