Kybernetická bezpečnost orgánů, institucí a jiných subjektů EU: úroveň připravenosti obecně není úměrná hrozbám
O zprávě:Počet kybernetických útoků na orgány, instituce a jiné subjekty EU prudce roste. Jelikož orgány, instituce a jiné subjekty EU jsou výrazně propojeny, nedostatky v jednom subjektu mohou zbývající subjekty vystavit bezpečnostním hrozbám. Zkoumali jsme, zda orgány, instituce a jiné subjekty EU disponují adekvátními mechanismy pro ochranu proti kybernetickým hrozbám. Zjistili jsme, že úroveň připravenosti orgánů, institucí a jiných subjektů EU neodpovídá hrozbám a že úroveň vyspělosti kybernetické bezpečnosti těchto subjektů je různá. Doporučujeme Komisi zlepšit připravenost orgánů, institucí a jiných subjektů EU navržením zavedení závazných pravidel kybernetické bezpečnosti a navýšením zdrojů pro skupinu pro reakci na počítačové hrozby v orgánech, institucích a jiných subjektech EU (CERT-EU). Komise by měla také podpořit další synergie mezi skupinou pro reakci na počítačové hrozby v orgánech, institucích a jiných subjektech EU a Agentura Evropské unie pro kybernetickou bezpečnost by měla zaměřit svou podporu na orgány, instituce a jiné subjekty EU s nižší úrovní vyspělosti kybernetické bezpečnosti.
Zvláštní zpráva EÚD podle čl. 287 odst. 4 druhého pododstavce Smlouvy o fungování EU.
Shrnutí
I Akt EU o kybernetické bezpečnosti definuje kybernetickou bezpečnost jako „činnosti nezbytné k ochraně sítí a informačních systémů, jejich uživatelů a dalších osob dotčených kybernetickými hrozbami“. Vzhledem k citlivým informacím, které zpracovávají, jsou orgány, instituce a jiné subjekty EU (dále také EUIBA, z angl. EU institutions, bodies and agencies) lákavým cílem pro potenciální útočníky, zejména pak skupiny schopné provádět vysoce sofistikované skryté útoky za účelem kybernetické špionáže i jinými účely. Navzdory své institucionální nezávislosti a správní autonomii jsou orgány, instituce a jiné subjekty EU jsou výrazně propojeny. Nedostatky v jednotlivých orgánech, institucích a jiných subjektech EU by proto mohly vystavit bezpečnostním hrozbám ostatní orgány, instituce a jiné subjekty EU.
II Vzhledem k prudce rostoucímu počtu kybernetických útoků na orgány, instituce a jiné subjekty EU bylo cílem tohoto auditu určit, zda orgány, instituce a jiné subjekty EU jako celek přijaly přiměřená opatření chránící je před kybernetickými hrozbami. Došli jsme k závěru, že orgány, instituce a jiné subjekty EU jako celek nedosáhly úrovně kybernetické připravenosti úměrné hrozbám.
III Zjistili jsme, že ne vždy byly zavedeny důležité osvědčené postupy v oblasti kybernetické bezpečnosti, včetně některých nezbytných kontrolních mechanismů, a řada orgánů, institucí a jiných subjektů EU zjevně na kybernetickou bezpečnost nevynakládá dostatek finančních prostředků. V některých orgánech, institucích a jiných subjektech EU dosud rovněž není zavedeno řádné řízení kybernetické bezpečnosti: strategie bezpečnosti informačních technologií v mnoha případech neexistují nebo nejsou schváleny vrcholným vedením, bezpečnostní politiky nejsou vždy formálně vyjádřeny a hodnocení rizik nepokrývá celé prostředí IT. Ne ve všech orgánech, institucích a jiných subjektech EU probíhá pravidelné nezávislé ověření kybernetické bezpečnosti.
IV Odborná příprava v oblasti kybernetické bezpečnosti není vždy systematická. O něco více než polovina orgánů, institucí a jiných subjektů EU nabízí průběžná školení v oblasti kybernetické bezpečnosti pro pracovníky IT a pro speciality na bezpečnost IT. Jen málo orgánů, institucí a jiných subjektů EU zajišťuje povinnou odbornou přípravu v oblasti kybernetické bezpečnosti pro manažery odpovědné za informační systémy obsahující citlivé informace. Důležitým nástrojem při odborné přípravě zaměstnanců a zvyšování informovanosti jsou testy phishingu, ale ne všechny orgány, instituce a jiné subjekty EU je používají systematicky.
V Přestože orgány, instituce a jiné subjekty EU zavedly struktury pro spolupráci a výměnu informací v oblasti kybernetické bezpečnosti, konstatujeme, že nejsou plně využívány potenciální synergie. Orgány, instituce a jiné subjekty EU si vzájemně systematicky neposkytují informace o projektech souvisejících s kybernetickou bezpečností, hodnocení zabezpečení a smlouvách o poskytování služeb. Dále pak nejsou plně interoperabilní základní komunikační nástroje, jako jsou řešení pro šifrovanou elektronickou poštu nebo videokonference. To může vést k menší bezpečnosti výměn informací, zdvojování úsilí a vyšším nákladům.
VI Dvěma hlavními subjekty pověřenými poskytováním podpory orgánům, institucím a jiným subjektům EU v oblasti kybernetické bezpečnosti jsou skupina pro reakci na počítačové hrozby v orgánech, institucích a jiných subjektech EU (CERT-EU) a Agentura Evropské unie pro kybernetickou bezpečnost (ENISA). Nicméně vzhledem k omezeným zdrojům nebo tomu, že jsou prioritně řešeny jiné oblasti, nejsou tyto subjekty schopny orgánům, institucím a jiným subjektům EU poskytovat veškerou potřebnou podporu, zejména pak v souvislosti s budováním kapacit v méně vyspělých orgánech, institucích a jiných subjektech EU. Přestože orgány, instituce a jiné subjekty EU si skupiny CERT-EU velice cení, její účinnost je ohrožována rostoucím pracovním vytížením, nestabilním financováním a personálním zajištěním i nedostatečnou spoluprací některých orgánů, institucí a jiných subjektů EU, které ne vždy včas poskytují informace o slabých místech a závažných incidentech v oblasti kybernetické bezpečnosti, které je zasáhly nebo které mohou zasáhnout i jiné subjekty.
VII Na základě těchto závěrů doporučujeme, aby
- Komise zlepšila připravenost orgánů, institucí a jiných subjektů EU v oblasti kybernetické bezpečnosti na základě legislativního návrhu, který zavede společné standardy v oblasti kybernetické bezpečnosti pro všechny orgány, instituce a jiné subjekty EU, a navýšením zdrojů pro skupinu CERT-EU;
- Komise v rámci Interinstitucionálního výboru pro digitální transformaci prosazovala ve vybraných oblastech další synergie mezi orgány, institucemi a jinými subjekty EU;
- se CERT-EU a ENISA více zaměřily na orgány, instituce a jiné subjekty EU méně vyspělé v oblasti kybernetické bezpečnosti.
Úvod
Co je to kybernetická bezpečnost?
01 Akt EU o kybernetické bezpečnosti1 definuje kybernetickou bezpečnost jako „činnosti nezbytné k ochraně sítí a informačních systémů, jejich uživatelů a dalších osob dotčených kybernetickými hrozbami“. Kybernetická bezpečnost se opírá o informační bezpečnost (resp. bezpečnost informací), tedy zachování důvěrnosti, celistvosti a dostupnosti informací2 ve fyzické i elektronické podobě. Ochrana sítí a informačních systémů, kde jsou tyto informace uloženy, se dále nazývá bezpečnost informačních technologií (IT) (viz obrázek 1).
02 Kybernetická bezpečnost jako obor se zabývá zjišťováním kybernetických incidentů, jejich prevencí a reakcí na ně a překonáváním jejich účinků. Za incident se například považuje náhodné zpřístupnění informací i útok, jenž má ohrozit kritickou infrastrukturu, nebo krádež totožnosti a osobních údajů3.
03 Rámec kybernetické bezpečnosti má mnoho součástí, včetně požadavků a technických kontrolních mechanismů týkajících se zabezpečení sítí a informačních systémů, vhodných systémů správy a řízení a programů informujících zaměstnance o kybernetických otázkách.
Kybernetická bezpečnost v orgánech, institucích a jiných subjektech EU
04 Vzhledem k citlivým informacím, které zpracovávají, jsou orgány, instituce a jiné subjekty EU lákavým cílem pro potenciální útočníky, zejména pak skupiny schopné provádět vysoce sofistikované skryté útoky (tzv. pokročilé trvalé hrozby) za účelem kybernetické špionáže i jinými účely4. Úspěšné kybernetické útoky na orgány, instituce a jiné subjekty EU mohou mít závažné politické důsledky, mohou poškodit celkovou pověst Evropské unie a podrývat důvěru v její instituce.
05 Pandemie COVID-19 donutila orgány, instituce a jiné subjekty EU jako mnoho dalších organizací po celém světě překotně urychlit digitální transformaci a využívat práci na dálku. To vedlo k výraznému zvýšení počtu potenciálních přístupových bodů pro útočníky („prostoru k útoku“) a k rozšíření hranic jednotlivých organizací do domácností a mobilních zařízení připojených k internetu, kde je možné využít nových zranitelných míst. Jednou z nejběžnějších cest, kterými skupiny útočící s použitím pokročilých trvalých hrozeb na orgány, instituce a jiné subjekty EU získávají prvotní přístup do sítí těchto subjektů, jsou služby vzdáleného přístupu5.
06 Počet kybernetických incidentů roste a obzvláště znepokojivým trendem je dramatický nárůst závažných incidentů týkajících se orgánů, institucí a jiných subjektů EU6. Rok 2021 tak byl v tomto ohledu rekordní. Významné incidenty jsou incidenty, které se neopakují a nejsou základní povahy. Obvykle zahrnují použití nových metod a technologií a vyšetřit je a eliminovat jejich následky může trvat týdny, pokud ne měsíce. Počty závažných incidentů se mezi lety 2018 a 2021 zvýšily více než desetinásobně7. Jen v uplynulých dvou letech bylo závažnými incidenty zasaženo nejméně 22 jednotlivých orgánů, institucí a jiných subjektů EU. Nedávným příkladem byl kybernetický útok na Evropskou agenturu pro léčivé přípravky, při němž unikly citlivé údaje, které byly následně zmanipulovány tak, aby narušily důvěru ve vakcíny8.
07 Orgány, instituce a jiné subjekty EU jsou velice různorodou skupinou zahrnující orgány, agentury a řadu různých subjektů. Sedm orgánů EU bylo zřízeno Smlouvami. Naopak decentralizované agentury a jiné subjekty jsou zřizovány akty sekundárního práva, přičemž každý z nich je samostatnou právnickou osobou. Agentury mají různý právní status: existuje šest výkonných agentur Komise a 37 decentralizovaných agentur EU9. Mezi orgány, instituce a jiné subjekty EU se řadí také úřady EU, diplomatický sbor (Evropská služba pro vnější činnost), společné podniky a jiné instituce. Každý orgán, instituce a subjekt EU odpovídá za stanovení vlastních požadavků v oblasti kybernetické bezpečnosti a za provádění vlastních bezpečnostních opatření.
08 S cílem posílit kybernetickou bezpečnost orgánů, institucí a jiných subjektů EU zřídila Komise v roce 2012 jako stálou pracovní skupinu pro reakci na počítačové hrozby v orgánech, institucích a jiných subjektech EU (CERT-EU). Skupina CERT-EU je pro orgány, instituce a jiné subjekty EU centrem pro výměnu informací o kybernetické bezpečnosti a koordinaci reakce na incidenty a spolupracuje s dalšími skupinami pro reakce na počítačové bezpečnostní incidenty (CSIRT) v členských státech a se specializovanými firmami zabývajícími se bezpečností IT. Organizace a provoz skupiny CERT-EU se v současnosti řídí interinstitucionálním ujednáním z roku 201810 (IIA) mezi příslušnými orgány, institucemi a jinými subjekty EU, jimž slouží, označovanými též jako „zúčastněné subjekty“. V současnosti existuje 87 zúčastněných subjektů.
09 Dalším důležitým hráčem podporujícím orgány, instituce a jiné subjekty EU je Agentura Evropské unie pro kybernetickou bezpečnost (ENISA), která se zabývá dosažením vysoké společné úrovně kybernetické bezpečnosti v celé EU. Agentura ENISA byla zřízena v roce 2004 a jejím posláním je zlepšit spolehlivost produktů, procesů a služeb informačních a komunikačních technologií (IKT) prostřednictvím systémů certifikace kybernetické bezpečnosti, spolupracovat s orgány, institucemi a jinými subjekty EU i členskými státy a pomáhat jim s přípravou na kybernetické hrozby. Agentura ENISA pomáhá orgánům, institucím a jiným subjektům EU s budováním kapacit a operativní spoluprací.
10 Přestože jsou institucionálně nezávislé, orgány, instituce a jiné subjekty EU jsou ve velké míře vzájemně provázány. Každodenně si vyměňují informace a sdílejí řadu společných systémů a sítí. Slabá místa jednotlivých orgánů, institucí a jiných subjektů EU by mohla bezpečnostním hrozbám vystavit i další subjekty, neboť mnoho kybernetických útoků probíhá ve více krocích, než dosáhnou svého záměru nebo konečného cíle11. Úspěšný útok na slabší orgán, instituci nebo jiný subjekt EU může sloužit jako odrazový můstek pro útok na další subjekty. Orgány, instituce a jiné subjekty EU jsou rovněž propojeny se subjekty z veřejného a soukromého sektoru v členských státech a jejich nedostatečná připravenost tak může vystavit kybernetickým hrozbám rovněž tyto organizace.
11 V současnosti neexistuje právní rámec pro informační bezpečnost a kybernetickou bezpečnost v orgánech, institucích a jiných subjektech EU. Nevztahuje se na ně nejširší právní úprava kybernetické bezpečnosti v EU, směrnice o bezpečnosti sítí a informací (NIS) z roku 201612, ani její navrhovaná revize, směrnice o kybernetické bezpečnosti (NIS2)13. Neexistují ani souhrnné informace o finančních prostředcích vynakládaných orgány, institucemi a jinými subjekty EU na kybernetickou bezpečnost.
12 V červenci 2020 zveřejnila Komise sdělení o strategii bezpečnostní unie EU14 na období 2020–2025. K jejím hlavním opatřením patří „společná pravidla o bezpečnosti informací a kybernetické bezpečnosti pro všechny orgány, instituce a jiné subjekty EU“. Tento nový rámec má podnítit rozsáhlou a efektivní operativní spolupráci v oblasti kybernetické bezpečnosti, v níž by ústřední roli hrála skupina CERT-EU. Ve strategii kybernetické bezpečnosti EU pro digitální dekádu15, zveřejněné v prosinci 2020, se Komise zavázala navrhnout nařízení o společných pravidlech kybernetické bezpečnosti pro všechny orgány, instituce a jiné subjekty EU. Navrhla rovněž vytvoření nového právního základu pro CERT-EU, jenž by posílil mandát a financování této skupiny.
Rozsah a koncepce auditu
13 Vzhledem k prudce rostoucímu počtu kybernetických útoků a ke skutečnosti, že slabá místa nacházející se v jednom orgánu, instituci nebo jiném subjektu EU mohou bezpečnostním hrozbám vystavit i jiné subjekty EU, bylo cílem tohoto auditu určit, zda orgány, instituce a jiné subjekty EU jako celek přijaly přiměřená opatření, která je chrání před kybernetickými hrozbami. Abychom mohli na tuto hlavní otázku auditu odpovědět, zabývali jsme se třemi níže uvedenými dílčími otázkami:
- Jsou v orgánech, institucích a jiných subjektech EU zavedeny hlavní postupy v oblasti kybernetické bezpečnosti?
- Existuje v oblasti kybernetické bezpečnosti účinná spolupráce mezi orgány, institucemi a jinými subjekty EU?
- Poskytují ENISA a CERT-EU orgánům, institucím a jiným subjektům EU přiměřenou podporu v oblasti kybernetické bezpečnosti?
14 Časový rozvrh auditu je sladěn se strategií bezpečnostní unie EU. Naším cílem je na základě vyhodnocení aktuálních opatření orgánů, institucí a jiných subjektů EU v oblasti kybernetické bezpečnosti určit oblasti, ve kterých existuje prostor ke zlepšení a které může Komise zvážit při přípravě svého legislativního návrhu společných závazných pravidel kybernetické bezpečnosti pro všechny orgány, instituce a jiné subjekty EU.
15 Audit se zabýval vývojem a iniciativami v oblasti kybernetické bezpečnosti od ledna 2018 (kdy vzniklo interinstitucionální ujednání o skupině CERT-EU) do října 2021.
16 Rozsah auditu jsme omezili na kybernetickou odolnost a neutajované systémy. Soustředili jsme se na aspekty připravenosti (činnosti z kategorie „identifikovat, chránit a odhalit“). Do oblasti působnosti nespadaly činnosti z kategorie „reagovat“ ani „překonat následky útoků“. Zkoumali jsme však vybrané organizační aspekty reakce na incidenty. Aspekty ochrany údajů, prosazování práva, kybernetické obrany a diplomacie v oblasti kybernetiky jsou navíc mimo naši oblast působnosti (viz obrázek 2).
17 Zjištění auditu vycházejí z rozsáhlé analýzy dostupné dokumentace doplněné o pohovory. V rámci průzkumu se sebehodnocením provedeného u 65 orgánů, institucí a jiných subjektů EU jsme shromáždili informace o jejich opatřeních v oblasti kybernetické bezpečnosti a názorech na spolupráci mezi institucemi. Průzkum byl proveden ve všech orgánech, institucích a jiných subjektech EU, na které se vztahují práva EÚD na provedení auditu a které řídí vlastní infrastrukturu IT, i v naší instituci jako takové. Jednalo se o orgány, decentralizované agentury, společné podniky i instituce. Byl rovněž proveden průzkum civilních misí, tedy dočasných autonomních subjektů financovaných z rozpočtu EU a z pohledu IT nezávislých. Úplný seznam zkoumaných orgánů, institucí a jiných subjektů EU je uveden v příloze I. Do oblasti působnosti tohoto auditu nebyl zahrnut evropský veřejný ochránce práv ani evropský inspektor ochrany údajů.
18 Na dotazník odpovědělo 100 % příjemců a tento průzkum sloužil jako výchozí bod pro další analýzu. Kromě toho jsme vybrali skupinu sedmi orgánů, institucí a jiných subjektů EU, jenž je reprezentativním vzorkem různorodosti orgánů, institucí a jiných subjektů EU, a u těchto subjektů jsme v návaznosti na odpovědi uvedené v dotazníku provedli pohovory a požádali jsme o předložení dokumentace. Při výběru jsme brali v úvahu kritéria jako právní základ, velikost (z hlediska počtu zaměstnanců a rozpočtu) i odvětví. Vzorek orgánů, institucí a jiných subjektů EU zahrnoval Evropskou komisi, Evropský parlament, Agenturu EU pro kybernetickou bezpečnost (ENISA), Evropský orgán pro bankovnictví (EBA), Evropskou agenturu pro námořní bezpečnost (EMSA), Poradní misi EU na Ukrajině (EUAM Ukrajina) a společný podnik pro provádění společné technologické iniciativy pro inovativní léčiva (IMI JU).
19 Proběhly rovněž video schůzky se skupinou CERT-EU, Poradním výborem sítě agentur pro informační a komunikační technologie (ICTAC), Interinstitucionálním výborem pro digitální transformaci (ICDT) a dalšími relevantními zúčastněnými stranami.
Připomínky
EUIBA mají velmi různou úroveň vyspělosti kybernetické bezpečnosti a ne vždy dodržují osvědčené postupy
20 Tato část dokumentu zkoumá jednotlivá opatření a rámce kybernetické bezpečnosti orgánů, institucí a jiných subjektů EU. Hodnotili jsme, zda je jejich přístup ke kybernetické bezpečnosti důsledný a přiměřený z hlediska řízení bezpečnosti IT, řízení rizik, alokace zdrojů, informačního školení, kontrolních mechanismů a nezávislého ověření.
Správa bezpečnosti IT v orgánech, institucích a jiných subjektech EU není často dobře rozvinutá a posouzení rizik nejsou komplexní
V mnoha orgánech, institucích a jiných subjektech EU existují nedostatky v řízení bezpečnosti IT
21 Řádná správa hraje v účinném rámci pro bezpečnost informací a informačních systémů zásadní úlohu, neboť vymezuje cíle dané organizace a stanovením priorit a rozhodováním udává směr. Podle Asociace pro audit a kontrolu informačních systémů (ISACA)16 by řídicí rámec bezpečnosti IT měl obecně obsahovat několik prvků:
- komplexní bezpečnostní strategii úzce provázanou s cíli organizace;
- řídicí bezpečnostní politiky upravující jednotlivé aspekty strategie, kontrolních mechanismů a regulace;
- úplný soubor norem pro každou politiku popisující provozní opatření nezbytná pro dosažení souladu s příslušnou politikou;
- institucionalizované monitorovací postupy pro zajištění souladu a poskytování zpětné vazby ohledně účinnosti;
- účinnou organizační strukturu bez střetu zájmů.
22 V mnoha orgánech, institucích a jiných subjektech EU jsme zjistili nedostatky v řízení bezpečnosti IT. Pouze 58 % orgánů, institucí a jiných subjektů EU (38 z 65) má strategii bezpečnosti IT nebo alespoň plán bezpečnosti IT schválený na úrovni správní rady nebo vrcholného vedení. Rozdělení podle typu orgánů, institucí a jiných subjektů EU ukazuje, že nejnižší procentní podíly mají civilní mise a decentralizované agentury (které dohromady představují 71 % dotazovaných EUIBA) (viz tabulka 1). V případě, že neexistuje strategie bezpečnosti IT nebo plán bezpečnosti IT schválený na úrovni vrcholného vedení, hrozí riziko, že si vrcholné vedení nebude vědomo problémů s bezpečností IT nebo jim nebude přikládat dostatečný význam.
Tabulka 1 – Procento orgánů, institucí a jiných subjektů EU se strategií nebo plánem v oblasti bezpečnosti IT schválenými vrcholovým vedením
Dělení podle počtu zaměstnanců
< 100 zaměstnanců
(22 EUIBA) |
100 až 249 zaměstnanců
(17 EUIBA) |
250 až 1 000 zaměstnanců
(16 EUIBA) |
> 1 000 zaměstnanců
(10 subjektů) |
---|---|---|---|
45 % | 53 % | 69 % | 80 % |
Dělení podle typu orgánu, instituce a subjektu EU
Decentralizované agentury
(35 EUIBA) |
Civilní mise
(11 EUIBA) |
Instituce
(4 EUIBA) |
Orgány
(6 EUIBA) |
Společné podniky
(9 EUIBA) |
---|---|---|---|---|
45 % | 56 % | 75 % | 83 % | 89 % |
Zdroj: průzkum EÚD.
23 Zkoumali jsme strategie/plány v oblasti bezpečnosti IT poskytnuté sedmi orgány, institucemi a jinými subjekty EU zařazenými do vzorku (viz bod 18). Zjistili jsme, že strategie orgánů, institucí a jiných subjektů EU jsou poměrně dobře provázány s jejich operačními cíli. Strategie bezpečnosti IT předložená Komisí například pokrývá oblast bezpečnosti IT vztahující se k digitální strategii Evropské komise17 a je navržena tak, aby podporovala její plán a cíle. Nicméně pouze tři orgány, instituce a jiné subjekty EU v našem vzorku do svých strategií nebo plánů bezpečnosti IT zahrnuly konkrétní cíle a časový rámec pro dosažení těchto cílů.
24 Bezpečnostní politiky stanovují pravidla a postupy, jimiž se fyzické osoby používající nebo spravující informační a IT zdroje musí řídit. Přispívají ke zmírnění rizik v oblasti kybernetické bezpečnosti a poskytují informace jak postupovat v případě incidentů. Zjistili jsme, že 78 % orgánů, institucí a jiných subjektů EU má formální politiku bezpečnosti informací, zatímco pouze 60 % má formální politiky v oblasti bezpečnosti IT (definice informací a bezpečnosti IT viz obrázek 1). Zjistili jsme rovněž, že čtyři ze sedmi subjektů v našem vzorku mají bezpečnostní politiky, které jsou sladěny s jejich strategiemi bezpečnosti IT. Nicméně ve třech z těchto čtyř subjektů jsou politiky bezpečnosti IT pouze zčásti doplněné o aktuální podrobné bezpečnostní normy popisující provozní opatření nezbytná pro provádění zmíněných politik. Chybějící formální bezpečnostní normy zvyšují riziko, že problémy s bezpečností IT nebudou v daném orgánu, instituci nebo jiném subjektu EU odpovídajícím způsobem a důsledně vyřešeny. Kromě toho je pak obtížnější stanovit, do jaké míry je politika bezpečnosti IT dané organizace dodržována. Ze sedmi orgánů, institucí a jiných subjektů EU zařazených do vzorku má strukturované postupy pro sledování dodržování svých politik a norem v oblasti bezpečnosti IT pouze Komise, i když je používá pouze omezený počet generálních ředitelství (GŘ) (viz rámeček 1).
Zajišťování bezpečnosti IT v Komisi
V souladu s decentralizovaným řízením IT v Komisi je vedoucí každého generálního ředitelství vlastníkem služby odpovědným za to, že systémy splňují normy stanovené pro bezpečnost IT. Provádění opatření v oblasti řízení shody sledují a podporují Generální ředitelství pro informatiku (GŘ DIGIT) a Generální ředitelství pro lidské zdroje a bezpečnost (GŘ HR). GŘ DIGIT vytvořilo nástroj (označovaný jako „GRC“) umožňující generálním ředitelstvím měřit a vykazovat dodržování kontrolních mechanismů vyplývajících z politiky bezpečnosti IT.
Stávajících 580 kontrolních mechanismů se dělí do tří skupin: obecné kontrolní mechanismy (povětšinou týkající se správy a řízení), kontrolní mechanismy specifické pro jednotlivá generální ředitelství a kontrolní mechanismy specifické pro jednotlivé systémy. Nástroj je funkční, ale zatím ho využívá pouze pět generálních ředitelství. GŘ DIGIT tudíž nemá přehled o dodržování kontrolních mechanismů v celé Komisi. Rada pro informační technologie a kybernetickou bezpečnost (ITCB) zřízená Komisí však může generální ředitelství DIGIT požádat o prošetření shody s určitou normou (např. v roce 2021 se jednalo o vícefaktorové ověřování) a může vydávat nezávazná stanoviska a doporučení, popřípadě u kritických rizik také formální požadavky.
25 Další důležitou součástí řádného řízení kybernetické bezpečnosti je jmenování ředitele pro bezpečnost informačních systémů (CISO). Přestože skupina norem ISO 27000 to výslovně nevyžaduje18, zřízení funkce CISO nebo obdobné role se v organizacích stalo rozšířenou praxí a je obsaženo i v pokynech ISACA. CISO má obvykle celkovou odpovědnost za programy bezpečnosti informací a IT v dané organizaci. Aby se předešlo střetu zájmů, CISO by měl být do určité míry nezávislý na funkci/útvaru IT19.
26 Podle našeho průzkumu 60 % orgánů, institucí a jiných subjektů EU nejmenovalo nezávislého ředitele pro bezpečnosti informačních systémů ani nevytvořilo obdobnou funkci. V případech, kdy jsou jmenováni CISO (nebo je vytvořena obdobná funkce), se povaha jejich úlohy v jednotlivých subjektech výrazně liší a jejich funkce jsou chápány odlišně. Zejména v malých a středně velkých orgánech, institucích a jiných subjektech EU vykonávají pracovníci na pozicích CISO spíše operativní úkoly a nejsou funkčně nezávislí na oddělení IT. V důsledku toho může být omezena nezávislost CISO při provádění bezpečnostních priorit. Agentura ENISA v současnosti připravuje rámec dovedností pro kybernetickou bezpečnost v EU, jehož cílem je mimo jiné zajistit jednotný výklad rolí, kompetencí a dovedností.
