ES institucijos turi sustiprinti savo pasirengimą kibernetiniam saugumui

Kibernetinių atakų prieš ES institucijas skaičius smarkiai didėja. Lygis
ES institucijų pasirengimo kibernetiniam saugumui lygis skiriasi ir apskritai nėra
proporcingai augančioms grėsmėms. Kadangi ES institucijos yra stipriai
tarpusavyje susiję, vieno silpnumas gali sukelti grėsmę saugumui.
Tokia išvada padaryta specialioje Europos teismo ataskaitoje
Auditoriai, kurie tiria ES valdymo institucijų pasirengimą
prieš kibernetines grėsmes. Auditoriai rekomenduoja įpareigoti kibernetinį saugumą
turėtų būti įvestos taisyklės ir turimų išteklių kiekis
Reikėtų padidinti kompiuterinių avarijų reagavimo grupę (CERT-EU). The
Europos Komisija taip pat turėtų skatinti tolesnį ES bendradarbiavimą
auditorių teigimu, o CERT-EU ir Europos Sąjungos agentūra
Kibernetinis saugumas turėtų skirti daugiau dėmesio toms ES institucijoms, kurios turi mažiau
kibernetinio saugumo valdymo patirtis.*

Reikšmingų kibernetinio saugumo incidentų ES institucijose padaugėjo daugiau nei
dešimteriopai nuo 2018 iki 2021 m.; labai išaugo nuotolinis darbas
galimų užpuolikų prieigos taškų skaičius. Reikšmingi incidentai
dažniausiai sukelia sudėtingos kibernetinės atakos, kurios paprastai apima naudojimą
naujų metodų ir technologijų, ir tai gali užtrukti savaites, o ne mėnesius
ištirti ir susigrąžinti. Vienas iš pavyzdžių buvo kibernetinė ataka
Europos vaistų agentūra, kurioje buvo nutekinti ir manipuliuojami neskelbtini duomenys
pakirsti pasitikėjimą vakcinomis.

„*ES institucijos, įstaigos ir agentūros yra patrauklūs potencialių taikiniai
užpuolikai, ypač grupės, galinčios įvykdyti labai sudėtingus
slaptos atakos kibernetiniam šnipinėjimui ir kitais nešvankiais tikslais*“, – sakė
Bettina Jakobsen, auditui vadovavusi EAR narė. „*Tokių išpuolių gali būti
reikšmingų politinių pasekmių, kenkia bendrai ES reputacijai,
ir pakirsti pasitikėjimą jos institucijomis. ES turi dėti daugiau pastangų
apsaugoti savo organizacijas.*“

Pagrindinė auditorių išvada buvo ta, kad ES institucijos, įstaigos ir
agentūros ne visada yra gerai apsaugotos nuo kibernetinių grėsmių. Jie to nedaro
nuosekliai elgtis su kibernetiniu saugumu, esminės kontrolės priemonės ir raktas
kibernetinio saugumo geroji praktika ne visada taikoma, o kibernetinio saugumo
mokymai nevykdomi sistemingai. Išteklių paskirstymas
kibernetinis saugumas labai skiriasi, o kai kurios ES institucijos išleidžia išlaidas
žymiai mažiau nei kiti lyginamieji. Nors skirtumai tarp
kibernetinio saugumo lygiai teoriškai gali būti pateisinami skirtinga rizika
kiekvienos organizacijos profiliai ir skirtingi jautrumo lygiai
tvarkomi duomenys, auditoriai pabrėžia, kad kibernetinio saugumo trūkumai a
viena ES įstaiga gali apsaugoti kelias kitas organizacijas kibernetiniu saugumu
grėsmės (visos ES institucijos yra susijusios viena su kita, o dažnai ir su visuomene bei
privačios organizacijos valstybėse narėse).

Kompiuterinių avarijų reagavimo komanda (CERT-EU) ir Europos Sąjunga
Kibernetinio saugumo agentūra (ENISA) yra du pagrindiniai ES subjektai, kuriems pavesta
teikiant paramą kibernetinio saugumo klausimais. Tačiau jiems nepavyko
suteikti ES institucijoms visą joms reikalingą pagalbą dėl išteklių
suvaržymai arba pirmenybė teikiama kitoms sritims. Dalijimasis informacija yra
Auditoriai teigia, kad tai taip pat yra trūkumas: pavyzdžiui, ne visos ES institucijos atlieka
laiku pranešti apie pažeidžiamumą ir reikšmingą kibernetinį saugumą
incidentus, kurie paveikė juos ir gali turėti įtakos kitiems.

Šiuo metu nėra teisinės bazės informacijos saugumui ir
kibernetinis saugumas ES institucijose, agentūrose ir įstaigose. Jie nėra subjektai
į plačiausią ES teisės aktą dėl kibernetinio saugumo, 2016 m. TIS direktyvą arba
NIS2 direktyva. Taip pat nėra
išsamią informaciją apie ES įstaigų išleistas sumas
Kibernetinė sauga. Bendros informacijos saugumo taisyklės ir kt
Kibernetinis visų ES įstaigų saugumas įtrauktas į komunikatą dėl ES
Saugumo sąjungos strategija 2020–2025 m., paskelbta
Komisija 2020 m. liepos mėn. ES skaitmeninio kibernetinio saugumo strategijoje
Dešimtmetis, paskelbtas 2020 m. gruodžio mėn., Komisija įsipareigojo pasiūlyti a
reglamentas dėl bendrų kibernetinio saugumo taisyklių visoms ES įstaigoms. Taip pat
pasiūlė sukurti naują teisinį pagrindą CERT-EU sustiprinti
savo įgaliojimus ir finansavimą.

e>

reklama

Pasidalinkite šiuo straipsniu: