Η κυβερνοασφάλεια στα θεσμικά και λοιπά όργανα και οργανισμούς της ΕΕ: Ο βαθμός ετοιμότητας συνολικά δεν είναι ανάλογος των απειλών
Τι πραγματεύεται η έκθεση:Ο αριθμός των κυβερνοεπιθέσεων στα θεσμικά και λοιπά όργανα και οργανισμούς της ΕΕ (EUIBA) σημειώνει ραγδαία αύξηση. Δεδομένης της ισχυρής διασύνδεσης μεταξύ των EUIBA, οι αδυναμίες του ενός μπορεί να αφήσουν τα άλλα έκθετα σε απειλές κατά της ασφάλειας. Εξετάσαμε κατά πόσον τα EUIBA διαθέτουν επαρκείς ρυθμίσεις για την προστασία τους έναντι κυβερνοαπειλών. Διαπιστώσαμε ότι, συνολικά, το επίπεδο ετοιμότητας των EUIBA δεν είναι ανάλογο των απειλών, καθώς και ότι τα επίπεδα ωριμότητάς τους ως προς την κυβερνοασφάλεια διαφέρουν σημαντικά. Συνιστούμε στην Επιτροπή να βελτιώσει την ετοιμότητα των EUIBA προτείνοντας τη θέσπιση δεσμευτικών κανόνων για την κυβερνοασφάλεια και την αύξηση των πόρων για την ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (Computer Emergency Response Team, CERT-ΕΕ). Η Επιτροπή πρέπει επίσης να προωθήσει περαιτέρω συνεργίες μεταξύ των EUIBA, ενώ η CERT-ΕΕ και ο οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια πρέπει να εστιάσουν τη στήριξή τους στα EUIBA με τα χαμηλότερα επίπεδα ωριμότητας.
Ειδική έκθεση του ΕΕΣ υποβαλλόμενη δυνάμει του άρθρου 287, παράγραφος 4, δεύτερο εδάφιο, ΣΛΕΕ.
Σύνοψη
I Στην πράξη της ΕΕ για την κυβερνοασφάλεια, αυτή ορίζεται ως «οι δραστηριότητες που απαιτούνται για την προστασία των συστημάτων δικτύου και πληροφοριών, των χρηστών των εν λόγω συστημάτων και άλλων επηρεαζόμενων από κυβερνοαπειλές προσώπων». Λόγω των ευαίσθητων πληροφοριών που επεξεργάζονται, τα θεσμικά και λοιπά όργανα και οργανισμοί της ΕΕ (εφεξής για συντομία «τα EUIBA») αποτελούν ελκυστικούς στόχους για τους εν δυνάμει επιτιθέμενους, ιδίως για ομάδες που είναι ικανές να εκτελούν εξαιρετικά εξελιγμένες αόρατες επιθέσεις για σκοπούς κυβερνοκατασκοπείας και όχι μόνο. Τα EUIBA αλληλοσυνδέονται στενά, παρά τη θεσμική ανεξαρτησία και τη διοικητική αυτονομία τους. Ως εκ τούτου, οι αδυναμίες που εντοπίζονται σε μεμονωμένα EUIBA θα μπορούσαν να εκθέσουν τα υπόλοιπα σε απειλές κατά της ασφάλειάς τους.
II Δεδομένου ότι ο αριθμός των κυβερνοεπιθέσεων σε EUIBA αυξάνεται κατακόρυφα, στόχος του εν προκειμένω ελέγχου ήταν να διαπιστωθεί κατά πόσον αυτά έχουν καθιερώσει, στο σύνολό τους, επαρκείς ρυθμίσεις για την προστασία τους από κυβερνοαπειλές. Καταλήγουμε στο συμπέρασμα ότι η κοινότητα των EUIBA δεν έχει καταφέρει να φθάσει σε επίπεδο ετοιμότητας ανάλογο με τις απειλές.
III Διαπιστώσαμε ότι, στον τομέα της κυβερνοασφάλειας, δεν εφαρμόζονταν πάντα καίριες ορθές πρακτικές, περιλαμβανομένων ορισμένων ουσιωδών δικλίδων, ενώ είναι σαφές ότι αρκετά EUIBA δεν δαπανούν όσο θα έπρεπε για την κυβερνοασφάλεια. Επίσης, ορισμένα EUIBA δεν έχουν ακόμη καθιερώσει έναν άρτιο τρόπο διακυβέρνησης σε θέματα κυβερνοασφάλειας: σε πολλές περιπτώσεις, δεν υπάρχουν ή δεν έχουν εγκριθεί από την ανώτερη διοίκηση στρατηγικές ασφάλειας ΤΠ, οι πολιτικές ασφάλειας δεν έχουν πάντοτε περιβληθεί επίσημο τύπο και οι εκτιμήσεις κινδύνου δεν καλύπτουν ολόκληρο το περιβάλλον ΤΠ. Η κυβερνοασφάλεια δεν αποτελεί αντικείμενο ανεξάρτητης διασφάλισης σε τακτική βάση σε όλα τα EUIBA.
IV Η επιμόρφωση στον τομέα της κυβερνοασφάλειας δεν είναι πάντοτε συστηματική. Λίγο πάνω από το ήμισυ των EUIBA προσφέρουν συνεχή επιμόρφωση σε θέματα κυβερνοασφάλειας για τους υπαλλήλους ΤΠ και τους ειδικούς σε θέματα ασφάλειας ΤΠ.Είναι λίγα τα EUIBA που παρέχουν υποχρεωτικά επιμορφωτικά μαθήματα για τα θέματα αυτά στα διοικητικά στελέχη που είναι υπεύθυνα για συστήματα ΤΠ με ευαίσθητες πληροφορίες. Οι ασκήσεις ηλεκτρονικού «ψαρέματος» αποτελούν σημαντικό εργαλείο για την επιμόρφωση του προσωπικού και τη σχετική ενημέρωση και ευαισθητοποίηση, ωστόσο δεν χρησιμοποιούνται συστηματικά από όλα τα EUIBA.
