Zdaniem autorów raportu – Marii Demertzis i Guntrama Wolffa – na poziomie poszczególnych instytucji zostały podjęte istotne działania, by wzmocnić odporność na ataki cybernetyczne, choć opinie są podzielone co do tego, czy poziom zabezpieczeń jest wystarczający. Niestety, przygotowania systemowe są w tyle.
Cyberataki stają się nie tylko coraz częstsze, ale i coraz kosztowniejsze. Badania przeprowadzone wśród 5400 firm z USA, Wlk. Brytanii, Belgii, Francji, Niemiec, Hiszpanii i Holandii wykazały, że taki incydent w 2018 r. dotknął 45 proc. przedsiębiorstw, a w 2019 r. już 61 proc., natomiast przeciętna strata wynikająca z ataku szacowana jest na 369 tys. dolarów. Większość cyberprzestępczości ma motyw finansowy, ale szpiegostwo – także gospodarcze – odpowiada za jedną czwartą włamań do systemów.
Analitycy zwracają uwagę także na groźniejsze zjawisko – ataki hybrydowe. Choć Unia Europejska podjęła szereg działań mających na celu ograniczanie ryzyka i potencjalnych skutków takich zdarzeń, to w systemie nie ma jednolitej definicji ataku hybrydowego. Powtarzające się w dokumentach elementy to: agresja łącząca konwencjonalne i niekonwencjonalne środki, dokonywana przez podmioty państwowe lub niepaństwowe, który stanowi poważne zagrożenie mogące zdestabilizować Unię Europejską i jej kraje członkowskie.
W raporcie jako przykład wskazano hipotetyczny atak hybrydowy na wymyślone państwo – Fantazję. W ciągu jednej doby dochodzi serii zdarzeń, które destabilizują kraj. Najpierw w internecie zostają opublikowane fałszywe dokumenty zawierające oskarżenia wobec szefa rządu Fantazji, co podważa stabilność rządu. Jednocześnie wybucha run na jeden z największych banków, wywołany nieprawdziwymi wiadomościami rozpowszechnianymi przez media społecznościowe. Chaos potęgują przerwy w dostawach prądu spowodowane przez ataki hakerów.
Taki scenariusz – którego elementem są cyberataki – stanowi zagrożenie nie tylko dla poszczególnych instytucji nim dotkniętych, nie tylko dla kraju, który padł ofiarą agresji, ale dla międzynarodowego systemu gospodarczego. Bank przeżywający problemy z płynnością może mieć swoje spółki-córki na innych rynkach albo samemu być częścią większej grupy kapitałowej. Rosnąca niepewność przekłada się na rynki finansowe, a potem na nastroje przedsiębiorców i konsumentów, na czym cierpi gospodarka.
„Jak szybko UE byłaby w stanie uzgodnić polityczną reakcję na cyberatak na, powiedzmy, Europejski Bank Centralny?” – pytają retorycznie eksperci Bruegla.
Dlatego kwestie cyberbezpieczeństwa, co postuluje Bruegel, powinny być także kompetencją na szczeblu wspólnotowym – i to nie tylko w zakresie ochrony pojedynczych instytucji, ale całego systemu.