Hodnocení bezpečnostních rizik IT prováděná v orgánech, institucích a jiných subjektech EU většinou nezahrnují celé jejich prostředí IT
27 Všechny mezinárodní normy týkající se bezpečnosti IT zdůrazňují význam zavedení vhodného způsobu hodnocení a řešení bezpečnostních rizik spojených s informačními systémy a s daty, která se v nich nacházejí. Hodnocení rizik by měla být prováděna pravidelně s přihlédnutím ke změnám požadavků na informační bezpečnost a příslušných rizik v dané organizaci20. V návaznosti na hodnocení by měl být přijat plán snižování rizik (nebo plán bezpečnosti IT).
28 Většina zkoumaných orgánů, institucí a jiných subjektů (58 z 65) uvedla, že při provádění hodnocení rizik spojených s jejich informačními systémy postupují podle určitého rámce nebo metodiky. Neexistuje však společná metodika pro všechny orgány, instituce a jiné subjekty EU. Nejméně 26 orgánů, institucí a jiných subjektů EU částečně nebo plně používá metodiky vypracované Komisí, konkrétně pak 31 % z nich používalo metodiku řízení bezpečnostních rizik IT z roku 2018 (ITSRM2). Jiné postupují podle metodik vycházejících ze známých odvětvových norem (např. ISO27001, ISO27005, rámec kybernetické bezpečnosti vypracovaný americkým Národním institutem standardů a technologie (NIST-CSF) nebo kontrolní mechanismy organizace Center for Internet Security (CIS)) nebo používají jiné interní metodiky.
29 Ze zmíněného vzorku sedmi subjektů pouze dva provádějí komplexní hodnocení rizik zahrnující celé jejich prostředí IT (tj. všechny jejich informační systémy). Většina provádí individuální hodnocení rizik pouze u svých nejdůležitějších informačních systémů. Zjistili jsme několik případů, kdy bylo hodnocení rizik realizováno před zavedením nových systémů. Nic však nesvědčí o tom, že by byla provedena následná hodnocení rizik spojená například s pozdějšími změnami jejich systémů nebo infrastruktury.
Orgány, instituce a jiné subjekty EU ke kybernetické bezpečnosti nepřistupují důsledně a ne vždy byly zavedeny zásadní kontroly
Alokace zdrojů na kybernetickou bezpečnost se v jednotlivých orgánech, institucích a jiných subjektech EU výrazně liší
30 V průzkumu jsme dotazované subjekty požádali o uvedení celkových výdajů na IT za rok 2020 a odhadované částky vynaložené na kybernetickou bezpečnost. Naše údaje ukazují výrazné rozdíly v podílu výdajů na IT vyhrazeném orgány, institucemi a jinými subjekty EU na kybernetickou bezpečnost. Rozdíly existují i mezi orgány, institucemi a jinými subjekty EU podobné velikosti z hlediska počtu zaměstnanců. Jak ukazuje obrázek 3, rozdíly jsou značné zejména u orgánů, institucí a jiných subjektů EU s menším počtem zaměstnanců.
31 Je obtížné stanovit optimální úroveň výdajů na kybernetickou bezpečnost v absolutním vyjádření. Jejich optimální výše závisí na mnoha faktorech, jako je prostor k útoku na danou organizaci, citlivost údajů, s nimiž organizace pracuje, její rizikový profil a ochota podstupovat rizika, resp. právní a regulační požadavky v daném odvětví. Naše údaje poukazují na to, že rozdíly jsou značné a důvody pro tyto rozdíly nejsou vždy zjevné. Některé orgány, instituce a subjekty EU vydávají na kybernetickou bezpečnost výrazně méně než jejich protějšky obdobné velikosti, což může znamenat, že pokud budou vystaveny podobným hrozbám a rizikům, jsou tyto výdaje nedostatečné.
32 Většina orgánů, institucí a jiných subjektů EU jsou z hlediska počtu zaměstnanců i výdajů na IT malými až středně velkými subjekty, přičemž dvě třetiny z nich mají méně než 350 zaměstnanců. Nejmenší z těchto subjektů má pouze 15 zaměstnanců. Pro menší orgány, instituce a jiné subjekty EU je řízení kybernetické bezpečnosti náročnější, a to i z hlediska zdrojů. Ve většině případů nemohou využívat úspor z rozsahu a nemají dostatečné interní odborné znalosti. Z našeho průzkumu a pohovorů vyplývá, že největší orgány jako Komise a Evropský parlament mají týmy odborníků zabývajících se řízením kybernetické bezpečnosti na plný úvazek. V nejmenších orgánech, institucích a jiných subjektech EU, kde jsou počty zaměstnanců i zdroje obzvláště omezené, však žádní takovíto odborníci nejsou a kybernetickou bezpečností se na částečný úvazek zabývají zaměstnanci z oblasti IT. Vzhledem k tomu, že orgány, instituce a jiné subjekty EU jsou zásadním způsobem provázány, představuje to zvýšené riziko (viz také bod 10).
33 V našem průzkumu jsme se orgánů, institucí a jiných subjektů EU dotazovali, jaké jsou hlavní výzvy při provádění účinných politik kybernetické bezpečnosti v jejich organizacích (viz obrázek 4). Největší výzvou je, že odborníků na kybernetickou bezpečnost je nedostatek a pro mnohé orgány, instituce a jiné subjekty EU je kvůli konkurenci ze strany soukromého sektoru i jiných orgánů, institucí a subjektů EU obtížné tyto odborníky přilákat. Často se vyskytujícími problémy jsou zdlouhavé náborové postupy, nekonkurenceschopné smluvní podmínky a chybějící lákavé kariérní vyhlídky. Nedostatek odborných pracovníků představuje významné riziko ohrožující účinné zvládání kybernetické bezpečnosti.
Většina orgánů, institucí a jiných subjektů EU nabízí určitou formu informačního školení zaměřujícího se na kybernetickou bezpečnost, avšak tyto vzdělávací programy nejsou systematické nebo vhodně zacílené
34 Využívání slabých míst v systémech a zařízeních není jediný způsob, jak mohou potenciální útočníci škodit. Mohou rovněž uživatele přimět k prozrazení citlivých informací nebo ke stažení škodlivého softwaru, například prostřednictvím phishingu nebo sociálního inženýrství. Zaměstnanci jsou součástí první obranné linie každé organizace. Informování o kybernetických otázkách a vzdělávací programy jsou tudíž důležitou součástí účinného rámce kybernetické bezpečnosti.
35 Až na tři převážná většina zkoumaných orgánů, institucí a jiných subjektů EU (95 %) poskytuje všem zaměstnancům určitou formu obecného školení informujícího o kybernetických otázkách. Nicméně pouze 41 % orgánů, institucí a jiných subjektů EU organizuje zvláštní vzdělávací kurzy nebo informační školení pro manažery a pouze 29 % zajišťuje povinnou odbornou přípravu v oblasti kybernetické bezpečnosti pro manažery odpovědné za informační systémy obsahující citlivé informace. Informovanost a zapojení vedoucích pracovníků je přitom pro účinné řízení kybernetické bezpečnosti zásadní. Z jedenácti orgánů, institucí a jiných subjektů EU, které zmínily chybějící podporu vedení jako problém při účinném zajišťování kybernetické bezpečnosti, pouze tři poskytovaly informační školení určené vedoucím pracovníkům. Průběžná školení v oblasti kybernetické bezpečnosti pro pracovníky IT nabízí 58 % EUIBA pro speciality na bezpečnosti IT 51 % EUIBA.
36 Ne všechny orgány, instituce a jiné subjekty EU mají mechanismy sledující účast zaměstnanců na odborné přípravě v oblasti kybernetické bezpečnosti a následnou změnu jejich informovanosti a chování. Zejména v menších organizacích jsou informace o kybernetických otázkách poskytovány během neformálních pracovních porad. Informovanost zaměstnanců organizace posuzují převážně pravidelnými zkouškami chování, včetně průzkumů gramotnosti v dané oblasti nebo testů phishingu. V posledních pěti letech pak 55 % orgánů, institucí a jiných subjektů EU uspořádalo alespoň jednu simulaci phishingového útoku (nebo podobné aktivity). Vzhledem k tomu, že phishing je jednou z hlavních hrozeb, jimž zaměstnanci působící ve veřejné správě čelí21, tyto simulace a další aktivity jsou důležitým nástrojem využívaným k odborné přípravě zaměstnanců a zvyšování jejich informovanosti. Zjistili jsme, že opatření Komise zaměřená na zvyšování povědomí o kyberprostoru jsou osvědčeným postupem a jsou dostupná i pro další zainteresované orgány, instituce a jiné subjekty EU (viz rámeček 2).
Školení Komise zaměřené na zvyšování povědomí o kybernetických otázkách
Komise zřídila v rámci GŘ DIGIT speciální tým „Cyber Aware“, jenž vede interní program zaměřující se na zvyšování povědomí o kybernetické bezpečnosti. Program je řízen a realizován společně s GŘ HR, generálním sekretariátem, Generálním ředitelstvím pro komunikační sítě, obsah a technologie (GŘ CNECT) a skupinou CERT-EU. Jedná se o kvalitní vzdělávací program, který má v mnoha případech interinstitucionální přesah. Kurzy jsou inzerovány ve zpravodaji Learning Bulletin, k němuž má přístup asi 65 000 zaměstnanců EU. Prostřednictvím platformy „Cyber Aware“ uspořádala Komise v uplynulých pěti letech 15 testů phishingu a nedávno uskutečnila první zkoušku zahrnující celou Komisi.
Nejsou vždy zavedeny nezbytné kontrolní mechanismy nebo nejsou formálně uvedeny v příslušných normách
37 Požádali jsme orgány, instituce a jiné subjekty EU, aby zhodnotily, jak provádějí vybrané nezbytné kontrolní mechanismy22. Zvolili jsme soubor osvědčených postupů, jejichž provádění je v přiměřeném rozsahu možné i v menších organizacích23. Výsledky jsou shrnuty na obrázku 5. Většina zkoumaných orgánů, institucí a jiných subjektů EU zvolené nezbytné kontrolní mechanismy zavedla. Avšak v některých oblastech se nejméně u 20 % subjektů kontrolní mechanismy zdají být nedostatečné nebo omezené co do rozsahu.
38 Od sedmi orgánů, institucí a jiných subjektů EU ve zmíněném vzorku jsme si vyžádali podklady a příslušné normy a interní předpisy vztahující se k jednotlivým kontrolním mechanismům, které podle informací uvedených v dotazníku byly v těchto organizacích prováděny. Příslušné dokumenty jsme obdrželi pro 62 % kontrolních mechanismů. Jak bylo objasněno během pohovorů, v několika případech byly zavedeny technické kontroly, které však nebyly formalizovány do – aktuálních – norem nebo politik, což zvyšuje riziko, že otázky bezpečnosti IT nebudou v rámci jednoho orgánu, instituce nebo jiného subjektu EU řešeny jednotně (viz také bod 24).
V několika orgánech, institucích a jiných subjektech EU nejsou opatření v oblasti kybernetické bezpečnosti pravidelně nezávisle ověřována
39 Podle asociace ISACA24 je interní audit jednou ze tří základních obranných linií organizace, přičemž dalšími dvěma jsou management a řízení rizik. Interní audity přispívají ke zlepšování řízení bezpečnosti informací a IT. Zkoumali jsme, jak často orgány, instituce a jiné subjekty EU provádějí prostřednictvím interních nebo externích auditů a proaktivního testování kybernetické obrany nezávislé ověření svého bezpečnostního rámce pro bezpečnost IT.
40 Útvar interního auditu Komise (IAS) je mimo jiné odpovědný za provádění auditů informačních technologií Komise a decentralizovaných agentur, společných podniků a Evropské služby pro vnější činnost. Do oblasti působnosti tohoto útvaru spadá 46 (70 %) z 65 zkoumaných orgánů, institucí a jiných subjektů EU a v posledních pěti letech IAS provedl audity týkající se bezpečnosti IT v 6 různých orgánech, institucích a jiných subjektech EU. Kromě toho je GŘ HR oprávněno provádět kontroly bezpečnosti IT zahrnující technické aspekty informační bezpečnosti25. Ze zbývajících orgánů, institucí a jiných subjektů EU sedm uvedlo, že mají vlastní útvar interního auditu zabývající se aspekty z oblasti informačních technologií, avšak u dvanácti z dotazovaných subjektů odpovědi v dotazníku nestačily k tomu, abychom určili, zda takovou kapacitou pro interní audit disponují.
41 Další formou nezávislého ověření jsou externí audity bezpečnosti IT prováděné nezávislými subjekty. Nehledě na rychle se měnící kybernetické prostředí nebyly u 34 % orgánů, institucí a jiných subjektů EU v období od začátku roku 2015 do prvního čtvrtletí roku 2021 provedeny žádné interní ani externí audity bezpečnosti IT. Dělení podle typu subjektu ukazuje, že od roku 2015 neproběhl interní ani externí audit bezpečnosti IT v 75 % institucí EU, 66 % společných podniků a 45 % civilních misí.
42 Kromě interních a externích auditů mohou organizace provádět ověření svých rámců pro bezpečnost IT prostřednictvím proaktivního testování své kybernetické obrany, jež jim umožní určit slabá místa. Jedním ze způsobů jsou penetrační testy (známé také jako etický hacking) spočívající v provádění schválených simulovaných kybernetických útoků na jednotlivé počítačové systémy. V odpovědích na náš dotazník uvedlo 69 % orgánů, institucí a jiných subjektů EU, že v posledních pěti letech provedly nejméně jeden penetrační test. Ve 45 % případů prováděla penetrační testy skupina CERT-EU.
43 Dalším způsobem testování kybernetické obrany je test s nasazením „červeného týmu“, při kterém jsou využívány postupy nedávno použité při skutečných útocích. Tyto aktivity jsou složitější a ucelenější než penetrační testy, protože se týkají většího počtu systémů a potenciálních způsobů útoku. Orgány, instituce a jiné subjekty EU je provádějí méně často: 46 % orgánů, institucí a jiných subjektů EU uvedlo, že v posledních pěti letech byl realizován nejméně jeden test s nasazením červeného týmu. Skupina CERT-EU uskutečnila 75 % těchto testů. Testy s nasazením červeného týmu vyžadují rozsáhlou přípravu a jejich provádění je pracovně náročné a skupina CERT-EU má v současné době kapacitu pro provedení maximálně pěti nebo šesti těchto testů.