V Μολονότι τα EUIBA έχουν δημιουργήσει δομές για τη συνεργασία και την ανταλλαγή πληροφοριών σχετικά με την κυβερνοασφάλεια, διαπιστώσαμε ότι οι δυνητικές συνεργίες δεν αξιοποιούνται πλήρως. Τα EUIBA δεν ανταλλάσσουν συστηματικά μεταξύ τους πληροφορίες σχετικά με έργα που αφορούν την κυβερνοασφάλεια ή σχετικά με τις αξιολογήσεις ασφάλειας και τις συμβάσεις παροχής υπηρεσιών. Επιπλέον, βασικά εργαλεία επικοινωνίας, όπως λύσεις κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου ή βιντεοδιάσκεψης, δεν είναι πλήρως διαλειτουργικά. Αυτό μπορεί να οδηγήσει σε λιγότερο ασφαλείς ανταλλαγές πληροφοριών, σε αλληλεπικάλυψη προσπαθειών και αύξηση του κόστους.
VI Η ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική για τα EUIBA (Computer Emergency Response Team, CERT-ΕΕ) και ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) αποτελούν τις δύο βασικές οντότητες που είναι επιφορτισμένες με την υποστήριξη των EUIBA σε θέματα κυβερνοασφάλειας. Ωστόσο, εξαιτίας είτε των περιορισμένων πόρων είτε της προτεραιοποίησης άλλων τομέων, δεν έχουν μέχρι στιγμής καταφέρει να παράσχουν στα EUIBA όλη την υποστήριξη που αυτά χρειάζονται, ιδίως όσον αφορά την ανάπτυξη ικανοτήτων σε λιγότερο ώριμα EUIBA. Μολονότι η CERT-ΕΕ χαίρει ιδιαίτερης εκτίμησης από τα EUIBA, η αποτελεσματικότητά της υπονομεύεται από τον αυξανόμενο φόρτο εργασίας, την αστάθεια της χρηματοδότησης και της στελέχωσης, καθώς και από την ανεπαρκή συνεργασία από μέρους ορισμένων EUIBA, τα οποία δεν κοινοποιούν πάντοτε επίκαιρες πληροφορίες σχετικά με τα τρωτά σημεία και τα σημαντικά περιστατικά κυβερνοασφάλειας που έχουν πλήξει τα ίδια ή ενδέχεται να πλήξουν και άλλα EUIBA.
VII Βάσει των διαπιστώσεων αυτών, συνιστούμε τα εξής:
- η Επιτροπή οφείλει να βελτιώσει την ετοιμότητα των EUIBA στον τομέα της κυβερνοασφάλειας μέσω νομοθετικής πρότασης στην οποία θα θεσπίζονται κοινοί δεσμευτικοί κανόνες για την κυβερνοασφάλεια για όλα τα EUIBA, καθώς και με την ενίσχυση των πόρων που παρέχονται στη CERT-ΕΕ·
- στο πλαίσιο της διοργανικής επιτροπής για τον ψηφιακό μετασχηματισμό, η Επιτροπή οφείλει να προωθήσει περαιτέρω συνεργίες μεταξύ των EUIBA σε επιλεγμένους τομείς·
- η CERT-ΕΕ και ο ENISA οφείλουν να εντείνουν την εστίαση στα EUIBA που είναι λιγότερο ώριμα στον τομέα της κυβερνοασφάλειας.
Εισαγωγή
Τι είναι η κυβερνοασφάλεια;
01 Στην πράξη της ΕΕ για την κυβερνοασφάλεια1, αυτή ορίζεται ως «οι δραστηριότητες που απαιτούνται για την προστασία των συστημάτων δικτύου και πληροφοριών, των χρηστών των εν λόγω συστημάτων και άλλων επηρεαζόμενων από κυβερνοαπειλές προσώπων». Η κυβερνοασφάλεια βασίζεται στην ασφάλεια των πληροφοριών, η οποία αφορά τη διαφύλαξη της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών2, είτε σε φυσική είτε σε ηλεκτρονική μορφή. Επιπλέον, η προστασία των συστημάτων δικτύου και πληροφοριών, όπου αποθηκεύονται οι πληροφορίες αυτές, είναι γνωστή ως ασφάλεια της τεχνολογίας των πληροφοριών (ΤΠ) (βλέπε γράφημα 1).
02 Ως κλάδος, η κυβερνοασφάλεια καλύπτει την πρόληψη και τον εντοπισμό κυβερνοπεριστατικών, την αντιμετώπισή τους και την ανάκαμψη από αυτά. Τα περιστατικά μπορεί να ποικίλλουν, παραδείγματος χάριν, από τυχαίες γνωστοποιήσεις πληροφοριών έως επιθέσεις που αποσκοπούν στην υπονόμευση υποδομών ζωτικής σημασίας ή την κλοπή ταυτοτήτων και δεδομένων προσωπικού χαρακτήρα3.
03 Ένα πλαίσιο κυβερνοασφάλειας περιλαμβάνει πολλά στοιχεία, όπως απαιτήσεις και τεχνικές δικλίδες για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, καθώς και κατάλληλες ρυθμίσεις διακυβέρνησης και προγράμματα ενημέρωσης και ευαισθητοποίησης του προσωπικού σχετικά με την κυβερνοασφάλεια.
