4 czerwca 2025 roku w Berlinie firma Microsoft ogłosiła uruchomienie nowego European Security Program – inicjatywy mającej na celu wzmocnienie ochrony cybernetycznej w Europie. Program ten jest odpowiedzią na pogłębiające się zagrożenia ze strony grup przestępczych i sponsorowanych przez państwa cyberataków, szczególnie ze strony Rosji, Chin, Iranu i Korei Północnej. Działanie to wpisuje się w szersze zobowiązania cyfrowe, przedstawione wcześniej w Brukseli.
Główne założenia programu
Nowy program obejmuje trzy kluczowe elementy:
- Zwiększenie wymiany informacji wywiadowczych opartych na AI z rządami europejskimi,
- Dodatkowe inwestycje w budowę odporności i zdolności w zakresie cyberbezpieczeństwa,
- Rozszerzenie partnerstw mających na celu zakłócanie działalności cyberprzestępczej i demontaż infrastruktury wykorzystywanej przez przestępców.
Program jest udostępniany bezpłatnie rządom wszystkich 27 państw członkowskich UE, krajom kandydującym, członkom EFTA, Wielkiej Brytanii, Monako i Watykanowi.
Obecne zagrożenia i konieczność reakcji
Z danych Microsoft wynika, że Europa doświadcza intensywnej aktywności grup powiązanych z państwami, zwłaszcza z Rosją i Chinami. Celem ataków są m.in. instytucje rządowe, uczelnie wyższe, think tanki i infrastruktura krytyczna. Działania te mają najczęściej charakter szpiegowski i wykorzystują kradzież danych uwierzytelniających oraz luki w zabezpieczeniach.
Obok działań państwowych narasta również aktywność grup ransomware rozwijających model „Ransomware-as-a-Service”. Obserwuje się rosnącą liczbę stron internetowych służących do wymiany wiedzy i narzędzi wśród przestępców.
Rozwój sztucznej inteligencji dodatkowo zwiększa skalę zagrożeń. Microsoft odnotował wykorzystanie AI przez cyberprzestępców do rekonesansu, opracowywania złośliwego kodu, ataków socjotechnicznych oraz omijania systemów wykrywania zagrożeń.
Zwiększenie wymiany informacji z rządami
Nowy program rozwija funkcjonujący już Government Security Program (GSP), rozszerzając zakres i tempo przekazywania informacji o zagrożeniach. Informacje te będą dostosowywane do sytuacji każdego państwa i – jeśli to możliwe – przekazywane w czasie rzeczywistym.
W skład działań wchodzi m.in.:
- udostępnianie informacji zebranych przez AI o działaniach grup APT,
- rozszerzenie dostępu do danych jednostki Microsoft Digital Crimes Unit (DCU),
- informowanie o operacjach dezinformacyjnych z użyciem deepfake’ów,
- uprzywilejowany dostęp do komunikatów o podatnościach i rekomendacji dotyczących łatania luk w zabezpieczeniach.
Rządy biorące udział w programie otrzymają dedykowanych przedstawicieli Microsoft, którzy będą wspierać ich w reagowaniu na incydenty.
Inwestycje w odporność cyfrową
Microsoft zapowiedział szereg inwestycji mających na celu zwiększenie zdolności obronnych i odporności cyfrowej Europy, m.in.:
- Współpraca z Europolem (EC3) – utworzono pilotażowy program z udziałem śledczych DCU, którzy będą pracować w Hadze nad wspólnymi operacjami.
- Wsparcie dla organizacji pozarządowych – kontynuacja współpracy z CyberPeace Institute, który pomaga organizacjom w odpieraniu ataków ransomware.
- Rozbudowa działań w regionie Bałkanów Zachodnich – współpraca z WB3C ma na celu poprawę odporności cyfrowej w krajach graniczących z UE.
- Inwestycje w badania nad AI i bezpieczeństwem – wspólne projekty badawcze z brytyjskim Laboratorium Badań nad Bezpieczeństwem AI (LASR) dotyczące m.in. infrastruktury krytycznej.
- Zabezpieczanie kodu open-source – finansowanie projektów takich jak Log4J i Scancode w ramach GitHub Secure Open Source Fund.
Działania przeciw cyberprzestępczości
W ramach programu rozwijane są także partnerstwa z organami ścigania w celu aktywnego zwalczania cyberprzestępczości. Przykładem jest niedawne wspólne działanie DCU i Europolu, które doprowadziło do likwidacji sieci Lumma, służącej do kradzieży danych i portfeli kryptowalutowych. Zainfekowała ona blisko 400 000 urządzeń, z czego znaczna część znajdowała się w Europie.
Microsoft wdrożył również program Statutory Automated Disruption (SAD), który automatyzuje zgłoszenia nadużyć do dostawców hostingu, co przyspiesza likwidację szkodliwych domen i adresów IP.
Przeciwdziałanie zagrożeniom państwowym
Od 2016 roku Microsoft zainicjował siedem działań prawnych przeciwko państwowym grupom hakerskim, znanym wewnętrznie jako Blizzard (Rosja), Typhoon (Chiny), Sandstorm (Iran) i Sleet (Korea Północna). Ostatnia z nich – Star Blizzard – była aktywna w kontekście wyborów w Wielkiej Brytanii i kampanii wymierzonych w państwa NATO. We wrześniu 2024 roku Microsoft przejął ponad 140 domen wykorzystywanych przez tę grupę, co skutecznie osłabiło jej działania.
Współpraca jako fundament cyberbezpieczeństwa
Microsoft podkreśla, że odporność cyfrowa wymaga współpracy – zarówno z sektorem publicznym, jak i prywatnym. Programy takie jak European Security Program mają zapewnić, że Europa będzie lepiej przygotowana do odpierania zarówno codziennych zagrożeń, jak i poważnych ataków na infrastrukturę i demokrację.
Firma zapowiada kontynuację działań na rzecz bezpieczeństwa cyfrowego w Europie, wspierając organy państwowe, instytucje i obywateli we wspólnym wysiłku na rzecz ochrony infrastruktury, danych i zaufania publicznego.