44 Odhlédneme-li od dvou nedávno zřízených subjektů EU, pak penetrační testy ani testy s nasazením červeného týmu v posledních pěti letech neprovedlo 16 (25 %) ze zkoumaných orgánů, institucí a jiných subjektů EU. Celkově pak žádná forma nezávislého ověření opatření v oblasti bezpečnosti IT neproběhla v sedmi orgánech, institucích a jiných subjektech EU (10 %). Jednalo se o jeden společný podnik, jednu decentralizovanou agenturu a pět civilních misí.
Orgány, instituce a jiné subjekty EU zavedly mechanismy spolupráce, které však mají nedostatky
45 Tato část zprávy je věnována aktérům a výborům zřízeným na podporu spolupráce mezi orgány, institucemi a jinými subjekty EU v oblasti kybernetické bezpečnosti i interinstitucionálních řídicích a koordinačních mechanismů. Konkrétně jsme zkoumali dva interinstitucionální aktéry, agenturu ENISA a skupinu CERT-EU, a dva interinstitucionální výbory, Interinstitucionální výbor pro digitální transformaci (ICDT), zejména jeho podskupinu pro kybernetickou bezpečnost (CSSG), a Poradní výbor pro informační a komunikační technologie (ICTAC). Hodnotili jsme také, do jaké míry tyto mechanismy přinesly synergie přispívající ke zvýšení připravenosti orgánů, institucí a jiných subjektů EU v oblasti kybernetické bezpečnosti.
Orgány, instituce a jiné subjekty EU disponují formalizovanou strukturu pro koordinaci činností, i když s její správou jsou spojeny určité problémy
46 Dvěma hlavními výbory pro podporu spolupráce mezi orgány, institucemi a jinými subjekty EU v oblasti informačních technologií jsou ICDT a ICTAC. Členy Interinstitucionálního výboru pro digitální transformaci jsou manažeři IT z orgánů a institucí EU a výbor slouží jako fórum pro podporu výměny informací a spolupráce. Výbor má podskupinu pro kybernetickou bezpečnost (ICDT CSSG), která je podřízena a spadá pod výbor ICDT a může doporučovat rozhodnutí v konkrétních otázkách. Na druhou stranu Poradní výbor pro informační a komunikační technologie (ICTAC) je podskupinou sítě agentur EU (EUAN). Jde o neformální síť vytvořenou vedoucími agentur EU, která se zaměřuje na spolupráci mezi agenturami a společnými podniky. Oba výbory, ICDT i ICTAC, mají jasně vymezené a vzájemně se doplňující role: do oblasti působnosti výboru ICTAC spadají decentralizované agentury a společné podniky, zatímco ICDT se zaměřuje na orgány a instituce a subjekty. Ze své podstaty jsou ICDT i ICTAC spíše neformálními poradními skupinami a fóry pro výměnu informací a osvědčených postupů. Více informací o těchto interinstitucionálních výborech je uvedeno v příloze II.
Zastoupení orgánů, institucí a jiných subjektů EU v příslušných fórech není vždy adekvátní
47 Přestože struktury pro zastupování jsou jasně stanoveny, ne všechny orgány, instituce a jiné subjekty EU považují své aktuální zastoupení za dostatečné. Když jsme je v průzkumu požádali, aby se vyjádřily k tvrzení „Moje potřeby jsou v příslušných interinstitucionálních fórech dostatečně zohledněny a moje organizace má adekvátní zastoupení v radách s rozhodovacími pravomocemi“, 42 % orgánů, institucí a jiných subjektů EU s uvedeným tvrzením nesouhlasilo. Některé z nejmenších subjektů se domnívaly, že nemají dostatečné zdroje na to, aby se interinstitucionálních fór mohly aktivně účastnit.
48 Zúčastněné subjekty skupiny CERT-EU jako celek rovněž nejsou reprezentativně zastoupeny v řídicí radě, jež je jeho hlavním rozhodovacím orgánem. CERT-EU poskytuje služby 87 orgánům, institucím a jiným subjektům EU a třem dalším organizacím. V řídicí radě jsou však pouze zástupci 11 signatářů interinstitucionálního ujednání (sedm orgánů EU a Evropská služba pro vnější činnost, Hospodářský a sociální výbor, Výbor regionů a Evropská investiční banka) a jeden zástupce agentury ENISA, přičemž každý zástupce má jeden hlas26.
49 Více než polovinu zúčastněných subjektů skupiny CERT-EU tvoří decentralizované agentury a společné podniky EU, které mají dohromady asi 12 000 zaměstnanců. Formálně jejich zájmy v řídicí radě CERT-EU zastupuje agentura ENISA. Mandát agentury ENISA zastupovat agentury a společné podniky EU je však slabý, protože ji tyto subjekty přímo nejmenovaly ani nezvolily. V praxi jsou názory decentralizovaných agentur a společných podniků na zasedáních řídicí rady předkládány zástupcem Poradního výboru pro informační a komunikační technologie (ICTAC), jenž se může jednání účastnit a pomáhat agentuře ENISA plnit úlohu zástupce agentur. Přestože předkládá stanoviska a hájí zájmy 48 orgánů, institucí a jiných subjektů EU, zástupce poradního výboru ICTAC v současnosti není formálně členem řídicí rady a nemůže v ní hlasovat. V dubnu 2021 zaslal ICTAC předsedovi řídicí rady skupiny CERT-EU formální žádost o hlasovací práva v radě. V době přípravy této právy nebylo této žádosti dosud vyhověno. Přehled zastoupení orgánů, institucí a jiných subjektů EU v rozhodovacích radách a výborech je uveden na obrázku 6.
50 Interinstitucionální řízení kybernetické bezpečnosti orgánů, institucí a jiných subjektů EU je roztříštěné a žádný konkrétní subjekt nemá v současnosti komplexní přehled o vyspělosti orgánů, institucí a jiných subjektů EU v oblasti kybernetické bezpečnosti ani pravomoc zaujmout v této oblasti vedoucí úlohu nebo vynucovat dodržování společných závazných pravidel. Agentura ENISA a skupina CERT-EU mohou orgánům, institucím a jiným subjektům EU pouze poskytovat „podporu“ a „pomoc“. Příslušné výbory nemají rozhodovací pravomoc a mohou orgánům, institucím a jiným subjektům EU pouze vydávat doporučení. U pětiny zkoumaných orgánů, institucí a jiných subjektů EU dále pak také není jasné, na koho se obrátit s žádostí o konkrétní službu, nástroj nebo řešení.
Memoranda o porozumění mezi hlavními aktéry existují, ale nepřinášejí konkrétní výsledky
51 Memorandum o porozumění mezi ENISA, CERT-EU, Evropským centrem Europolu pro boj proti kyberkriminalitě (EC3) a Evropskou obrannou agenturou (EDA) bylo podepsáno v květnu 2018. Soustředilo se na pět oblastí spolupráce: výměnu informací, vzdělávání a odbornou přípravu, kybernetická cvičení, technickou spolupráci a strategické a administrativní záležitosti. Přestože toto memorandum by díky společnému pracovnímu programu mohlo přispívat k prevenci zdvojování činnosti, nic nenasvědčuje tomu, že by přineslo konkrétní výstupy a společná opatření.
52 Akt o kybernetické bezpečnosti, jenž vstoupil v platnost v červnu 2019, předpokládal podpis nové a konkrétní dohody o spolupráci mezi CERT-EU a agenturou ENISA. Stojí za povšimnutí, že trvalo více než rok a půl, než bylo v únoru 2021 příslušné memorandum o porozumění konečně podepsáno. Toto memorandum se pokouší navázat strukturovanou spolupráci mezi CERT-EU a agenturou ENISA. Vymezuje příslušné oblasti spolupráce (budování kapacit, operativní spolupráce a poznatky a informace) a určuje přibližné rozdělení rolí mezi nimi: CERT-EU povede poskytování pomoci orgánům, institucím a jiným subjektům EU, zatímco agentura ENISA se na výkonu této činnosti bude podílet. Memorandum nedefinuje praktická opatření, neboť ta jsou vymezena v ročním plánu spolupráce. První roční plán spolupráce na rok 2021 byl přijat správní radou agentury ENISA v červenci 2021 a řídicí radou skupiny CERT-EU v září 2021. Je tudíž příliš brzo na to, aby náš audit hodnotil, zda tento plán přinesl hmatatelné výsledky.
53 Vzhledem k tomu, že obě memoranda o porozumění uvedená v bodech 51 a 52 mají společné cíle a oblasti spolupráce, jako je odborná příprava, cvičení nebo výměna informací, existuje riziko překrývání a zbytečného zdvojování činností.
Potenciální synergie prostřednictvím spolupráce nejsou dosud plně využity
Byla přijata pozitivní opatření k dosažení synergií
54 Pracovní programy výboru ICTAC a podskupiny ICDT pro kybernetickou bezpečnost identifikují relevantní témata, ve kterých lze prostřednictvím spolupráce zvýšit efektivitu. Praktickým příkladem iniciativ, které orgánům, institucím a jiným subjektům EU umožnily těžit ze synergií, jsou:
- interinstitucionální rámcové smlouvy;
- společné středisko pro obnovu po havárii existující pro decentralizované agentury od roku 2019 při Úřadu Evropské unie pro duševní vlastnictví (EUIPO), které umožňuje dosahovat úspor nákladů ve výši nejméně 20 % ve srovnání s tržními cenami (toto řešení pro obnovu po havárii využívá devět agentur);
- smlouvy o sdílení společné infrastruktury a společného rámce bezpečnosti IT mezi šesti společnými podniky nacházejícími se ve stejné budově (od roku 2014).
55 Dalším důležitým příkladem je systém „GovSec“, který orgánům, institucím a jiným subjektům EU pomáhá provádět hodnocení rizik souvisejících se zaváděním cloudových řešení. Podle našeho průzkumu již používá veřejné cloudové platformy 75 % orgánů, institucí a jiných subjektů EU a některé z těch, které je dosud nepoužívají, plánují cloud začít využívat. Od roku 2019 se Komise řídí přístupem „cloud na prvním místě“, jenž předpokládá nabídku bezpečných hybridních služeb zahrnujících několik cloudových platforem27. V souvislosti s rámcovou smlouvou „Cloud II“ Komise rovněž vystupuje jako zprostředkovatel cloudových služeb pro všechny orgány, instituce a jiné subjekty EU. Řízení bezpečnostních rizik a rizik pro ochranu údajů na cloudových platformách vyžaduje nové dovednosti a odlišný přístup ve srovnání s tradiční „místní“ infrastrukturou IT. Účinné řízení rizik pro bezpečnost informací v cloudu je pro orgány, instituce a jiné subjekty EU společnou výzvou a GovSec je příkladem řešení, které dokáže reagovat na potřeby několika, ne-li všech orgánů, institucí a jiných subjektů EU.
Spolupráce a sdílení osvědčených postupů mezi orgány, institucemi a jinými subjekty EU zatím není optimální
56 Z existence interinstitucionálních výborů automaticky nevyplývají synergie a orgány, instituce a jiné subjekty EU ne vždy sdílejí osvědčené postupy, odborné znalosti, metodiky a získané poznatky. Dále je na každém orgánu, instituci a jiném subjektu EU, aby rozhodl o úrovni své angažovanosti v práci podskupiny ICDT pro kybernetickou bezpečnost. Členové podskupiny ICDT pro kybernetickou bezpečnost se sice mohou jednání zúčastnit, ale jejich příspěvek je omezováno rozsahem jejich běžných povinností v příslušných orgánech, institucích a jiných subjektech EU, což již zpomalilo postup provádění opatření, na kterých se některé pracovní skupiny dohodly.
57 Zjistili jsme konkrétní oblasti, pro které neexistují žádné mechanismy pro sdílení zkušeností a iniciativ mezi orgány, institucemi a jinými subjekty EU. Například na základě rámcové smlouvy o nástroji pro obranu sítí (Network Defence Capability, NDC) si orgány, instituce a jiné subjekty EU mohou vyžádat studii týkající se konsolidace požadavků v oblasti kybernetické bezpečnosti a hledání řešení. Neexistuje však žádný registr studií provedených nebo vyžádaných jinými orgány, institucemi a jinými subjekty EU, takže organizace mohou o stejnou studii žádat opakovaně. Kromě toho orgány, instituce a jiné subjekty EU si vzájemně systematicky nesdělují, že mají smluvní vztahy s určitými dodavateli nebo používají určité softwarové řešení. Tyto chybějící informace mohou vést k vynakládání dalších prostředků a nevyužitým synergiím.
58 Orgány, instituce a jiné subjekty EU rovněž systematicky nesdílejí informace o realizovaných projektech v oblasti kybernetické bezpečnosti, a to ani v případě, že by projekty mohly mít dopad na další instituce. Mandát podskupiny ICDT pro kybernetickou bezpečnost obsahuje ustanovení, na základě kterého mají orgány, instituce a jiné subjekty EU sdílet informace o nových projektech potenciálně ovlivňujících kybernetickou bezpečnost jiných orgánů, institucí a jiných subjektů EU, popřípadě ochranu informací z nich pocházejících. Podskupina ICDT pro kybernetickou bezpečnost však není o těchto projektech informována.
59 Nově vytvořená agentura musí při budování své infrastruktury IT a rámce bezpečnosti IT začínat od nuly. Neexistuje žádný „katalog služeb“, sada nástrojů ani jasné pokyny či požadavky pro nové agentury. Výsledkem je značná rozmanitost prostředí IT v orgánech, institucích a jiných subjektech EU, neboť každá organizace si může potenciálně zcela nezávisle pořídit vlastní software, hardware, infrastrukturu a služby. Totéž platí i pro rámec bezpečnosti IT, pokud neexistují společné požadavky a normy. V důsledku této situace může docházet ke zdvojování úsilí a nehospodárnému využívání finančních prostředků EU a pro skupinu CERT-EU může být mnohem složitější nabízet podporu, jejímž poskytováním je pověřena.
Praktické nedostatky při výměně citlivých informací
60 Některé orgány, instituce a jiné subjekty EU dosud nemají vhodná řešení pro výměnu citlivých neutajovaných informací. Ty, které takové řešení mají, za tímto účelem obecně zavedly různé vlastní produkty a systémy, což je problémem pro interoperabilitu. Společné bezpečné platformy existují pouze pro zvláštní účely. Jedná se například o platformy nabízené skupinou CERT-EU všem zúčastněným subjektům za účelem výměny citlivých informací o incidentech, hrozbách a zranitelných místech.