Η κυβερνοασφάλεια στα θεσμικά και λοιπά όργανα και οργανισμούς της ΕΕ
04 Λόγω των ευαίσθητων πληροφοριών που επεξεργάζονται, τα θεσμικά και λοιπά όργανα και οργανισμοί της ΕΕ (εφεξής για συντομία «τα EUIBA») αποτελούν ελκυστικούς στόχους για δυνητικούς επιτιθέμενους, ιδίως για ομάδες που είναι ικανές να εκτελούν εξαιρετικά εξελιγμένες αόρατες επιθέσεις («προηγμένες συνεχείς απειλές») για σκοπούς κυβερνοκατασκοπείας και όχι μόνο4. Η επιτυχής έκβαση μιας κυβερνοεπίθεσης κατά EUIBA μπορεί να έχει σημαντικές πολιτικές προεκτάσεις, να βλάψει τη συνολική φήμη της ΕΕ και να υπονομεύσει την εμπιστοσύνη στους θεσμούς της.
05 Η πανδημία COVID-19 αιφνιδίασε τα EUIBA, όπως και άλλους οργανισμούς παγκοσμίως, αναγκάζοντάς τα να επιταχύνουν τον ψηφιακό μετασχηματισμό τους και να υιοθετήσουν την τηλεργασία. Αυξήθηκε έτσι σημαντικά ο αριθμός των δυνητικών σημείων πρόσβασης για τους επιτιθέμενους (η «επιφάνεια επίθεσης»), καθώς η περίμετρος κάθε οργανισμού επεκτάθηκε σε νοικοκυριά και κινητές συσκευές που συνδέονται με το διαδίκτυο, με αποτέλεσμα να υπάρχουν νέα τρωτά σημεία προς εκμετάλλευση. Οι υπηρεσίες απομακρυσμένης πρόσβασης είναι μία από τις συνηθέστερες οδούς, μέσω των οποίων οι ομάδες που στοχεύουν τα EUIBA με προηγμένες συνεχείς απειλές αποκτούν πρώτα πρόσβαση στα δίκτυά τους5.
06 Ο αριθμός των κυβερνοπεριστατικών αυξάνεται, και μια ιδιαίτερα ανησυχητική τάση είναι η δραματική αύξηση των σημαντικών περιστατικών εις βάρος EUIBA6, τα οποία ανήλθαν σε πρωτοφανή αριθμό το 2021. Τα σημαντικά περιστατικά δεν είναι περιστατικά επαναλαμβανόμενα ούτε περιστατικά που εμπίπτουν σε κάποια βασική κατηγορία. Κατά κανόνα, περιλαμβάνουν τη χρήση νέων μεθόδων και τεχνολογιών και μπορεί να χρειαστούν εβδομάδες αν όχι μήνες για τη διερεύνησή τους και την ανάκαμψη από αυτά. Μεταξύ 2018 και 2021, τα σημαντικά περιστατικά υπερδεκαπλασιάστηκαν7. Μόνο την τελευταία διετία, σημαντικά περιστατικά σημειώθηκαν εις βάρος τουλάχιστον 22 μεμονωμένων EUIBA. Πρόσφατο παράδειγμα ήταν η κυβερνοεπίθεση στον Ευρωπαϊκό Οργανισμό Φαρμάκων, όταν διέρρευσαν ευαίσθητα δεδομένα και παραποιήθηκαν έτσι ώστε να υπονομευθεί η εμπιστοσύνη των πολιτών στα εμβόλια8.
07 Τα EUIBA είναι μια ιδιαίτερα ανομοιογενής ομάδα, στην οποία περιλαμβάνονται τα θεσμικά και άλλα όργανα, οργανισμοί και υπηρεσίες. Τα επτά θεσμικά όργανα της ΕΕ έχουν ιδρυθεί από τις Συνθήκες. Από την άλλη πλευρά, οι αποκεντρωμένοι οργανισμοί και τα λοιπά όργανα της ΕΕ ιδρύονται με πράξεις παράγωγου δικαίου και αποτελούν χωριστές νομικές οντότητες. Οι οργανισμοί αυτοί λαμβάνουν διάφορες νομικές μορφές: υπάρχουν έξι εκτελεστικοί οργανισμοί της Επιτροπής και 37 αποκεντρωμένοι οργανισμοί της ΕΕ9. Στα EUIBA περιλαμβάνονται επίσης υπηρεσίες της ΕΕ, ένα διπλωματικό σώμα (η Ευρωπαϊκή Υπηρεσία Εξωτερικής Δράσης), κοινές επιχειρήσεις και άλλα όργανα. Κάθε EUIBA είναι υπεύθυνο για τον καθορισμό των δικών του απαιτήσεων κυβερνοασφάλειας και για την εφαρμογή των δικών του μέτρων ασφάλειας.
08 Για την ενίσχυση της κυβερνοασφάλειας των EUIBA, το 2012 η Επιτροπή συγκρότησε μόνιμη ειδική ομάδα, την ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική για τα EUIBA (CERT-ΕΕ). Η CERT-ΕΕ δρα ως κόμβος ανταλλαγής πληροφοριών για την κυβερνοασφάλεια και κέντρο συντονισμού της αντιμετώπισης περιστατικών για τα EUIBA, συνεργάζεται δε με άλλες ομάδες παρέμβασης για περιστατικά που αφορούν την ασφάλεια των υπολογιστών (CSIRT) στα κράτη μέλη, καθώς και με εξειδικευμένες εταιρείες ασφάλειας ΤΠ. Η οργάνωση και η λειτουργία της CERT-ΕΕ διέπονται επί του παρόντος από διοργανικό διακανονισμό10 (ΔΔ) του 2018 μεταξύ αυτής και των EUIBA που εξυπηρετεί, τα οποία είναι γνωστά και ως «συστατικά όργανά» της. Επί του παρόντος, η CERT-ΕΕ αριθμεί 87 συστατικά όργανα.
