Raport Cyberbezpieczeństwo | Regulacje | Potrzebujemy wykreować spójne ramy prawne nie tylko dla AI, ale szerzej – algorytmów

Inicjatyw regulacyjnych mających za cel poprawę poziomu bezpieczeństwa cyfrowego i cyberodporności w ostatnim czasie nie brakuje. Obok AI Act, NIS2 czy DORA mamy wszak inne akty prawne, jak choćby rozporządzenie CER w zakresie odporności podmiotów krytycznych czy pakiet PSD3/PSR, również wprowadzający szereg nowości m.in. w zakresie autentykacji transakcji płatniczych. Czy zatem możemy mówić o kolejnej fali regulacyjnego tsunami, która doprowadzi do przeregulowania tej sfery, a w konsekwencji obniżenia konkurencyjności Europy wobec globalnych, cyfrowych liderów?

– W powszechnej świadomości wciąż pokutuje stereotypowe myślenie, że kompleksowe uregulowanie jakiegoś obszaru powinno być zawarte w jednym akcie prawnym. Tymczasem obecna aktywność unijnego ustawodawcy w pełni realizuje program Komisji Europejskiej z roku 2020, dotyczący podniesienia poziomu bezpieczeństwa, w tym w szczególności cyberbezpieczeństwa. Cel ten jest osiągany poprzez przygotowanie szeregu komplementarnych aktów prawnych, obok wspomnianych przez pana, mamy wszak jeszcze tzw. rozporządzenie maszynowe, regulujące wykorzystanie robotów wyposażonych w algorytmy, Cyber Resilience Act czy AI Liability Directive. Można powiedzieć, że po latach deficytu prawnego w tym obszarze będzie on wreszcie ujęty w ramy prawne w sposób holistyczny. Pracowano nad tym już od lat, a wydarzenia roku 2022 jedynie potwierdziły słuszność przyjętego kierunku i zdopingowały twórców przepisów do działania.

Czyli rosyjska inwazja na Ukrainę nie była bezpośrednią przesłanką do wzmocnienia cyberodporności Unii Europejskiej?

– Agresywne działania Rosji w cyberprzestrzeni zaczęły się zmasowanym atakiem na estoński system teleinformatyczny wiosną roku 2007. Konsekwencją tych wydarzeń było powołanie odpowiednich jednostek obrony cyberprzestrzeni w ramach sojuszu północnoatlantyckiego. Wcześniej zarówno na poziomie Unii Europejskiej, jak i NATO brakowało spójnej strategii w zakresie cyberbezpieczeństwa. Dziesięć lat później podobna kampania rosyjskich służb specjalnych zakłóciła ukraińskie systemy administracji publicznej, ale również ruch lotniczy i kolejowy. Równolegle zaatakowany został MAERSK, jedna z największych firm logistycznych świata. Koincydencja tych dwóch zdarzeń była oczywista – celem było wszak równoległe sparaliżowanie systemów cyfrowych państwa i uderzenie w łańcuchy dostaw.

Wspomniane zagrożenia przyczyniły się do ogłoszenia rok później dyrektywy NIS, przy czym od razu podjęto pracę nad jej zaktualizowaną wersją, czyli NIS2. Dlatego zarówno już obowiązujące prawo, jak i procedowane obecnie regulacje stanowią odpowiedź na wydarzenia z roku 2017, a nie tylko na pełnoskalową agresję na Ukrainę, która, jak już wspomniałem, tylko dodatkowo zdynamizowała działania legislacyjne. Warto podkreślić, ze zarówno w roku 2007 w Estonii, jak i dziesięć lat później w Ukrainie jednym z celów ataku rosyjskich hakerów był system bankowy, jako ważny element infrastruktury krytycznej. Bez sprawnego sektora bankowego państwo de facto przestaje funkcjonować. Nieprzypadkowo konwencjonalne działania militarne w roku 2022 też poprzedził cyberatak na ukraińskie zasoby finansowe. Zresztą zdecydowana większość incydentów w przestrzeni cyfrowej, zwłaszcza tych na wielką skalę, to efekt działań politycznych, inspirowanych przez rządy, lub działania militarne. Klasyczna przestępczość kryminalna zorientowana na kradzież czy wyłudzenia pieniędzy zajmuje odległe pozycje.

Nasuwa się pytanie, czy i w jakim stopniu te najnowsze regulacje nadążają za upowszechnianiem się sztucznej inteligencji, które to zjawisko nasiliło się na przestrzeni ostatnich kilku kwartałów?

– Regulacje prawne co do zasady nigdy nie nadążają za systemami i zmianami społecznymi, gdyż są wobec nich wtórne. W przypadku sztucznej inteligencji celem jest stworzenie ram prawnych nie tylko dla samej AI, ile szerzej – algorytmów. Przez szereg lat rozwój świata wirtualnego i systemu prawnego przebiegał niejako obok siebie, dopiero lata 90. ubiegłego stulecia przyniosły pierwsze prawa dla sfery cyfrowej, do których musieli dostosować się informatycy. Generalnie przepisy te miały szereg luk, które pozwoliły m.in. na stworzenie rynku kryptowalut, na którym nie obowiązywały żadne spisane zasady, choćby w zakresie przeciwdziałania praniu pieniędzy. Nieprzypadkowo wejście w życie dyrektyw AML/CFT doprowadziło do wycofania się z rynku części podmiotów z branży kryptoaktywów. Dziś czeka nas zadanie o wiele ...