61 Více než 20 % orgánů, institucí a jiných subjektů například nemá šifrovanou elektronickou poštu. Existující systémy často mají problémy s interoperabilitou a jejich certifikáty nejsou vzájemně uznávány. Výbory ICTAC a ICDT již roky projednávají možnost škálovatelného a interoperabilního řešení a v roce 2018 proběhl pilotní projekt. Problém se však dosud nepodařilo vyřešit.
62 Dalším problémem je neexistence společného značení citlivých neutajovaných informací. Na základě značení jsou informace rozdělovány do kategorií, které držitele informací informují o zvláštních požadavcích na ochranu příslušných informací. Značení se v orgánech, institucích a jiných subjektech liší, což komplikuje výměnu informací a řádné nakládání s informacemi.
63 V roce 2020 donutila pandemie COVID-19 orgány, instituce a jiné subjekty EU k rozsáhlému zavedení komunikačních a videokonferenčních nástrojů sloužících k zajištění kontinuity výkonu činnosti. Podle našich zjištění orgány, instituce a jiné subjekty EU používají nejméně 15 různých videokonferenčních softwarových řešení. Dokonce i v případech, kdy různé orgány, instituce a jiné subjekty EU používají stejné řešení nebo platformu, je interoperabilita často problematická, přestože všichni zúčastnění používají stejné softwarové řešení. Kromě toho se v jednotlivých orgánech, institucích a jiných subjektech EU lišila pravidla pro to, jaké informace (z hlediska jejich citlivosti) je možné na dané platformě sdílet nebo projednávat. Tyto problémy vedou k hospodářské a provozní neefektivitě a mohou vést ke vzniku bezpečnostních problémů.
Agentura ENISA a skupina CERT-EU dosud neposkytly orgánům, institucím a jiným subjektům veškerou potřebnou podporu
64 Pro účely této části dokumentu jsme zkoumali dva hlavní subjekty pověřené poskytováním podpory orgánům, institucím a jiným subjektům EU v oblasti kybernetické bezpečnosti: agenturu ENISA a skupinu CERT-EU. Posuzujeme, zda se k orgánům, institucím a jiným subjektům EU dostalo podpory poskytované oběma zmíněnými subjekty a zda tato podpora řeší potřeby těchto orgánů, institucí a jiných subjektů EU. Poukazujeme přitom na příčiny zjištěných nedostatků.
Agentura ENISA je klíčovým aktérem v oblasti kybernetické bezpečnosti v EU, její podporu však dosud využil jen velmi malý počet agentur orgánů, institucí a jiných subjektů EU
65 V červnu 2019 vstoupil v platnost akt o kybernetické bezpečnosti (CSA)28, jenž nahradil předchozí právní základ agentury29, a agentura tak získala silnější mandát. Konkrétně je stanoveno, že ENISA by měla aktivně podporovat členské státy i orgány, instituce a jiné subjekty EU ve zvyšování kybernetické bezpečnosti budováním kapacit, zlepšováním operativní spolupráce a vytvářením synergií. V oblasti budování kapacit má agentura ENISA nyní mandát pomáhat orgánům, institucím a jiným subjektům Unie „v jejich úsilí zdokonalovat prevenci, odhalování a analýzu kybernetických hrozeb a incidentů a schopnost na tyto hrozby a incidenty reagovat, zejména tím, že poskytuje odpovídající podporu skupiny CERT-EU“30. ENISA by měla orgánům EU pomáhat také s vypracováním a revizí strategií kybernetické bezpečnosti v EU, podporovat jejich šíření a sledovat pokrok dosažený při jejich provádění.
66 Ačkoli dohoda o rozdělení nákladů jasně uvádí, že agentura ENISA by měla orgány, instituce a jiné subjekty EU podporovat při zlepšování jejich kybernetické bezpečnosti, agentura ENISA dosud žádné akční plány týkající se jejího cíle pomoci s budováním kapacit EUIBA nedokončila (podrobnosti viz rámeček 3).
Nedostatečné sladění cílů a výstupů agentury ENISA ve vztahu k orgánům, institucím a jiným subjektům
K tříletým prioritám agentury ENISA uvedenými ve víceletém pracovním programu na roky 2018–2020 v rámci cíle 3.2 „Pomáhat s budováním kapacit orgánů EU“ mimo jiné patří:
- „nabízet orgánům EU proaktivní rady ohledně posilování bezpečnosti jejich sítí a informací (identifikovat priority agentur a institucí EU, které budování kapacit v oblasti bezpečnosti sítí a informací potřebují nejvíce, navázáním pravidelných kontaktů mezi nimi (např. každoroční pracovní semináře) a zaměřit se na tyto priority)“;
- „pomáhat orgánům EU a podporovat je, pokud jde o přístupy k bezpečnosti sítí a informací (navázat partnerství se skupinou CERT-EU a orgány s rozsáhlými schopnostmi v oblasti bezpečnosti sítí a informací, a tak podpořit opatření vyplývající z tohoto cíle)“.
V pracovních programech agentury ENISA na roky 2018, 2019 a 2020 existují v rámci cíle 3.2 pouze dva operativní cíle (výstupy):
- „zapojení do činnosti řídicí rady CERT-EU a zastupování agentur EU prostřednictvím služby CERT-EU“;
- „spolupráce s příslušnými institucemi EU na realizaci iniciativ týkajících se bezpečnosti sítí a informací a souvisejících s jejich posláním (včetně EASA, CERT-EU, EDA, EC3)“.
V operativních cílech nejsou uvedeny žádné činnosti související s proaktivním poradenstvím. Kromě toho se do operativních výstupů nepromítl cíl identifikovat priority pro agentury, které to nejvíce potřebují, neboť byl nahrazen cílem spolupracovat s agenturami a zastupovat jejich potřeby v řídicí radě CERT-EU.
67 Hlavním rozhodovacím orgánem agentury ENISA je její správní rada, která se skládá z jednoho člena jmenovaného každým z 27 členských států a dvou členů jmenovaných Komisí31 (viz obrázek 6). Každý člen má jeden hlas a rozhodnutí se přijímají většinou hlasů32. V důsledku toho mohou mít opatření týkající se členských států vyšší prioritu než ta určená pro orgány, instituce a jiné subjekty EU. V pracovním programu agentury ENISA na rok 2018 se například správní rada pro nedostatek zdrojů rozhodla upřednostnit určité aktivity a tři aktivity zrušit, přičemž jednou ze zrušených byla „podpora hodnocení stávajících politik, procesů a postupů týkajících se bezpečnosti sítí a informací v orgánech EU“. Tato činnost měla agentuře ENISA umožnit získat přehled o postupech a orientační vyspělosti orgánů, institucí a jiných subjektů EU v oblasti kybernetické bezpečnosti. Tento přehled měl být základem pro budoucí cílená opatření.
68 Záměr agentury ENISA proaktivně poskytovat pomoc orgánům, institucím a jiným subjektům EU, vyjádřený v jejích strategických cílech, se tudíž neprojevil v operativních cílech ani konkrétních opatřeních. Podpora v oblasti budování kapacit a operativní spolupráce se doposud omezovala na některé konkrétní orgány, instituce a jiné subjekty EU a byla poskytována na požádání.
69 Akt o kybernetické bezpečnosti rovněž stanovuje, že by agentura ENISA měla orgánům, institucím a jiným subjektům EU pomáhat s budováním kapacit tak, že poskytne vhodnou podporu skupiny CERT-EU. V době auditu se tato podpora omezovala na několik konkrétních opatření. Například v roce 2019 provedla ENISA srovnávací hodnocení členství týmu CERT-EU v síti skupin EU pro reakce na počítačové bezpečnostní incidenty (zřízené směrnicí o bezpečnosti sítí a informací).
70 Podle odpovědí na náš dotazník zveřejňuje ENISA kvalitní zprávy a pokyny ke kybernetické bezpečnosti a orgány, instituce a jiné subjekty EU některé z nich používají. Neexistují však konkrétní pokyny zaměřující se na orgány, instituce a jiné subjekty EU, jejich prostředí a potřeby. Orgány, instituce a jiné subjekty EU, zejména ty méně vyspělé v oblasti kybernetické bezpečnosti, potřebují praktický návod, tj. nejen „co“ mají dělat, ale také „jak“ to mají dělat. ENISA a skupina CERT-EU dosud takovou podporu poskytovala v omezeném a nesystematickém rozsahu.
71 ENISA uspořádala řadu vzdělávacích kurzů zabývajících se kybernetickou bezpečností, které cílily především na orgány členských států, ale účastnil se jich i omezený počet účastníků z orgánů, institucí a jiných subjektů EU. Poskytla pouze dva samostudijní kurzy konkrétně zaměřené na EUIBA. ENISA také na svých webových stránkách, ke kterým mají přístup orgány, instituce a jiné subjekty EU, nabízí vzdělávací materiály on-line, avšak doposud se jednalo převážně o kurzy pro technické odborníky CSIRT, které tudíž pro většinu orgánů, institucí a jiných subjektů EU nebyly vhodné.
72 Kromě odborné přípravy může agentura ENISA podporovat orgány, instituce a jiné subjekty EU cvičením zaměřeným na kybernetickou bezpečnost. V říjnu 2020 pomáhala ENISA, ve spolupráci se skupinou CERT-EU, s realizací cvičení v oblasti kybernetické bezpečnosti určeného pro ICTAC. Jedná se o jediné cvičení pořádané agenturou ENISA specificky pro účastníky z orgánů, institucí a jiných subjektů EU. Na žádost některých orgánů, institucí nebo jiných subjektů EU (např. EU-LISA, Evropské agentury pro námořní bezpečnost, Evropského parlamentu a Europolu) dále pomáhala uspořádat řadu cvičení, a to zejména pro zúčastněné strany v orgánech členských států a s účastí několika zaměstnanců orgánů, institucí a jiných subjektů EU.
73 Akt o kybernetické bezpečnosti rovněž určil novou úlohu agentury ENISA: na dobrovolném základě pomáhat orgánům, institucím a jiným subjektům EU s politikou zveřejňování informací o zranitelnosti. ENISA však dosud nemá přehled o politikách zveřejňování informací o zranitelnosti jednotlivých orgánů, institucí a jiných subjektů EU ani jim s vytvářením a prováděním takových politik nepomáhá.
Skupina CERT-EU je vysoce ceněna svými složkami, její prostředky však neodpovídají současným výzvám v oblasti kybernetické bezpečnosti
74 V návaznosti na řadu iniciativ (viz obrázek 7) byla rozhodnutím Komise33 v září 2012 ustavena skupina pro reakci na počítačové hrozby (CERT-EU) jako stálá pracovní skupina orgánů, institucí a jiných subjektů EU (viz bod 08).
75 Přestože skupina CERT-EU funguje nezávisle, zůstává pracovní skupinou bez právní subjektivity. Je administrativně zařazena do Evropské komise (GŘ DIGIT), která jí poskytuje logistickou a administrativní podporu. Cílem skupiny CERT-EU je zvýšit bezpečnost infrastruktury informačních a komunikačních technologií v orgánech, institucích a jiných subjektech EU zlepšováním jejich schopnosti zvládat kybernetické hrozby, řešit zranitelná místa, předcházet kybernetickým útokům, odhalovat je a reagovat na ně. CERT-EU má zhruba 40 zaměstnanců rozdělených do specializovaných týmů zaměřujících se například na získávání informací o kybernetických hrozbách, digitální forenzní analýzu a reakci na incidenty.
CERT-EU je oceňovaným partnerem s rostoucím množstvím pracovních úkolů
76 Skupina CERT-EU získává od zúčastněných subjektů zpětnou vazbu a návrhy prostřednictvím čtvrtletních pracovních seminářů a jednou ročně se konajících bilaterálních porad a průzkumů spokojenosti. Podle průzkumu spokojenosti a našeho vlastního průzkumu jsou zúčastněné subjekty se službami poskytovanými touto skupinou převážně spokojeny. Proměny katalogu služeb skupiny CERT-EU svědčí o snaze přizpůsobit se potřebám orgánů, institucí a jiných subjektů EU.
77 Zatímco velké orgány, instituce a jiné subjekty EU s velkými interními kapacitami používají skupinu CERT-EU spíše jako středisko pro sdílení informací a zdroj informací o hrozbách, menší orgány, instituce a jiné subjekty využívají celé řady služeb poskytovaných skupinou CERT-EU, například protokoly monitorující aktivitu, penetrační testy, testy s nasazením červeného týmu a podporu reakce na incidenty. Služby skupiny CERT-EU jsou obzvláště cenné pro menší orgány, instituce a jiné subjekty EU vzhledem k jejich omezeným interním odborným kapacitám a nedostatečným úsporám z rozsahu (viz body 31 a 33).
78 V posledních letech CERT-EU s ohledem na dramatický nárůst hrozeb a incidentů posílila své kapacity a postupy. Počet informačních produktů skupiny CERT-EU, zejména upozornění na hrozby a sdělení o hrozbách, neustále roste (obrázek 8). V roce 2020 skupina CERT-EU vydala 171 sdělení o hrozbách a 53 upozornění na hrozby (což představuje výrazný nárůst oproti 80 sdělením a 40 upozorněním, jejichž vydání původně očekávala).
79 Orgánům, institucím a jiným subjektům EU skupina CERT-EU poskytuje také podporu s řešením kybernetických incidentů. Přestože 52 % orgánů, institucí a jiných subjektů EU má interní tým pro reakci na incidenty nebo alespoň koordinátora reakce na incidenty, zbývajících 48 % se v případě incidentů spoléhá na skupinu CERT-EU, popř. jiné externí poskytovatele. Nicméně podporu při řešení složitých incidentů si od skupiny CERT-EU mohou vyžádat i velké orgány, instituce a jiné subjekty EU, které interními kapacitami pro odezvu na incidenty disponují.
80 Celkový počet incidentů řešených skupinou CERT-EU se zvýšil z 561 v roce 2019 na 884 v roce 2020. Zvýšil se zejména počet závažných incidentů, a to z pouhého 1 v roce 2018 na 13 v roce 2020. V roce 2021 došlo k 14 závažným incidentům, což představuje nárůst oproti 13 v roce 2020, jenž byl sám o sobě rokem rekordním. Tyto závažné incidenty jsou obecně způsobovány vysoce sofistikovanými hrozbami. Mohou se týkat většího počtu orgánů, institucí a jiných subjektů EU, zahrnovat kontakt s úřady a jejich odstranění obvykle postiženým subjektům a skupině CERT-EU trvá týdny i měsíce práce.