09 Ένας άλλος βασικός φορέας που υποστηρίζει τα EUIBA είναι ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), κύρια αποστολή του οποίου είναι η επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την ΕΕ. Αποστολή του ENISA, που ιδρύθηκε το 2004, είναι να ενισχύει την αξιοπιστία των προϊόντων, των διαδικασιών και των υπηρεσιών της τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ) με συστήματα πιστοποίησης της κυβερνοασφάλειας, να συνεργάζεται με τα EUIBA και τα κράτη μέλη και να τα βοηθά να βρίσκονται σε ετοιμότητα για την αντιμετώπιση κυβερνοαπειλών. Ο ENISA επικουρεί τα EUIBA στην ανάπτυξη ικανοτήτων και την επιχειρησιακή συνεργασία.
10 Παρά τη θεσμική ανεξαρτησία τους, τα EUIBA αλληλοσυνδέονται στενά. Ανταλλάσσουν πληροφορίες σε καθημερινή βάση και χρησιμοποιούν ορισμένα κοινά συστήματα και δίκτυα. Τυχόν αδυναμίες μεμονωμένων EUIBA θα μπορούσαν να εκθέσουν τα υπόλοιπα σε απειλές κατά της ασφάλειας, καθώς στο πλαίσιο πολλών κυβερνοεπιθέσεων είναι περισσότερα από ένα τα βήματα που χρειάζονται για την επίτευξη του σκοπού ή του τελικού στόχου τους11. Η επιτυχής επίθεση κατά ενός αδύναμου EUIBA μπορεί να χρησιμοποιηθεί ως εφαλτήριο για τη στόχευση άλλων. Τα EUIBA διασυνδέονται επίσης με δημόσιους και ιδιωτικούς οργανισμούς στα κράτη μέλη και το γεγονός ότι δεν διαθέτουν επαρκή ετοιμότητα στον τομέα της κυβερνοασφάλειας μπορεί να τους εκθέσει ομοίως σε κυβερνοαπειλές.
11 Μέχρι στιγμής, δεν έχει θεσπιστεί νομικό πλαίσιο για την ασφάλεια των πληροφοριών και την κυβερνοασφάλεια στα EUIBA. Τα EUIBA δεν υπόκεινται στην ευρύτερη νομοθεσία της ΕΕ για την κυβερνοασφάλεια, την οδηγία NIS του 201612, ούτε στην προτεινόμενη αναθεώρησή της, την οδηγία NIS213. Επίσης, δεν υπάρχουν ολοκληρωμένες πληροφορίες σχετικά με τα ποσά που αυτά δαπανούν για την κυβερνοασφάλεια.
12 Τον Ιούλιο του 2020, η Επιτροπή δημοσίευσε ανακοίνωση σχετικά με τη στρατηγική της ΕΕ για την Ένωση Ασφάλειας14 για την περίοδο 2020‑2025. Στις βασικές δράσεις της στρατηγικής αυτής περιλαμβάνονται «κοινοί κανόνες για την ασφάλεια των πληροφοριών και την κυβερνοασφάλεια για τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ». Το νέο αυτό πλαίσιο αποσκοπεί στη στήριξη μιας ισχυρής και αποτελεσματικής επιχειρησιακής συνεργασίας με επίκεντρο τον ρόλο της CERT-ΕΕ. Στη στρατηγική κυβερνοασφάλειας της ΕΕ για την ψηφιακή δεκαετία15, η οποία δημοσιεύθηκε τον Δεκέμβριο του 2020, η Επιτροπή ανέλαβε να προτείνει κανονισμό σχετικά με κοινούς κανόνες κυβερνοασφάλειας για όλα τα EUIBA. Πρότεινε επίσης τη θέσπιση νέας νομικής βάσης για τη CERT-ΕΕ, με σκοπό την ενίσχυση της εντολής και της χρηματοδότησής της.
Εμβέλεια και τρόπος προσέγγισης του ελέγχου
13 Δεδομένων της κατακόρυφης αύξησης των κυβερνοεπιθέσεων και του γεγονότος ότι οι αδυναμίες σε ένα EUIBA μπορούν να αφήσουν τα υπόλοιπα έκθετα σε απειλές κατά της ασφάλειας, στόχος του εν προκειμένω ελέγχου ήταν να διαπιστωθεί κατά πόσον τα EUIBA έχουν, στο σύνολό τους, θεσπίσει επαρκείς ρυθμίσεις για την προστασία τους από κυβερνοαπειλές. Προκειμένου να απαντηθεί το κύριο αυτό ερώτημα ελέγχου, εξετάσαμε τρία επιμέρους ερωτήματα, τα εξής:
- Υιοθετήθηκαν βασικές πρακτικές κυβερνοασφάλειας σε όλα τα EUIBA;
- Υπάρχει αποτελεσματική συνεργασία μεταξύ των EUIBA σχετικά με την κυβερνοασφάλεια;
- Παρέχουν ο ENISA και η CERT-ΕΕ επαρκή υποστήριξη στα EUIBA στον τομέα της κυβερνοασφάλειας;
14 Ο έλεγχος συγχρονίστηκε με τον σχεδιασμό της στρατηγικής της ΕΕ για την Ένωση Ασφάλειας. Μέσω της αξιολόγησης των υφιστάμενων ρυθμίσεων των EUIBA για την κυβερνοασφάλεια, στόχος μας είναι να εντοπίσουμε τομείς προς βελτίωση, τους οποίους η Επιτροπή μπορεί να λάβει υπόψη της κατά την κατάρτιση της νομοθετικής πρότασής της για κοινούς δεσμευτικούς κανόνες κυβερνοασφάλειας για όλα τα EUIBA.
