2017 júniusában az Európai Unió határozottabb válaszintézkedések bevezetéséről döntött (a büntetőjogi szabályozáson kívül) a rossz szándékú kibertevékenységekkel szemben. Ennek érdekében létrehozta a közös uniós diplomáciai intézkedések keretét, az úgynevezett kiberdiplomáciai eszköztárat.
Az új eszköztár lehetővé teszi az EU és tagállamai számára, hogy valamennyi közös kül- és biztonságpolitikai (KKBP) intézkedést – szükség esetén a korlátozó intézkedéseket is – igénybe vegyék az EU és tagállamai integritását és biztonságát veszélyeztető kibertevékenységek megelőzése, a visszatartás, illetve elrettentés érdekében és az ezekre adandó válaszintézkedések meghozatala céljából.
Ezt követően az Európai Tanács 2019. május 17-én létrehozott egy jogszabályi keretet. Az EU számára ez megteremtette a célzott korlátozó intézkedések bevezetésének lehetőségét olyan kibertámadások esetén, amelyek külső fenyegetést jelentenek az EU vagy annak tagállamai számára (beleértve a harmadik államok vagy nemzetközi szervezetek ellen irányuló kibertámadásokat is).
Jogszabályi háttér
Az Európai Parlament és a Tanács 2013/40/EU irányelve (2013. augusztus 12.) az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról. HL L 218/8. 2013.08.14.
A Tanács (EU) 2019/796 rendelete (2019. május 17.) az Uniót vagy annak tagállamait fenyegető kibertámadások elleni korlátozó intézkedésekről. HL L 129/1/1. 2019.05.17.
A Tanács (KKBP) 2019/797 határozata (2019. május 17.) az Uniót vagy annak tagállamait fenyegető kibertámadások elleni korlátozó intézkedésekről. HL L 129/13. 2019.05.17.
A Tanács (EU) 2020/1125 végrehajtási rendelete (2020. július 30) az Uniót vagy annak tagállamait fenyegető kibertámadások elleni korlátozó intézkedésekről szóló (EU) 2019/796 rendelet végrehajtásáról. HL L 246/4. 2020.7.30.
A Tanács (EU) 2020/1536 végrehajtási rendelete (2020. október 22.) az Uniót vagy annak tagállamait fenyegető kibertámadások elleni korlátozó intézkedésekről szóló (EU) 2019/796 rendelet végrehajtásáról. HL L 351 1/1. 2020.10.22.
Az új szankciós rendszer hatálya alá olyan végrehajtott vagy megkísérelt kibertámadások tartoznak, amelyek jelentős hatást gyakorolnak és külső fenyegetést jelentenek. Annak megállapításához, hogy egy kibertámadás jelentős hatással bír-e a tanácsi rendelet [2. cikk a)–g) pont] ad útmutatást a figyelembe vehetők tényezőkről:
- az előidézett zavar hatóköre, léptéke, hatása és súlyossága, ideértve a gazdasági és társadalmi tevékenységeket, az alapvető szolgáltatásokat, a kritikus állami funkciókat, a közrendet és a közbiztonságot is;
- az adott természetes vagy jogi személyek, szervezetek vagy szervek száma;
- az érintett tagállamok száma;
- az okozott gazdasági veszteség mértéke, így például a pénzeszközök, a gazdasági erőforrások vagy a szellemi tulajdon nagyszabású eltulajdonítása;
- az elkövető által saját maga vagy mások számára szerzett gazdasági előny;
- az ellopott adatok mennyisége és jellege, vagy az adatvédelmi incidensek léptéke;
- vagy azon kereskedelmi szempontból érzékeny adatok jellege, amelyekhez az illetéktelenek hozzáfértek.
A jogszabály értelmében külső fenyegetésnek minősülnek [2. cikk (2) bekezdés] azok a kibertámadások,
- amelyek az unión kívülről erednek, vagy amelyeket az unión kívül követnek el;
- vagy amelyek az unión kívüli infrastruktúrát alkalmaznak;
- vagy amelyeket az unión kívül letelepedett, vagy tevékenységüket az unión kívül végző személyek vagy szervezetek követnek el;
- vagy amelyeket a tevékenységüket az unión kívül végző személyek vagy szervezetek támogatásával követnek el.
E jogi keret első alkalommal teszi lehetővé az EU számára, hogy szankciókat vessen ki olyan személyekre vagy szervezetekre, akik a (megkísérelt) kibertámadásokért felelősek, illetve pénzügyi, technikai vagy anyagi támogatást nyújtanak ilyen támadásokhoz, vagy egyéb módon működnek közre. Szankciók vethetők ki továbbá az ilyen személyekkel és szervezetekkel kapcsolatban álló személyekre és szervezetekre is. A szankciók utazási tilalomból és pénzeszközök befagyasztásából állnak. Emellett uniós személyeknek és szervezeteknek tilos pénzeszközöket a jegyzékbe vett személyek és szervezetek rendelkezésére bocsátani.
2020 júliusában az Európai Tanács első alkalommal határozott úgy, hogy él ezzel az eszközrendszerrel és korlátozó intézkedéseket foganatosít hat olyan személlyel és három olyan szervezettel szemben, akik (illetve amelyek) különböző kibertámadásokért felelősek vagy részt vettek ezekben. A szóban forgó támadások a következők:
A Vegyifegyver-tilalmi Szervezet (OPCW) ellen irányuló kibertámadás
2018 áprilisában Hágában egy orosz katonai hírszerzési tisztviselőkből álló csoport próbált meg engedély nélkül hozzáférni az OPCW wifihálózatához. A kibertámadási kísérlet célja az volt, hogy feltörjék a hálózatot, amely – sikeres támadás esetén – veszélybe sodorta volna a hálózat biztonságát és az OPCW folyamatban lévő vizsgálati munkáját. A Holland Védelmi Hírszerzési és Biztonsági Szolgálat akadályozta meg a kibertámadási kísérletet, ezáltal megelőzve az OPCW-t fenyegető súlyos kárt. Az elkövetők részt vettek a német szövetségi parlament informatikai rendszere ellen irányult kibertámadásban is, s annak működését több napra sikeresen megzavarta. A támadás során jelentős mennyiségű adatot tulajdonítottak el, és több képviselő, illetve Angela Merkel kancellár e-mail-fiókjához is hozzáfértek.
A WannaCry és a NotPetya zsarolóvírusok
2017-ben a WannaCry ransomware söpört végig a világon, amely egyedi módon, féregként viselkedve minden számítógépet megfertőzött egy hálózaton belül, így például az unión belül is több kórházat, illetve vasútvállalati rendszert is teljesen blokkolt. Ezt követték újabb zsarolóvírusok: a Petya és a NotPetya vagy EternalPetya. Utóbbi következtében például az ukrán energiahálózat egyes részeinek működése állt le a tél folyamán.
Operation Cloud Hopper támadássorozat
A Cloud Hopper művelet elkövetői hat kontinensen intéztek támadásokat multinacionális vállalatok – köztük több, az unió területén működő vállalat – információs rendszerei ellen, továbbá engedély nélkül fértek hozzá érzékeny kereskedelmi adatokhoz (jelentős gazdasági veszteséget okozva ezzel).