Število kibernetskih napadov na organe EU se močno povečuje, a se raven pripravljenosti na področju kibernetske varnosti po organih EU razlikuje in na splošno ni sorazmerna z vse večjimi grožnjami. To razkriva posebno poročilo Evropskega računskega sodišča, ki je preučilo pripravljenost organov upravljanja EU na kibernetske grožnje.
Število incidentov povečalo za več kot desetkrat
Revizorji zato priporočajo uvedbo zavezujočih pravil o kibernetski varnosti in povečanje virov za skupino za odzivanje na računalniške grožnje (CERT-EU), so sporočili iz sodišča. V poročilu so dodali, naj Evropska komisija spodbuja nadaljnje sodelovanje med organi EU, skupina CERT-EU in Agencija EU za kibernetsko varnost (ENISA) pa naj se bolj osredotočita na tiste organe EU, ki imajo manj izkušenj z upravljanjem kibernetske varnosti.
“Med letoma 2018 in 2021 se je število pomembnih incidentov v organih EU povečalo za več kot desetkrat. Delo na daljavo je znatno povečalo število možnih točk dostopa za napadalce,” so poudarili v sporočilu.
Pomembni incidenti so navadno posledica kompleksnih kibernetskih napadov, ki običajno vključujejo uporabo novih metod in tehnologij, da se raziščejo in se ponovno vzpostavi prejšnje stanje, pa lahko traja več tednov ali celo mesecev, so zapisali. Ob tem so izpostavili primer kibernetskega napada na Evropsko agencijo za zdravila, pri katerem so bili občutljivi podatki razkriti in manipulirani, da bi se spodkopalo zaupanje v cepiva.
Manjka usklajevanje na nivoju EU
“Institucije, organi in agencije EU so privlačne tarče potencialnih napadalcev, zlasti skupin, ki so sposobne izvajati visoko izpopolnjene prikrite napade za namene kibernetskega vohunjenja in druge škodljive namene,” je povedala članica sodišča Bettina Jakobsen, ki je vodila revizijo.
Dodala je, da imajo takšni napadi lahko znatne politične posledice ter lahko škodujejo splošnemu ugledu EU in spodkopavajo zaupanje v njene institucije. “EU mora okrepiti prizadevanja za zaščito svojih organizacij,” je poudarila Jakobsenova.
Glavna ugotovitev revizorjev je bila, da institucije, organi in agencije EU niso vedno dobro zaščiteni pred kibernetskimi grožnjami. Raziskava je namreč pokazala, da kibernetske varnosti ne obravnavajo usklajeno, bistvene kontrole in ključne dobre prakse na področju kibernetske varnosti niso vedno vzpostavljene, usposabljanje na tem področju pa se ne zagotavlja sistematično.
Revizorji so ugotovili tudi, da je dodeljevanje sredstev za kibernetsko varnost zelo različno, in da številni organi EU za to porabijo precej manj kot primerljivi drugi. Ker so organi EU povezani drug z drugim, pa revizorji poudarjajo, da je lahko zaradi slabosti na področju kibernetske varnosti v enem organu EU kibernetskim grožnjam izpostavljenih tudi več drugih organizacij.
STA