15 Ο έλεγχος κάλυψε τις εξελίξεις και τις πρωτοβουλίες στον τομέα της κυβερνοασφάλειας από τον Ιανουάριο του 2018 (όταν θεσπίστηκε ο διοργανικός διακανονισμός για τη CERT-ΕΕ) έως τον Οκτώβριο του 2021.
16 Περιορίσαμε την εμβέλεια του ελέγχου μας στην κυβερνοανθεκτικότητα και στα μη διαβαθμισμένα συστήματα. Επικεντρωθήκαμε σε πτυχές ετοιμότητας (δραστηριότητες που ανταποκρίνονται στο τρίπτυχο «αναγνώριση, προστασία, εντοπισμός»). Η «αντιμετώπιση» και η «ανάκαμψη» δεν καλύπτονται από την εμβέλεια του ελέγχου μας. Εξετάσαμε, παρ’ όλα αυτά, ορισμένα οργανωτικά στοιχεία της αντιμετώπισης περιστατικών. Επιπλέον, στην εμβέλεια του ελέγχου μας δεν εμπίπτουν οι πτυχές της προστασίας των δεδομένων, της επιβολής του νόμου, της κυβερνοάμυνας και της κυβερνοδιπλωματίας (βλέπε γράφημα 2).
17 Οι διαπιστώσεις του ελέγχου μας βασίζονται σε εκτενή ανάλυση της διαθέσιμης τεκμηρίωσης, η οποία συμπληρώθηκε από συνεντεύξεις. Διενεργήσαμε έρευνα αυτοαξιολόγησης, στην οποία συμμετείχαν 65 EUIBA, με σκοπό να συλλέξουμε πληροφορίες σχετικά με τις ρυθμίσεις τους για την κυβερνοασφάλεια και τις απόψεις τους σχετικά με τη διοργανική συνεργασία. Απευθύναμε την έρευνα σε όλα τα EUIBA που υπάγονται στην ελεγκτική αρμοδιότητα του ΕΕΣ και διαχειρίζονται ιδιόκτητες υποδομές ΤΠ, καθώς και στο δικό μας θεσμικό όργανο. Στα EUIBA αυτά περιλαμβάνονταν θεσμικά όργανα, αποκεντρωμένοι οργανισμοί, κοινές επιχειρήσεις και λοιπά όργανα. Στην έρευνά μας συμπεριλάβαμε επίσης μη στρατιωτικές αποστολές, οι οποίες είναι προσωρινές αυτόνομες οντότητες που χρηματοδοτούνται από τον προϋπολογισμό της ΕΕ και είναι ανεξάρτητες από άποψη ΤΠ. Στο παράρτημα I παρέχεται η πλήρης κατάσταση των EUIBA που συμμετείχαν στην έρευνα. Η Ευρωπαία Διαμεσολαβήτρια και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δεν συμπεριλήφθηκαν στον εν προκειμένω έλεγχο.
18 Με ποσοστό συμμετοχής 100 %, η έρευνα αποτέλεσε την αφετηρία περαιτέρω ανάλυσης. Επιπλέον, επιλέξαμε δείγμα επτά EUIBA, αντιπροσωπευτικό της ανομοιογένειάς τους, και δώσαμε συνέχεια στις απαντήσεις τους πραγματοποιώντας συνεντεύξεις και ζητώντας τεκμηρίωση. Στα κριτήρια επιλογής που εφαρμόσαμε περιλαμβάνονταν η νομική βάση, το μέγεθος (από άποψη προσωπικού και προϋπολογισμού) και ο τομέας δραστηριοποίησης. Το δείγμα των EUIBA αποτελούνταν από την Ευρωπαϊκή Επιτροπή, το Ευρωπαϊκό Κοινοβούλιο, τον Οργανισμό της ΕΕ για την Κυβερνοασφάλεια (ENISA), την Ευρωπαϊκή Αρχή Τραπεζών (ΕΑΤ), τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια στη Θάλασσα (EMSA), τη συμβουλευτική αποστολή της ΕΕ στην Ουκρανία (EUAM Ukraine) και την κοινή επιχείρηση της πρωτοβουλίας για τα καινοτόμα φάρμακα (ΚΕ ΠΚΦ).
19 Πραγματοποιήσαμε επίσης βιντεοδιασκέψεις με τη CERT-EE, τη συμβουλευτική επιτροπή ΤΠΕ του δικτύου των οργανισμών (ICTAC), τη διοργανική επιτροπή για τον ψηφιακό μετασχηματισμό (ICDT) και άλλα σχετικά ενδιαφερόμενα μέρη.
Παρατηρήσεις
Τα EUIBA διακρίνονται από πολύ διαφορετικά επίπεδα ωριμότητας στον τομέα της κυβερνοασφάλειας και δεν συμμορφώνονται πάντα με τις ορθές πρακτικές
20 Στην παρούσα ενότητα εξετάζονται οι επιμέρους ρυθμίσεις και τα πλαίσια κυβερνοασφάλειας των EUIBA. Αξιολογήσαμε κατά πόσον αυτά προσεγγίζουν την κυβερνοασφάλεια με συνέπεια και επάρκεια, από την άποψη της διακυβέρνησης της ασφάλειας ΤΠ, της διαχείριση κινδύνων, της κατανομής πόρων, της επιμόρφωσης με σκοπό την ενημέρωση και ευαισθητοποίηση, των δικλίδων και της ανεξάρτητης διασφάλισης.