81 CERT-EU je rovněž hlavním poskytovatelem proaktivních hodnocení a testů kybernetické obrany orgánů, institucí a jiných subjektů EU. Shrnutí činnosti skupiny CERT-EU v této oblasti je uvedeno na obrázku 9 níže. Od roku 2020 navíc skupina CERT-EU provádí také skenování externích sítí.
Zúčastněné subjekty skupiny CERT-EU včas neposkytují relevantní informace
82 Interinstitucionální ujednání34 uvádí, že zúčastněné subjekty by měly skupinu CERT-EU informovat o závažných incidentech ohrožujících kybernetickou bezpečnost. Nicméně v praxi tomu tak vždy není. Interinstitucionální ujednání nenabízí mechanismus pro vymáhání povinného a včasného oznamování „závažných“ incidentů zúčastněnými subjekty skupiny CERT-EU. Obecné vymezení „závažných incidentů“ v interinstitucionálním ujednání ponechává na uvážení orgánů, institucí a jiných subjektů EU, zda incident oznámí. Podle vedení skupiny CERT-EU některé zúčastněné subjekty neinformují o závažných incidentech včas, což brání skupiny CERT-EU ve výkonu jeho úlohy střediska pro výměnu informací o kybernetické bezpečnosti a koordinaci reakce na incidenty ve všech orgánech, institucích a jiných subjektech EU. Jeden zúčastněný subjekt čelící velmi sofistikované hrozbě například skupinu CERT-EU neinformoval ani si nevyžádal její podporu. Skupina nebyla schopna shromažďovat zpravodajské informace o kybernetických hrozbách, které mohly být užitečné při podpoře jiných zúčastněných subjektů, které čelí stejné hrozbě. Tímto útokem bylo zasaženo nejméně šest orgánů, institucí a jiných subjektů EU.
83 Zúčastněné subjekty rovněž včas a aktivně neposkytují skupiny CERT-EU informace o hrozbách a zranitelných místech v oblasti kybernetické bezpečnosti, jež se jich dotýkají, přestože to od nich interinstitucionální ujednání35 vyžaduje. Týmu CERT-EU pro digitální forenzní analýzu a reakci na incidenty nejsou oznamována zranitelná místa ani nedostatky kontrolních mechanismů zjištěné nad rámec incidentů, které skupina CERT-EU aktivně vyšetřuje. Zúčastněné subjekty nesdílejí proaktivně příslušná zjištění z interních nebo externích auditů bezpečnosti.
84 Kromě toho institucionální ujednání neukládá orgánům, institucím ani jiným subjektům EU povinnost oznamovat skupině CERT-EU významné změny jejich prostředí IT. V důsledku toho zúčastněné subjekty neinformují skupinu CERT-EU o relevantních změnách systematicky. Orgány, instituce a jiné subjekty EU například ne vždy informují skupinu CERT-EU o změnách svých IP adres (tj. seznamu internetových adres jejich infrastruktury). CERT-EU potřebuje aktuální IP adresy například ke skenování poté, co jsou zjištěna závažná zranitelná místa. Skutečnost, že orgány, instituce a jiné subjekty EU o těchto změnách skupinu CERT-EU neinformují, negativně ovlivňuje jeho schopnost poskytovat jim podporu. Neoznamování relevantních skutečností rovněž narušuje schopnost skupiny CERT-EU monitorovat systémy a zvyšuje objem práce při opravách nepřesných údajů v monitorovacích nástrojích. Vedení skupiny CERT-EU uvádí, že při řešení incidentu někdy objeví dříve neznámou IT infrastrukturu. Navíc kromě zvláštních případů nemá skupina CERT-EU v současnosti ucelený přehled o informačních systémech a sítích orgánů, institucí a jiných subjektů EU jako celku.
85 Dokud interinstitucionální ujednání neobsáhne donucovací mechanismus, oznámení od orgánů, institucí a jiných subjektů EU určená skupině CERT-EU budou i nadále nesystematická, přestože se jedná o důležitou součást snahy soustředěné kolem skupiny CERT-EU o dosažení kybernetické připravenosti orgánů, institucí a jiných subjektů EU.
Zajišťování zdrojů pro skupinu CERT-EU je nestabilní a neúměrné současné úrovni hrozeb
86 Interinstitucionální ujednání36 uvádí, že „pro skupinu CERT-EU by mělo být zajištěno udržitelné financování a personální obsazení, avšak současně by měla být zabezpečena nákladová efektivita a přiměřený počet stálých zaměstnanců“. Vysoce kvalifikovaní a specializovaní zaměstnanci jsou pro CERT-EU nanejvýš důležití. Obrázek 10 znázorňuje změnu stavu zaměstnanců skupiny CERT-EU od jeho založení v roce 2011 do současnosti.
87 Více než dvě třetiny pracovníků CERT-EU mají jako dočasní zaměstnanci smlouvy na dobu určitou. Jejich plat není na trhu odborníků na kybernetickou bezpečnost příliš konkurenceschopný a podle vedení CERT-EU je stále obtížnější tyto odborníky najmout a udržet si je. Když nejsou platy pro zkušené uchazeče dostatečně atraktivní, CERT-EU musí přijímat méně zkušené pracovníky a věnovat čas jejich odborné přípravě. Pracovní smlouvy se dále uzavírají maximálně na dobu šesti let, což znamená, že CERT-EU nemá jinou možnost než nechat smluvní zaměstnance odejít v době, kdy jsou po odborné stránce na vrcholu. V roce 2020 byla fluktuace zaměstnanců obzvláště vysoká: 21 % zaměstnanců ze skupiny CERT-EU odešlo a za všechny se nepodařilo najít náhradu. V předchozích letech pak v roce 2019 odešlo 9 % zaměstnanců a 13 % v roce 2018.
88 Vedení skupiny CERT-EU zdůraznilo, že tým pro digitální forenzní analýzu a reakci na incidenty je v současné době často přetížen, a její ostatní týmy nejsou schopny uspokojit poptávku. V důsledku toho byla skupina CERT-EU donucena svoji činnost omezit. V současnosti například neprovádí hodnocení vyspělosti zúčastněných subjektů, protože jí chybí zdroje. Služba „varování před podezřelou aktivitou“ poskytovaná skupinou CERT-EU byla do praxe uvedena později, než se očekávalo, a to opět kvůli nedostatku zdrojů. Dále pak několik dotazovaných zúčastněných subjektů zmínilo, že na služby skupiny CERT-EU musely dlouho čekat.
89 Omezené zdroje prozatím donutily skupinu CERT-EU soustředit se zejména na ochranu tradiční „místní“ infrastruktury IT před významnými hrozbami ze strany (obvykle státem podporovaných) skupin, které představují pokročilé trvalé hrozby. Podle vedení skupiny CERT-EU se však rozšířil záběr informačních technologií orgánů, institucí a jiných subjektů EU (nyní k nim patří také cloudové platformy, mobilní zařízení a nástroje pro práci na dálku) a ten vyžaduje rozšířené monitorování a ochranu. Větší pozornost je potřeba věnovat také hrozbám představujícím nižší stupeň ohrožení (např. kyberkriminalitě a ransomwaru).
90 Interinstitucionální ujednání nestanovuje, že provozní možnosti skupiny CERT-EU mají být dostupné nepřetržitě dvacet čtyři hodin denně, sedm dní v týdnu. Skupina CERT-EU v současnosti nemá zdroje ani náležitý rámec pro lidské zdroje, které by jí umožňovaly vykonávat trvale a strukturovaným způsobem činnost mimo pracovní dobu, přestože kybernetické útoky pracovní dobu nedodržují. V samotných orgánech, institucích a jiných subjektech EU má pouze 35 z 65 dotazovaných subjektů pracovníka IT, jenž je k zastižení mimo pracovní dobu.
91 Za účelem financování provozu CERT-EU řídicí rada v roce 2012 schválila model založený na dohodách o úrovni služeb (SLA). Všechny zúčastněné subjekty obdrží zdarma základní služby a po podepsání dohody o úrovni služeb mohou získat i placené rozšířené služby. V roce 2020 činil rozpočet skupiny CERT-EU 3 745 000 EUR, z čehož bylo 6 % financováno z rozpočtu EU a 94 % na základě dohod o úrovni služeb. Zúčastněné subjekty jsou však velmi různorodé: některé mají sofistikovanější požadavky na bezpečnost IT, zatímco jiné mají na IT nevelký rozpočet a velmi nízkou úroveň vyspělosti v oblasti kybernetické bezpečnosti. Z tohoto důvodu může být u některých orgánů, institucí a jiných subjektů EU výsledkem jednání o dohodě o úrovni služeb soubor náročných požadavků na bezpečnost a u jiných naopak relativní neochota nebo neschopnost se zapojit.
92 Dohody o úrovni služeb je dále nutno každoročně individuálně obnovovat. To představuje administrativní zátěž a přináší problémy s peněžními toky, neboť skupina CERT-EU nedostává finanční prostředky ze všech dohod o úrovni služeb souběžně. Kromě toho mohou agentury dohodu o úrovni služeb kdykoli vypovědět. Výsledkem těchto rizik je začarovaný kruh, kdy kvůli ztrátě příjmů musí CERT-EU omezit poskytované služby a nedokáže uspokojit poptávku, což zase vede další orgány, instituce a jiné subjekty EU k ukončení jejich dohod o úrovni služeb a k využívání soukromých poskytovatelů. Vzhledem k těmto faktorům není stávající model financování pro zajištění stabilní a optimální úrovně služeb ideální.
93 Rychle se měnící kybernetické hrozby (viz body 06 a 80) přiměly řídicí radu skupiny CERT-EU, aby na svém zasedání dne 19. února 2020 podpořila strategický návrh na rozšíření služeb CERT-EU v oblasti kybernetické bezpečnosti a rozvoj „plné operační schopnosti“. K návrhu byla přiložena analýza personálního zajištění a finančních prostředků, které by skupina CERT-EU potřebovala. Podle této analýzy by CERT-EU potřebovala v letech 2021 až 2023 postupně rozšířit počet správců o 14 dalších stálých pracovních míst. Od roku 2023 by pak bylo možné využívat kapacity skupiny CERT-EU v plném rozsahu. V návrhu se uvádí, že z hlediska financování by CERT-EU potřebovala v letech 2021 až 2023 navýšit rozpočet o 7,6 mil. EUR na celkových 11,3 mil. EUR do roku 2024.
94 Přes podporu strategického návrhu na poskytnutí dodatečných zdrojů pro skupinu CERT-EU však orgány, instituce a jiné subjekty EU dosud nedosáhly dohody o praktických podmínkách, a to zaprvé pro přechodné období 2021–2023 a zadruhé dlouhodobě po vstupu budoucího nařízení o kybernetické bezpečnosti v platnost (viz bod 12).
Závěry a doporučení
95 Dospěli jsme k závěru, že orgány, instituce a jiné subjekty EU jako celek nedosáhly úrovně kybernetické připravenosti úměrné hrozbám. Z našeho šetření vyplývá, že EUIBA jsou v oblasti kybernetické bezpečnosti na různé úrovni vyspělosti a vzhledem k jejich časté vzájemné provázanosti a provázanosti s organizacemi ze soukromého i veřejného prostoru v členských státech mohou slabá místa jednoho orgánu, instituce či jiného subjektu vystavit kybernetickým hrozbám i další organizace.
96 Zjistili jsme, že nejsou vždy zavedeny důležité osvědčené postupy v oblasti kybernetické bezpečnosti, včetně některých nezbytných kontrolních mechanismů. Řádné řízení kybernetické bezpečnosti je zásadní pro bezpečnost informací a informačních systémů, avšak v některých orgánech, institucích a jiných subjektech EU dosud chybí. Strategie a plány bezpečnosti informačních technologií v mnoha případech neexistují nebo nejsou schváleny vrcholným vedením, bezpečnostní politiky nejsou vždy formálně vyjádřeny a hodnocení rizik nepokrývá celé prostředí IT. Výdaje na kybernetickou bezpečnost jsou nerovnoměrné a výdaje některých orgánů, institucí a jiných subjektů EU jsou ve srovnání se subjekty obdobné velikosti zjevně nižší (viz body 21– 33 a 37– 38).
97 Důležitou součástí účinného rámce kybernetické bezpečnosti je i poskytování informací o kybernetických otázkách a vzdělávací programy. Nicméně pouze 29 % orgánů, institucí a jiných subjektů EU má povinné školení týkající se kybernetické bezpečnosti pro manažery informačních systémů obsahujících citlivé informace a často je nabízeno pouze neformální školení. V posledních pěti letech pak 55 % orgánů, institucí a jiných subjektů EU uspořádalo alespoň jednu simulaci phishingového útoku (nebo podobné aktivity). Tyto testy jsou důležitým nástrojem pro odbornou přípravu zaměstnanců a zvyšování povědomí, ale orgány, instituce a jiné subjekty EU je nevyužívají systematicky (viz body 34– 36). Ne všechny orgány, instituce a jiné subjekty EU také pravidelně testují svou kybernetickou bezpečnosti pomocí nezávislého ujištění (viz body 39– 44).
98 Orgány, instituce a jiné subjekty EU, jimž poskytuje služby, si skupiny CERT-EU velice cení, avšak její kapacity jsou přetížené. Pracovní zátěž skupiny, pokud jde o získávání informací o hrozbách a řešení incidentů, se od roku 2018 rychle zvyšuje. Počet významných incidentů v oblasti kybernetické bezpečnosti se zvýšil více než desetkrát. Zároveň orgány, instituce a jiné subjekty EU ne vždy poskytují včasné informace o závažných incidentech, zranitelných místech a důležitých změnách jejich infrastruktury IT. To účinnost činnosti skupiny CERT-EU limituje, neboť pak není schopna varovat jiné orgány, instituce či jiné subjekty EU, na které mohou mít incidenty dopad, a může tak docházet k tomu, že významné incidenty nebudou odhaleny. Kromě toho jsou zdroje skupiny CERT-EU nestabilní a aktuálně jsou neúměrné současné úrovni hrozby a potřebám EUIBA. Řídicí rada skupiny CERT-EU v roce 2020 podpořila strategický návrh dalších potřebných zdrojů, ale zúčastněné subjekty se dosud nedohodly na praktickém postupu, jak tyto zdroje zajistit. V důsledku toho nemohou pracovníci skupiny CERT-EU držet krok s poptávkou a jsou nuceni svou činnost omezovat (viz body 74– 93).
