Organi EU-ja morajo okrepiti pripravljenost na področju kibernetske varnosti

Delo na daljavo znatno povečalo število možnih točk dostopa za napadalce

Število kibernetskih napadov na organe EU-ja se močno povečuje, a se raven pripravljenosti na področju kibernetske varnosti po organih EU-ja razlikuje in na splošno ni sorazmerna z vse večjimi grožnjami, razkriva posebno poročilo o kibernetskih grožnjah.

Revizorji priporočajo uvedbo zavezujočih pravil o kibernetski varnosti in povečanje virov za skupino za odzivanje na računalniške grožnje (CERT-EU), so sporočili iz Evropskega računskega sodišča, ki je pripravilo poročilo.

V poročilu so dodali, naj Evropska komisija spodbuja nadaljnje sodelovanje med organi EU-ja, skupina CERT-EU in Agencija Evropske unije za kibernetsko varnost (ENISA) pa naj se bolj osredotočita na tiste organe EU-ja, ki imajo manj izkušenj z upravljanjem kibernetske varnosti.

"Med letoma 2018 in 2021 se je število pomembnih incidentov v organih EU-ja povečalo za več kot desetkrat. Delo na daljavo je znatno povečalo število možnih točk dostopa za napadalce," so poudarili v sporočilu.

Pomembni incidenti so navadno posledica kompleksnih kibernetskih napadov, ki običajno vključujejo uporabo novih metod in tehnologij, da se raziščejo in se ponovno vzpostavi prejšnje stanje, pa lahko traja več tednov ali celo mesecev, so zapisali. Ob tem so poudarili primer kibernetskega napada na Evropsko agencijo za zdravila, pri katerem so bili občutljivi podatki razkriti in manipulirani, da bi se spodkopalo zaupanje v cepiva.

"Institucije, organi in agencije EU-ja so privlačne tarče potencialnih napadalcev, zlasti skupin, ki so sposobne izvajati visoko izpopolnjene prikrite napade za namene kibernetskega vohunjenja in druge škodljive namene," je povedala članica sodišča Bettina Jakobsen, ki je vodila revizijo.

Jakobsen je dodala, da imajo takšni napadi lahko znatne politične posledice ter lahko škodujejo splošnemu ugledu EU-ja in spodkopavajo zaupanje v njene institucije. "EU mora okrepiti prizadevanja za zaščito svojih organizacij," je poudarila Jakobsen.

Pomanjkljiva zaščita

Glavna ugotovitev revizorjev je bila, da institucije, organi in agencije EU-ja niso vedno dobro zaščiteni pred kibernetskimi grožnjami. Raziskava je namreč pokazala, da kibernetske varnosti ne obravnavajo usklajeno, bistvene kontrole in ključne dobre prakse na področju kibernetske varnosti niso vedno vzpostavljene, usposabljanje na tem področju pa se ne zagotavlja sistematično.

Revizorji so ugotovili tudi, da je dodeljevanje sredstev za kibernetsko varnost zelo različno in da številni organi EU-ja za to porabijo precej manj kot primerljivi drugi. Ker so organi EU-ja povezani drug z drugim, pa revizorji poudarjajo, da je lahko zaradi slabosti na področju kibernetske varnosti v enem organu EU-ja kibernetskim grožnjam izpostavljenih tudi več drugih organizacij.