Η διακυβέρνηση της ασφάλειας ΤΠ στα EUIBA συχνά δεν είναι σωστά διαμορφωμένη και οι εκτιμήσεις κινδύνου δεν είναι πλήρεις
Πολλά EUIBA εμφανίζουν κενά στη διακυβέρνηση της ασφάλειας ΤΠ
21 Η σημασία της άρτιας διακυβέρνησης σε ένα αποτελεσματικό πλαίσιο για την ασφάλεια των πληροφοριών και των συστημάτων ΤΠ είναι ουσιώδης, καθώς καθορίζει τους στόχους του οργανισμού και παρέχει καθοδήγηση μέσω της προτεραιοποίησης και της λήψης αποφάσεων. Σύμφωνα με την Ένωση Ελέγχων Πληροφοριακών Συστημάτων (Information Systems Audit and Control Association, ISACA)16, το πλαίσιο διακυβέρνησης της ασφάλειας ΤΠ θα πρέπει γενικά να περιλαμβάνει τα εξής στοιχεία:
- συνολική στρατηγική ασφάλειας που να συνδέεται άρρηκτα με τους επιχειρηματικούς στόχους,
- διαχείριση των πολιτικών ασφάλειας που αφορούν κάθε πτυχή της στρατηγικής, των δικλίδων και του ρυθμιστικού πλαισίου,
- πλήρες σύνολο προτύπων για κάθε πολιτική, όπου θα περιγράφονται τα επιχειρησιακά βήματα που είναι απαραίτητα για τη συμμόρφωση με την πολιτική,
- θεσμοθετημένες διαδικασίες παρακολούθησης για τη διασφάλιση της συμμόρφωσης και την αναπληροφόρηση σχετικά με την αποτελεσματικότητα,
- αποτελεσματική οργανωτική δομή χωρίς συγκρούσεις συμφερόντων.
22 Ελλείψεις στη διακυβέρνηση της ασφάλειας ΤΠ εντοπίσαμε σε πολλά EUIBA. Μόνο το 58 % αυτών (38 από τα 65) διαθέτουν στρατηγική ασφάλειας ΤΠ ή τουλάχιστον σχέδιο ασφάλειας ΤΠ, εγκεκριμένο σε επίπεδο διοικητικού συμβουλίου / ανώτερης διοίκησης. Από την ανάλυση που πραγματοποιήθηκε ανά τύπο EUIBA προκύπτει ότι τα χαμηλότερα ποσοστά συγκεντρώνουν οι μη στρατιωτικές αποστολές και οι αποκεντρωμένοι οργανισμοί (που αντιπροσωπεύουν από κοινού το 71 % των EUIBA που συμμετείχαν στην έρευνα) (βλέπε πίνακα 1). Η μη έγκριση στρατηγικής ή σχεδίου ασφάλειας ΤΠ σε επίπεδο ανώτερης διοίκησης ενέχει τον κίνδυνο τα ανώτερα διοικητικά στελέχη να μην γνωρίζουν ή να μην ιεραρχούν επαρκώς τα ζητήματα ασφάλειας ΤΠ.
Πίνακας 1 – Ποσοστό των EUIBA με στρατηγική ή σχέδιο ασφάλειας ΤΠ, εγκεκριμένο από την ανώτερη διοίκησή τους
Κατάταξη βάσει του αριθμού των υπαλλήλων
< 100 υπάλληλοι
(22 EUIBA) |
100 έως 249 υπάλληλοι
(17 EUIBA) |
250 έως 1000 υπάλληλοι
(16 EUIBA) |
>1 000 υπάλληλοι
(10 EUIBA) |
---|---|---|---|
45 % | 53 % | 69 % | 80 % |
Κατάταξη βάσει του είδους των EUIBA
Αποκεντρωμένοι οργανισμοί
(35 EUIBA) |
Μη στρατιωτικές αποστολές
(11 EUIBA) |
Λοιπά όργανα
(4 EUIBA) |
Θεσμικά όργανα
(6 EUIBA) |
Κοινές επιχειρήσεις
(9 EUIBA) |
---|---|---|---|---|
45 % | 56 % | 75 % | 83 % | 89 % |
Πηγή:Έρευνα του ΕΕΣ.
23 Εξετάσαμε τις στρατηγικές / τα σχέδια ασφάλειας ΤΠ που μας διαβίβασαν τα επτά EUIBA του δείγματος (βλέπε σημείο 18). Διαπιστώσαμε ότι οι στρατηγικές των EUIBA συνδέονται σε ικανοποιητικό βαθμό με τους επιχειρηματικούς τους στόχους. Παραδείγματος χάριν, η στρατηγική ασφάλειας ΤΠ της Επιτροπής καλύπτει τη διάσταση ασφάλειας ΤΠ της ψηφιακής στρατηγικής της ίδιας17 και έχει σχεδιαστεί με σκοπό να υποστηρίζει τον χάρτη πορείας και τους στόχους της. Ωστόσο, μόνο τρία από τα EUIBA του δείγματός μας είχαν συμπεριλάβει στις στρατηγικές/σχέδιά τους για την ασφάλεια ΤΠ συγκεκριμένους στόχους και χρονοδιάγραμμα για την επίτευξή τους.