Doporučení 1 – Zlepšit připravenost v oblasti kybernetické bezpečnosti ve všech orgánech, institucích a jiných subjektech EU pomocí společných závazných pravidel a navýšením zdrojů skupiny CERT-EU
Komise by do připravovaného návrhu nařízení o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti pro všechny orgány, instituce a jiné subjekty EU, měla zahrnout následující zásady:
- Vrcholné vedení by mělo nést odpovědnost za řízení kybernetické bezpečnosti tím, že schválí strategie kybernetické bezpečnosti a hlavní bezpečnostní zásady a jmenuje nezávislého ředitele pro bezpečnost informačních systémů (CISO) nebo obdobnou funkci ustaví.
- Orgány, instituce a jiné subjekty EU by měly mít rámec pro řízení bezpečnostních rizik IT zahrnující celou jejich infrastrukturu IT a provádět pravidelná hodnocení rizik.
- Orgány, instituce a jiné subjekty EU by měly všem zaměstnancům, včetně vedoucích pracovníků, poskytovat systematická informační školení.
- Orgány, instituce a jiné subjekty EU by měly zajistit provádění pravidelných auditů a testů své kybernetické obrany. Audity by měly zahrnovat také kontrolu přiměřenosti zdrojů vyhrazených na kybernetickou bezpečnost.
- Orgány, instituce a jiné subjekty EU by měly skupinu CERT-EU bez prodlení informovat o závažných incidentech v oblasti kybernetické bezpečnosti a příslušných změnách a zranitelných místech týkajících se jejich infrastruktury IT.
- Orgány, instituce a jiné subjekty EU by měly navýšit své rozpočtové zdroje vyhrazené na skupinu CERT-EU tak, aby tyto zdroje odpovídaly potřebám vyplývajícím ze strategického návrhu schváleného řídicím výborem.
- Nařízení by mělo zahrnout ustanovení o jmenování subjektu, jenž bude zastupovat všechny orgány, instituce a jiné subjekty EU a bude mít odpovídající mandát a donucovací prostředky, jež mu umožní monitorovat dodržování společných pravidel kybernetické bezpečnosti všemi orgány, institucemi a jinými subjekty EU a vydávat pokyny, doporučení a výzvy k přijetí opatření.
Termín pro splnění doporučení: 1. čtvrtletí roku 2023
99 Orgány, instituce a jiné subjekty EU sice zavedly mechanismy pro spolupráci v oblasti kybernetické bezpečnosti, konstatujeme však, že nejsou plně využívány potenciální synergie. Existuje formalizovaná struktura pro výměnu informací, v níž se úlohy aktérů a výborů vzájemně doplňují. Omezené zdroje však menším orgánům, institucím a jiným subjektům EU brání v zapojení do interinstitucionálních fór a zastoupení decentralizovaných agentur a společných podniků v řídicí radě skupiny CERT-EU není optimální. Zjistili jsme rovněž, že orgány, instituce a jiné subjekty EU si vzájemně systematicky neposkytují informace o projektech souvisejících s kybernetickou bezpečností, hodnocení zabezpečení a jiných smlouvách o poskytování služeb. To může vést ke zdvojování úsilí a vyšším nákladům. Zjistili jsme provozní obtíže při výměně citlivých neutajovaných informací prostřednictvím šifrovaného e-mailu nebo při videokonferencích kvůli nedostatečné interoperabilitě IT řešení, nekonzistentním pokynům k jejich povolenému používání a nedostatku společných pravidel pro označování informací a nakládání s nimi (viz body 45– 63).
Doporučení č. 2 – Zasazovat se ve vybraných oblastech o další synergie mezi orgány, institucemi a jinými subjekty EU
Komise by v rámci Interinstitucionálního výboru pro digitální transformaci měla mezi orgány, institucemi a jinými subjekty prosazovat následující opatření:
- schvalovat řešení zajišťujících interoperabilitu zabezpečených komunikačních kanálů, včetně šifrované elektronické pošty a videokonferencí, a zasazovat se za společné značení citlivých neutajovaných informací a společná pravidla pro nakládání s těmito informacemi;
- systematicky sdílet informace o projektech souvisejících s kybernetickou bezpečností, které by mohly mít dopad na další instituce, o hodnocení bezpečnosti softwaru a platných smlouvách s externími dodavateli;
- vymezit specifikace pro společné zadávání zakázek a rámcové smlouvy o poskytování služeb v oblasti kybernetické bezpečnosti, jichž se mohou účastnit všechny orgány, instituce a jiné subjekty EU, aby bylo dosaženo úspor z rozsahu.
Termín pro splnění doporučení: 4. čtvrtletí roku 2023
100 Dvěma hlavními subjekty pověřenými poskytováním podpory orgánům, institucím a jiným subjektům EU v oblasti kybernetické bezpečnosti jsou Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) a skupina CERT-EU. Vzhledem k omezeným zdrojům a upřednostnění jiných oblastí však nebyly schopny poskytnout orgánům, institucím a jiným subjektům EU veškerou potřebnou podporu, zejména pokud jde o budování kapacit subjektů, které jsou v oblasti kybernetické bezpečnosti méně vyspělé (viz body 64– 93).
Doporučení č. 3 – Věnovat v činnosti skupiny CERT-EU a agentury ENISA větší pozornost méně vyspělým orgánům, institucím a jiným subjektům EU
Skupina CERT-EU a agentura ENISA by měly:
- určit prioritní oblasti, ve kterých orgány, instituce a jiné subjekty EU potřebují podporu nejvíce. K tomu by měla sloužit například hodnocení vyspělosti;
- provádět opatření zaměřující se na budování kapacit v souladu s příslušným memorandem o porozumění.
Termín pro splnění doporučení: 4. čtvrtletí roku 2022
Tuto zprávu přijal senát III, jemuž předsedá Bettina Jakobsenová, členka Účetního dvora, v Lucemburku dne 22. února 2022.
Za Účetní dvůr
Klaus-Heiner Lehne
předseda
Přílohy
Příloha I – Seznam dotazovaných orgánů, institucí a jiných subjektů EU
Název EUIBA | Typ |
---|---|
Evropský parlament (EP) | Orgán (čl. 13 odst. 1 Smlouvy o Evropské unii) |
Rada Evropské unie a Evropská rada | Orgán (čl. 13 odst. 1 Smlouvy o Evropské unii) |
Evropská komise (EK) | Orgán (čl. 13 odst. 1 Smlouvy o Evropské unii) |
Soudní dvůr Evropské unie | Orgán (čl. 13 odst. 1 Smlouvy o Evropské unii) |
Evropská centrální banka (ECB) | Orgán (čl. 13 odst. 1 Smlouvy o Evropské unii) |
Evropský účetní dvůr (EÚD) | Orgán (čl. 13 odst. 1 Smlouvy o Evropské unii) |
Evropská služba pro vnější činnost (ESVČ) | Subjekt (čl. 27 odst. 3 Smlouvy o Evropské unii) |
Evropský hospodářský a sociální výbor (EHSV) a Evropský výbor regionů (VR)37 | Instituce (čl. 13 odst. 4 Smlouvy o Evropské unii) |
Evropská investiční banka (EIB) | Subjekt (čl. 308 Smlouvy o fungování Evropské unie) |
Evropský orgán pro pracovní záležitosti (ELA) | Decentralizovaná agentura |
Agentura Evropské unie pro spolupráci energetických regulačních orgánů (ACER) | Decentralizovaná agentura |
Úřad Sdružení evropských regulačních orgánů v oblasti elektronických komunikací (Úřad BEREC) | Decentralizovaná agentura |
Odrůdový úřad Společenství (OÚS) | Decentralizovaná agentura |
Evropská agentura pro bezpečnost a ochranu zdraví při práci (EU-OSHA) | Decentralizovaná agentura |
Evropská agentura pro pohraniční a pobřežní stráž (Frontex/EBCGA) | Decentralizovaná agentura |
Agentura Evropské unie pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva („eu-LISA“) | Decentralizovaná agentura |
Agentura Evropské unie pro otázky azylu (EUAA) | Decentralizovaná agentura |
Agentura Evropské unie pro bezpečnost letectví (EASA) | Decentralizovaná agentura |
Evropský orgán pro bankovnictví (EBA) | Decentralizovaná agentura |
Evropské středisko pro prevenci a kontrolu nemocí (ECDC) | Decentralizovaná agentura |
Evropské středisko pro rozvoj odborného vzdělávání (CEDEFOP) | Decentralizovaná agentura |
Evropská agentura pro chemické látky (ECHA) | Decentralizovaná agentura |
Životní prostředí, Evropská agentura pro (EEA) | Decentralizovaná agentura |
Evropská agentura pro kontrolu rybolovu (EFCA) | Decentralizovaná agentura |
Evropský úřad pro bezpečnost potravin (EFSA) | Decentralizovaná agentura |
Evropská nadace pro zlepšení životních a pracovních podmínek (Eurofound) | Decentralizovaná agentura |
Agentura Evropské unie pro kosmický program [nahrazuje: Agentura pro evropský GNSS – GSA] (EUSPA) | Decentralizovaná agentura |
Evropský institut pro rovnost žen a mužů (EIGE) | Decentralizovaná agentura |
Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA) | Decentralizovaná agentura |
Evropská agentura pro námořní bezpečnost (EMSA) | Decentralizovaná agentura |
Evropská agentura pro léčivé přípravky (EMA) | Decentralizovaná agentura |
Evropské monitorovací centrum pro drogy a drogovou závislost (EMCDDA) | Decentralizovaná agentura |
Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) | Decentralizovaná agentura |
Agentura Evropské unie pro vzdělávání a výcvik v oblasti prosazování práva (CEPOL) | Decentralizovaná agentura |
Evropský policejní úřad (Europol) | Decentralizovaná agentura |
Agentura Evropské unie pro železnice (ERA) | Decentralizovaná agentura |
Evropský orgán pro cenné papíry a trhy (ESMA) | Decentralizovaná agentura |
Evropská nadace odborného vzdělávání (ETF) | Decentralizovaná agentura |
Agentura Evropské unie pro základní práva (FRA): | Decentralizovaná agentura |
Úřad Evropské unie pro duševní vlastnictví [známý jako OHIM do 23. března 2016] (EUIPO) | Decentralizovaná agentura |
Jednotný výbor pro řešení krizí (SRB) | Decentralizovaná agentura |
Agentura Evropské unie pro justiční spolupráci v trestních věcech (Eurojust) | Decentralizovaná agentura |
Překladatelské středisko pro instituce Evropské unie (CdT) | Decentralizovaná agentura |
Úřad evropského veřejného žalobce (EPPO) | Decentralizovaná agentura |
Evropský inovační a technologický institut (EIT) | Subjekt spadající pod výzkum a inovace |
Společný podnik pro výzkum uspořádání letového provozu jednotného evropského nebe (SESAR) | Společný podnik podle SFEU |
Společný podnik Elektronické součásti a systémy pro vedoucí postavení Evropy (ECSEL) | Společný podnik podle SFEU |
Společný podnik pro palivové články a vodík 2 (FCH2) | Společný podnik podle SFEU |
Společný podnik Iniciativa pro inovativní léčiva 2 (IMI2) | Společný podnik podle SFEU |
Společný podnik Clean Sky 2 (Cleansky) | Společný podnik podle SFEU |
Společný podnik pro průmysl založený na biotechnologiích | Společný podnik podle SFEU |
Společný podnik pro společnou technologickou iniciativu Shift2Rail (S2R) | Společný podnik podle SFEU |
Evropský společný podnik pro vysoce výkonnou výpočetní techniku (EuroHPC) | Společný podnik podle SFEU |
Společný evropský podnik pro ITER – Fusion for Energy (F4E) | Společný podnik podle SFEU |
Poradní mise Evropské unie na Ukrajině (EUAM Ukrajina) | civilní mise (společná bezpečnostní a obranná politika) |
Mise EU pro pomoc na hranicích v Libyi (EUBAM Libye) | civilní mise (společná bezpečnostní a obranná politika) |
Mise EU na podporu budování kapacit v Nigeru (EUCAP Sahel Niger) | civilní mise (společná bezpečnostní a obranná politika) |
Pozorovatelská mise EU v Gruzii (EUMM Gruzie) | civilní mise (společná bezpečnostní a obranná politika) |
Koordinační úřad EU pro podporu palestinské policie (EUPOL COPPS) | civilní mise (společná bezpečnostní a obranná politika) |
Poradní mise EU pro Středoafrickou republiku (EUAM Středoafrická republika) | civilní mise (společná bezpečnostní a obranná politika) |
Poradní mise EU v Iráku (EUAM Irák) | civilní mise (společná bezpečnostní a obranná politika) |
Mise EU pro pomoc na hranicích na hraničním přechodu Rafáh (EUBAM Rafáh) | civilní mise (společná bezpečnostní a obranná politika) |
Mise EU na podporu budování kapacit v Mali (EUCAP Sahel Mali) | civilní mise (společná bezpečnostní a obranná politika) |
Mise EU na podporu budování kapacit v Somálsku (EUCAP Somálsko) | civilní mise (společná bezpečnostní a obranná politika) |
Mise EU v Kosovu na podporu právního státu (EULEX Kosovo) | civilní mise (společná bezpečnostní a obranná politika) |
Příloha II – Další informace o klíčových interinstitucionálních výborech
Interinstitucionální výbor pro digitální transformaci (ICDT)
ICDT je fórem pro výměnu informací a podporu spolupráce v oblasti informačních technologií. Výbor byl zřízen v květnu 2020, kdy nahradil dřívější výbor Comité Interinstitutionnel de l'Informatique (CII). Členy výboru ICDT jsou manažeři oddělení IT v orgánech, institucích a jiných subjektech EU. ICDT má podskupinu pro kybernetickou bezpečnost (ICDT CSSG), jejíž úlohou je podporovat spolupráci mezi orgány, institucemi a jinými subjekty EU v oblasti kybernetické bezpečnosti a sloužit jako fórum pro výměnu informací.
