Experter: Snåla, krångliga och senfärdiga EU inte rustat för systematiska hybridattacker

Vid en gemensam utfrågning på torsdagen i EU-parlamentets industri respektive säkerhetsutskott, presenterade fem experter en svidande kritik mot unionens cyberberedskap.

– Europa står inte inför isolerade cyberincidenter. Vi möter systematiska hybridoperationer, cyberattacker mot kritisk infrastruktur kombinerat med desinformationskampanjer och politiskt tryck, sade Ferdinand Gehringer, säkerhetsrådgivare vid konsultföretaget FTI Consulting.

Europeisk industri blöder pengar
Trots att cybersäkerhet nu står högt på agendan saknas de ekonomiska resurserna för att bygga upp kapacitet. Iva Tasheva, cybersäkerhetsexpert, beskrev enligt transkriberingen hur den europeiska cybersäkerhetsmarknaden krymper och att företag förlorar enorma summor.

– Vi har dubbelt så stort utbud jämfört med efterfrågan på cybersäkerhetstjänster i Europa. Vi har ett europeiskt problem med efterfrågan på cybersäkerhet. Vi vet att vi vill ha det, men vi är inte beredda att betala för det, sade Tasheva.

Hon pekade på att energibolag i genomsnitt spenderar sex miljoner euro årligen på cybersäkerhet – samma kostnad som ett enskilt genomsnittligt dataintrång orsakar. Samtidigt investerar europeiska regeringar under det globala genomsnittet i cybersäkerhet.

Tasheva vittnade om sina egna erfarenheter som företagare i branschen där fragmenterade upphandlingskrav och konstgjorda handelshinder mellan medlemsländer försvårar tillväxt. En studie från Europeiska investeringsbanken och Europeiska innovationsrådet från 2022 visade att europeiska cybersäkerhetsföretag bara har 0,5 procents chans att växa på grund av fragmentering och ineffektivitet.

Intelligenta bilar som säkerhetsrisk
Paulina Uznanska, biträdande chef för Kina-avdelningen vid den polska tankesmedjan Centrum för östeuropastudier, varnade för att intelligenta fordon från Kina utgör ett växande säkerhetshot som Europa inte hanterar tillräckligt snabbt.

– Intelligenta bilar är redan här på våra vägar i Europa. De är i grunden smartphones på hjul, packade med sensorer som högupplösta kameror, radar och positioneringssystem, och de är uppkopplade mot internet, sade Uznanska.

Hon förklarade att Kina själv ser intelligent fordonsteknologi som en strategisk möjlighet. Data som samlas in av intelligenta bilar används för att förbättra precisionen i Kinas satellitnavigationssystem Beidou, som används av den kinesiska armén. Samtidigt kan bilar som passerar militära zoner eller kritisk infrastruktur samla känsliga uppgifter om trafikmönster.

Uznanska påpekade att Kina själv har infört strikta begränsningar för utländska bilar. Tesla-bilar förbjöds till exempel att parkera vid flygplatser och köra nära regeringsbyggnader tills företaget genomgått Kinas datasäkerhetstester.

– När det gäller intelligenta bilar reglerar Kina mycket striktare än vi gör. Just nu i EU ökar exponeringen snabbare än regleringen, sade Uznanska.

Hon föreslog tre åtgärder: att medlemsländerna omedelbart skyddar kritisk infrastruktur och militära anläggningar, att intelligenta fordon explicit inkluderas i revideringen av EU:s cybersäkerhetslag, och att EU snabbt inför gemensamma regler för att undvika en fragmenterad inre marknad.

Ukraina varnar för eskalering
Natalija Tkatjuk, chef för ett direktorat vid Ukrainas nationella säkerhets- och försvarsråd, deltog på distans från Kiev för att dela Ukrainas erfarenheter. Hon berättade att landet utsattes för mer än 6 000 cyberattacker förra året.

– Cyberkriget mot Ukraina började inte nu, det började för mer än tio år sedan med cyberattacken Blackenergy mot ett ukrainskt kraftverk i december 2015. Som resultat blev mer än 300 000 hushåll utan elektricitet, sade Tkatjuk.

Hon varnade för att Ryssland nu öppet förklarat cyberkrig inte bara mot Ukraina utan även mot EU- och Natoländer. Som exempel nämnde hon en rysk cyberattack mot Polens energisektor i slutet av fjolåret som kunde ha drabbat 500 000 EU-medborgare om den lyckats.

– Polen är ett EU- och Natoland. Med denna cyberattack signalerar Ryssland helt enkelt att vilket europeiskt land som helst från och med nu är ett legitimt mål för rysk cyberaggression, sade Tkatjuk.

Hon beskrev hur Ukraina tvingats bygga upp effektiva och till och med proaktiva system för cybersäkerhet och cyberförsvar och erbjöd att dela sina erfarenheter, sina cyberunderrättelser och sina personella resurser med EU.

Offensiva förmågor saknas
Flera EU-parlamentariker frågade om EU behöver utveckla offensiva cyberförmågor för avskräckning. Tkatjuk svarade att Ukrainas erfarenhet visar att effektivt cyberförsvar är omöjligt utan offensiva kapaciteter.

Hon påpekade att endast två Natoländer – USA och Storbritannien – faktiskt använder sina offensiva cyberförmågor, medan Ryssland, Kina och Nordkorea inte bryr sig om internationell rätt.

Säkerhetskonsulten Gehringer höll med om behovet av avskräckning men betonade att Europa först måste stärka sin motståndskraft.

– Jag skulle inte argumentera för att vara mer proaktiv i cyberrymden eftersom vi först behöver mer motståndskraft, kortare återhämtningstid. Vi bör avskräcka genom motståndskraftig infrastruktur och tydlig gemensam tillskrivning inom europeiska medlemsländer med gemensamma sanktioner, sade Gehringer.

Beroende av USA
Ett annat genomgående tema var EU-ländernas teknologiska beroende. Gehringer uppgav att omkring 70 procent av molntjänsterna i EU tillhandahålls av amerikanska företag, medan endast 15 procent kommer från europeiska leverantörer.

Luca Tagliaretti från Europeiska kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning framhöll att EU hittills investerat 600 miljoner euro i cybersäkerhet genom centret, varav 40 procent gått till små och medelstora företag. Målet är att nå en miljard euro i investeringar nästa år.

Men Tasheva ifrågasatte om det räcker med nuvarande fragmenterade finansiering och stela administrativa processer. Hon påpekade att Digital Europe-programmet endast täcker 50 procent av godkända kostnader, vilket gör det svårt för företag att växa.

– Den svåra frågan är: har vi råd att fortsätta så här? sade Tasheva.