24 Οι πολιτικές ασφάλειας καθορίζουν τους κανόνες και τις διαδικασίες που πρέπει να ακολουθούν τα άτομα που χρησιμοποιούν ή διαχειρίζονται πληροφορίες και πόρους ΤΠ. Συμβάλλουν στον μετριασμό των κινδύνων κυβερνοασφάλειας και ενημερώνουν σχετικά με το τι πρέπει να γίνει σε περίπτωση που προκύψει κάποιο περιστατικό. Διαπιστώσαμε ότι το 78 % των EUIBA διαθέτουν επίσημη πολιτική ασφάλειας πληροφοριών, ενώ μόνο το 60 % διαθέτουν επίσημες πολιτικές ασφάλειας ΤΠ (για τους ορισμούς της ασφάλειας πληροφοριών και ΤΠ, βλέπε γράφημα 1). Διαπιστώσαμε επίσης ότι τέσσερα από τα επτά EUIBA του δείγματός μας διαθέτουν πολιτικές ασφάλειας οι οποίες εναρμονίζονται με τις στρατηγικές τους για την ασφάλεια ΤΠ. Ωστόσο, σε τρία από αυτά τα τέσσερα EUIBA, οι πολιτικές ασφάλειας ΤΠ συμπληρώνονται μόνο εν μέρει από επικαιροποιημένα λεπτομερή πρότυπα ασφάλειας που περιγράφουν τα απαραίτητα για την εφαρμογή των πολιτικών επιχειρησιακά βήματα. Η έλλειψη επίσημων προτύπων ασφάλειας αυξάνει τον κίνδυνο τα ζητήματα ασφάλειας ΤΠ να μην αντιμετωπίζονται κατάλληλα και με συνέπεια ακόμη και εντός ενός και του αυτού EUIBA. Επιπλέον, δυσχεραίνει τη μέτρηση της συμμόρφωσης του οργανισμού με την πολιτική του για την ασφάλεια ΤΠ. Από τα επτά EUIBA του δείγματος, μόνο η Επιτροπή διαθέτει διαρθρωμένες διαδικασίες για την παρακολούθηση της συμμόρφωσης με τις πολιτικές και τα πρότυπά της για την ασφάλεια ΤΠ, αν και είναι λίγες οι γενικές διευθύνσεις (ΓΔ) της που τις εφαρμόζουν (βλέπε πλαίσιο 1).
Συμμόρφωση με την ασφάλεια ΤΠ στην Επιτροπή
Σύμφωνα με την αποκεντρωμένη διακυβέρνηση ΤΠ της Επιτροπής, ο προϊστάμενος κάθε ΓΔ είναι ο καθ’ ύλην αρμόδιος της υπηρεσίας που είναι υπεύθυνος και υπόλογος ώστε τα συστήματά της να πληρούν τα πρότυπα ασφάλειας ΤΠ. Η Γενική Διεύθυνση Πληροφορικής (ΓΔ DIGIT) και η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας (ΓΔ HR) παρακολουθούν και διευκολύνουν την εφαρμογή των πρακτικών διαχείρισης της συμμόρφωσης. Η ΓΔ DIGIT έχει δημιουργήσει ένα εργαλείο (γνωστό ως «GRC») το οποίο επιτρέπει στις ΓΔ να μετρούν και να υποβάλλουν στοιχεία σχετικά με τη συμμόρφωσή τους με τις δικλίδες της πολιτικής ασφάλειας ΤΠ.
Οι 580 δικλίδες χωρίζονται σε τρεις ομάδες: τις γενικές δικλίδες (κυρίως αυτές που αφορούν τη διακυβέρνηση), τις ειδικές για κάθε ΓΔ δικλίδες και τις ειδικές για κάθε σύστημα δικλίδες. Το εργαλείο είναι λειτουργικό, αλλά μέχρι στιγμής χρησιμοποιείται μόνο από πέντε ΓΔ. Ως εκ τούτου, η ΓΔ DIGIT δεν έχει σφαιρική εικόνα της συμμόρφωσης στο σύνολο της Επιτροπής. Ωστόσο, το συμβούλιο τεχνολογίας των πληροφοριών και κυβερνοασφάλειας (ITCB) της Επιτροπής μπορεί να ζητήσει από τη ΓΔ DIGIT να διερευνήσει τη συμμόρφωση με ένα συγκεκριμένο πρότυπο (π.χ. πολυπαραγοντικός έλεγχος αυθεντικοποίησης το 2021) και μπορεί να εκδίδει μη δεσμευτικές γνώμες και συστάσεις ή, για κρίσιμους κινδύνους, ακόμη και τυπικές απαιτήσεις.
25 Ένα άλλο σημαντικό στοιχείο για την άρτια διακυβέρνηση της κυβερνοασφάλειας είναι ο διορισμός Υπευθύνου Ασφάλειας Πληροφοριών (Chief Information Security Officer, CISO). Αν και δεν απαιτείται ρητά από την οικογένεια προτύπων ISO 2700018, η ύπαρξη CISO ή άλλου υπαλλήλου αντίστοιχων καθηκόντων έχει καταστεί διαδεδομένη πρακτική σε όλους τους οργανισμούς και αποτελεί μέρος των κατευθυντήριων γραμμών της ISACA. Κατά κανόνα, ο CISO έχει τη συνολική ευθύνη για τα προγράμματα ασφάλειας πληροφοριών και ΤΠ του οργανισμού. Προς αποφυγή τυχόν σύγκρουσης συμφερόντων, ο CISO πρέπει να απολαύει ορισμένου βαθμού ανεξαρτησίας από τα καθήκοντα ή το τμήμα ΤΠ19.