Rozhodovací pravomoc výboru ICDT se omezuje na problémy, které neovlivňují „to, jak instituce naplňují své poslání“ a nezasahuje „do řízení v jednotlivých institucích“. V případě rozhodnutí přesahujících rámec jeho pravomocí může výbor ICDT předkládat doporučení kolegiu generálních tajemníků orgánů, institucí a jiných subjektů EU.
Podle mandátu ICDT jsou členy výboru zástupci každého orgánu, instituce a subjektu EU a jeden zástupce určený agenturami EU (ICTAC). Výboru ICDT v současnosti předsedá generální sekretariát Rady.
Podskupina ICDT pro kybernetickou bezpečnost (ICDT CSSG)
Ve své stávající podobě byla podskupina ICDT pro kybernetickou bezpečnost zřízena v září 2020, kdy nahradila stálou podskupinu CII pro bezpečnost. Ve srovnání se svým předchůdcem je podskupina ICDT pro kybernetickou bezpečnost více strukturovaná, klade si větší cíle a uplatňuje přístup zaměřený na výsledky. Její aktivity jsou vykonávány pracovními skupinami (označovanými jako TF z anglického „task force“), které se pravidelně scházejí a zaměřují se na hlavní společné problémy:
- TF1 Společné normy, srovnání a zralost
- TF2 Sdílení metod a nástrojů platformy a smluv
- TF3 Cloudová bezpečnost
- TF4 Rozvoj kybernetických dovedností
- TF5 Informovanost o kybernetických otázkách
- TF6 Bezpečnost videokonferencí
Podle mandátu CSSG je za pravidelné monitorování a vykazování pokroku dosaženého při výkonu činností pracovních skupin odpovědný její sekretariát. Ten podává pravidelné zprávy předsedovi a místopředsedovi podskupiny ICDT pro kybernetickou bezpečnost a za tímto účelem získává podklady od koordinátorů pracovních skupin. Na konci každého roku musí CSSG rovněž předložit souhrnnou zprávu o činnosti.
Podskupině ICDT pro kybernetickou bezpečnost v současnosti předsedá Evropská komise a místopředsedou je zástupce výboru ICTAC. Přestože CSSG nemá rozhodovací pravomoc, může Interinstitucionálnímu výboru pro digitální transformaci doporučovat rozhodnutí v relevantních otázkách.
Síť agentur EU
Síť agentur EU (EUAN) je neformální síť vytvořená vedoucími agentur EU v roce 2012. Členy této sítě je v současnosti 48 decentralizovaných agentur a společných podniků EU. Jejím cílem je poskytovat členům sítě platformu pro výměnu informací a spolupráci v oblastech společného zájmu. Poradní výbor pro informační a komunikační technologie (ICTAC) je podskupinou sítě EUAN odpovědnou za podporu spolupráce v oblasti IKT, včetně kybernetické bezpečnosti.
Poradní výbor pro informační a komunikační technologie (ICTAC)
Poradní výbor ICTAC podporuje spolupráci mezi agenturami a společnými podniky v oblasti informačních a komunikačních technologií. Jeho cílem je nalézat proveditelná a úsporná řešení společných problémů a přispívat k výměně informací, popřípadě přijímat společné postoje. Podle podmínek zadání výboru ICTAC se dvakrát ročně konají valné hromady, kterých se účastní všichni jeho členové. Existují rovněž pravidelné, každý měsíc se konající porady mezi zástupci výboru ICTAC v pracovních skupinách CSSG, zástupcem výboru ICTAC v CSSG a „trojkou“ výboru ICTAC. Členem trojky je současný, předchozí a budoucí předseda výboru ICTAC (každý předseda má funkční období v délce jednoho roku). Úkolem trojky je poskytovat současnému předsedovi podporu ve všech otázkách týkajících se jeho funkce, včetně jeho nahrazení, pokud to okolnosti vyžadují.
Zkratky a zkratky
APT: pokročilá trvalá hrozba
CERT-EU: skupina pro reakci na počítačové hrozby v orgánech, institucích a jiných subjektech EU
CIS: komunikační a informační systémy
CISO: ředitel pro bezpečnost informačních systémů
CSA: akt o kybernetické bezpečnosti
CSIRT: skupina pro reakce na počítačové bezpečnostní incidenty
ENISA: Agentura Evropské unie pro kybernetickou bezpečnost
EUAN: Síť agentur Evropské unie
EUIBA: orgány, instituce a jiné subjekty Evropské unie
EU-LISA: Evropská agentura pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva
FTE: ekvivalent plného pracovního úvazku
GŘ DIGIT: Generální ředitelství pro informatiku
GŘ HR: Generální ředitelství pro lidské zdroje a bezpečnost
ICDT CSSG: podskupina ICDT pro kybernetickou bezpečnost
ICDT: Interinstitucionální výbor pro digitální transformaci
ICTAC: Poradní výbor pro informační a komunikační technologie
IIA: Interinstitucionální dohoda
IKT: informační a komunikační technologie
ISACA: Asociace pro audit a kontrolu informačních systémů
ITCB: Rada pro informační technologie a kybernetickou bezpečnost
MoU: memorandum o porozumění
NIS: bezpečnost sítí a informací
SLA: dohoda o úrovni služeb
Glosář
Kybernetická bezpečnost: opatření na ochranu IT sítí a infrastruktury i informací v nich obsažených před vnější hrozbou.
Kybernetická špionáž: jednorázové nebo opakované jednání spočívající v získávání tajemství a informací z internetu, sítí nebo jednotlivých počítačů bez svolení nebo vědomí držitele informací.
Kyberprostor: globální on-line prostředí, v němž dochází ke komunikaci mezi lidmi, softwarem a službami prostřednictvím počítačových sítí a jiných propojených zařízení.
Penetrační testování: metoda pro posouzení bezpečnosti informačního systému spočívající v pokusu o prolomení jeho ochranných opatření s použitím nástrojů a postupů obvykle používaných protivníky.
Phishing: zasílání e-mailů navozujících zdání důvěryhodného původu s cílem přimět příjemce, aby na základě klamného dojmu klikli na škodlivé odkazy nebo sdíleli osobní údaje.
Pokročilá trvalá hrozba: útok, při kterém neoprávněný uživatel s cílem ukrást citlivé údaje získá přístup do systému nebo sítě a setrvá tam po delší dobu.
Skupina pro reakci na počítačové hrozby v orgánech, institucích a jiných subjektech EU: centrum pro výměnu informací a koordinaci reakce na incidenty, jejímiž klienty („zúčastněnými subjekty“) jsou orgány, instituce a jiné subjekty EU.
Sociální inženýrství: v oblasti bezpečnosti informací psychologická manipulace usilující přimět člověka, aby na základě klamného dojmu provedl určitý úkon nebo prozradil důvěrnou informaci.
Test s nasazením červeného týmu: realistická simulace kybernetických útoků využívající momentu překvapení a postupů nedávno pozorovaných v reálném světě a zaměřující se prostřednictvím různých směrů útoku na konkrétní cíle.
Odpovědi Komise
Odpovědi skupiny CERT-EU a agentury ENISA
Poznámky na konci textu
3 Přezkum EÚD č. 2/2019: Výzvy týkající se účinné politiky EU v oblasti kybernetické bezpečnosti (informační dokument).
4 CERT-EU, Threat Landscape Report, červen 2021.
5 Tamtéž.
6 Tamtéž.
7 Tamtéž.
8 Cyberattack on EMA – update 6, 25. 1. 2021.
9 Zvláštní zpráva EÚD č. 22/2020: Budoucnost agentur EU – je zde potenciál pro větší flexibilitu a spolupráci, bod 01.
10 Úř. věst. C 12, 13.1.2018, s. 1.
11 ENISA, Threat Landscape 2020, Sektorová/tematická analýza hrozeb.
12 Směrnice (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.
13 Návrh směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii.
16 ISACA, Certified Information System Auditor review manual, 2019.
17 Sdělení Komisi, Digitální strategie Evropské komise: Digitálně transformovaná Komise zaměřená na uživatele a využívající data, C(2018) 7118 final, 21.11.2018.
18 Norma ISO/IEC 27000:2018, kapitola 5.
19 COBIT 5 for Information Security, článek 4.2.
20 Viz například ISO/IEC 27000:2018, článek 4.5.
21 ENISA,Thread Landscape 2020, odvětvová/tematická analýza.
22 Soubor kontrolních mechanismů vycházel z rámce osvědčených postupů nazvaného CIS Controls 7.1 a spravovaného organizací Centre for Internet Security.
23 Soubor opatření č. 1 (IG1) v kontrolních mechanismech CIS.
24 ISACA, Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.
25 Rozhodnutí 2017/46 o bezpečnosti komunikačních a informačních systémů v Evropské komisi.
26 Článek 7 interinstitucionálního ujednání (IIA) ze dne 20.12.2017.
27 Evropská komise, The European Commission Cloud Strategy, 2019.
28 Úkoly agentury ENISA jsou uvedeny v kapitole II (články 5 až 12) nařízení (EU) 2019/881.
29 Nařízení Evropského parlamentu a Rady (EU) č. 526/2013; úkoly uložené agentuře ENISA tímto nařízením jsou uvedeny v článku 3.
30 Článek 6 nařízení (EU) 2019/881.
31 Článek 14 aktu o kybernetické bezpečnosti.
32 Článek 18 aktu o kybernetické bezpečnosti.
33 Tisková zpráva Evropské komise: Počítačová bezpečnost v institucích EU posílena v důsledku úspěšného pilotního projektu.
34 Čl. 3 odst. 3 interinstitucionálního ujednání (IIA) ze dne 20.12.2017.
35 Čl. 3 odst. 2 interinstitucionálního ujednání.
36 Bod 7 odůvodnění interinstitucionálního ujednání (IIA).
37 EHSV a EVR se považují za jednu instituci.
Kontakt
EVROPSKÝ ÚČETNÍ DVŮR
12, rue Alcide De Gasperi
1615 Lucemburk
LUCEMBURSKO
Tel.: +352 4398-1
Dotazy: eca.europa.eu/cs/Pages/ContactForm.aspx
Internetová stránka: eca.europa.eu
Twitter: @EUAuditors
Mnoho doplňujících informací o Evropské unii je k dispozici na internetu.
Můžete se s nimi seznámit na portálu Europa (https://europa.eu).
Lucemburk: Úřad pro publikace Evropské unie, 2022
ISBN 978-92-847-7607-8 | ISSN 1977-5628 | doi:10.2865/326338 | QJ-AB-22-003-CS-N | |
HTML | ISBN 978-92-847-7581-1 | ISSN 1977-5628 | doi:10.2865/405607 | QJ-AB-22-003-CS-Q |
AUTORSKÁ PRÁVA
© Evropská unie, 2022
Politiku opakovaného použití dokumentů Evropského účetního dvora (EÚD) upravuje rozhodnutí Evropského účetního dvora č. 6-2019 o politice týkající se veřejně přístupných dat a opakovaném použití dokumentů.
Pokud není uvedeno jinak (například v jednotlivých upozorněních o ochraně autorských práv), je obsah EÚD vlastněný EU předmětem licence Creative Commons Attribution 4.0 International (CC BY 4.0). Je proto pravidlem, že opakované použití je povoleno za podmínky, že je uveden zdroj a případné změny jsou označeny. Osoby opakovaně používající obsah EÚD nesmí zkreslit původní význam nebo sdělení. EÚD nenese za jakékoli důsledky opakovaného použití odpovědnost.
Pokud konkrétní obsah zobrazuje identifikovatelné soukromé osoby, např. na obrázcích zaměstnanců EÚD, nebo zahrnuje díla třetích stran, je nutno získat další povolení.
Je-li takové povolení získáno, zruší a nahradí výše uvedené obecné povolení a musí jasně uvádět veškerá omezení týkající se použití.
K použití nebo reprodukci obsahu, který není ve vlastnictví EU, může být nezbytné požádat o svolení přímo držitele autorských práv.
Software nebo dokumenty, na něž se vztahují práva průmyslového vlastnictví, jako jsou patenty, ochranné známky, zapsané průmyslové vzory, loga a názvy, jsou z politiky EÚD týkající se opakovaného použití vyloučeny.
Internetové stránky orgánů a institucí Evropské unie využívající doménu europa.eu obsahují odkazy na stránky třetích stran. Protože nad jejich obsahem nemá EÚD žádnou kontrolu, doporučujeme seznámit se s jejich vlastními zásadami ochrany soukromí a politikou v oblasti autorských práv.
Používání loga EÚD
Logo EÚD nesmí být použito bez předchozího souhlasu EÚD.
Obraťte se na EU
Osobně
Po celé Evropské unii se nachází stovky informačních středisek Europe Direct. Adresu nejbližšího střediska naleznete na internetové stránce: https://europa.eu/european-union/contact_cs.
Telefonicky nebo e-mailem
Europe Direct je služba, která odpoví na vaše dotazy o Evropské unii. Můžete se na ni obrátit:
- prostřednictvím bezplatné telefonní linky: 00 800 6 7 8 9 10 11 (někteří operátoři mohou tento hovor účtovat),
- na standardním telefonním čísle: +32 22999696 nebo
- e-mailem prostřednictvím internetové stránky: https://europa.eu/european-union/contact_cs.
Vyhledávání informací o EU
On-line
Informace o Evropské unii ve všech úředních jazycích EU jsou dostupné na internetových stránkách Europa na adrese: https://europa.eu/european-union/index_cs.
Publikace EU
Publikace EU, ať už bezplatné, nebo placené, si můžete stáhnout nebo objednat na adrese: https://op.europa.eu/cs/publications. Chcete-li obdržet více než jeden výtisk bezplatných publikací, obraťte se na službu Europe Direct nebo na místní informační střediska (viz https://europa.eu/european-union/contact_cs).
Právo EU a související dokumenty
Právní informace EU včetně všech právních předpisů EU od roku 1951 ve všech úředních jazykových verzích jsou dostupné na stránkách EUR-Lex na adrese: http://eur-lex.europa.eu.
Veřejně přístupná data od EU
Portál veřejně přístupných dat EU (http://data.europa.eu/cs) umožňuje přístup k datovým souborům z EU. Data lze bezplatně stahovat a opakovaně použít pro komerční i nekomerční účely.