26 Σύμφωνα με την έρευνά μας, το 60 % των EUIBA δεν διαθέτουν ανεξάρτητο CISO ή άλλον υπάλληλο αντίστοιχων καθηκόντων. Ακόμη και στις περιπτώσεις που υπάρχουν CISO (ή αντίστοιχοι), οι ρόλοι τους διαφέρουν σημαντικά μεταξύ των EUIBA ως προς τη φύση τους και τα καθήκοντά τους νοούνται ποικιλοτρόπως. Ειδικά στα EUIBA μικρού και μεσαίου μεγέθους, οι ΕΥΑΠ τείνουν να συνδέονται με περισσότερο επιχειρησιακούς ρόλους, οι οποίοι δεν είναι λειτουργικά ανεξάρτητοι από το τμήμα ΤΠ. Αυτό μπορεί να περιορίσει την αυτονομία τους όσον αφορά την υλοποίηση των προτεραιοτήτων τους στον τομέα της ασφάλειας. Ο ENISA επεξεργάζεται επί του παρόντος ένα πλαίσιο δεξιοτήτων της ΕΕ στον τομέα της κυβερνοασφάλειας, το οποίο, μεταξύ άλλων, αποσκοπεί στη διαμόρφωση κοινής αντίληψης όσον αφορά τους ρόλους, τις ικανότητες και τις δεξιότητες.
Ως επί το πλείστον, οι εκτιμήσεις κινδύνου ΤΠ των EUIBA δεν καλύπτουν το περιβάλλον ΤΠ τους στην ολότητά του
27 Όλα τα διεθνή πρότυπα ασφάλειας ΤΠ υπογραμμίζουν τη σημασία της καθιέρωσης κατάλληλης μεθόδου για την εκτίμηση και τον χειρισμό των κινδύνων ασφάλειας που απειλούν τα συστήματα ΤΠ και τα δεδομένα που περιέχουν. Θα πρέπει να διενεργούνται περιοδικά εκτιμήσεις κινδύνου, προκειμένου να συνεκτιμώνται οι αλλαγές στις απαιτήσεις ασφάλειας των πληροφοριών ενός οργανισμού και οι κίνδυνοι που αυτός αντιμετωπίζει20. Οι εκτιμήσεις θα πρέπει να συνοδεύονται από σχέδιο μετριασμού του κινδύνου (ή σχέδιο ασφάλειας ΤΠ).
28 Τα περισσότερα EUIBA που συμμετείχαν στην έρευνα (58 από τα 65) ανέφεραν ότι ακολουθούν κάποιο πλαίσιο ή μεθοδολογία για τη διενέργεια εκτιμήσεων κινδύνου στα συστήματα ΤΠ τους. Ωστόσο, δεν υπάρχει κοινή μεθοδολογία για όλα τα EUIBA. Τουλάχιστον 26 από αυτά κάνουν μερική ή πλήρη χρήση των μεθοδολογιών που αναπτύχθηκαν από την Επιτροπή, συγκεκριμένα το 31 % των EUIBA εφάρμοζαν τη μεθοδολογία διαχείρισης κινδύνων ασφάλειας ΤΠ του 2018 (ITSRM2). Τα υπόλοιπα ακολουθούν μεθοδολογίες που βασίζονται σε γνωστά βιομηχανικά πρότυπα [όπως τα πρότυπα ISO27001, ISO27005, το πλαίσιο κυβερνοασφάλειας του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (NIST-CSF) ή οι δικλίδες του κέντρου για την ασφάλεια στο διαδίκτυο (CIS)] ή χρησιμοποιούν άλλες μεθοδολογίες που έχουν αναπτύξει τα ίδια.
29 Από τα επτά EUIBA του δείγματος, μόνο δύο διενεργούν ολοκληρωμένες εκτιμήσεις κινδύνου που καλύπτουν ολόκληρο το περιβάλλον ΤΠ τους (ήτοι όλα τα συστήματα ΤΠ). Τα περισσότερα διενεργούν μεμονωμένες εκτιμήσεις κινδύνου μόνο για τα σημαντικότερα συστήματα ΤΠ τους. Εντοπίσαμε διάφορα παραδείγματα εκτιμήσεων κινδύνου που είχαν διενεργηθεί πριν από την εγκατάσταση νέων συστημάτων. Ωστόσο, δεν εντοπίσαμε στοιχεία που να υποδεικνύουν τη διενέργεια επακόλουθων εκτιμήσεων κινδύνου συνδεόμενων, παραδείγματος χάριν, με μεταγενέστερες αλλαγές στα συστήματα / στις υποδομές τους.
Τα EUIBA δεν προσεγγίζουν με συνέπεια την κυβερνοασφάλεια, ενώ δεν εφαρμόζονται πάντοτε βασικές δικλίδες
Η κατανομή των πόρων για την κυβερνοασφάλεια διαφέρει σημαντικά μεταξύ των EUIBA
30 Στο πλαίσιο της έρευνάς μας, ζητήσαμε από τα EUIBA να καταγράψουν τις συνολικές δαπάνες τους στον τομέα ΤΠ για το 2020, συμπεριλαμβάνοντας εκτίμηση του ποσού που δαπανήθηκε για την κυβερνοασφάλεια. Τα στοιχεία μας δείχνουν σημαντικές διακυμάνσεις στο ποσοστό των δαπανών ΤΠ που διαθέτουν τα επιμέρους EUIBA για την κυβερνοασφάλεια. Αυτό ισχύει ακόμη και για EUIBA παρόμοιου μεγέθους, από άποψη αριθμού υπαλλήλων. Όπως φαίνεται στο γράφημα 3, οι διαφορές τείνουν να είναι ιδιαίτερα σημαντικές μεταξύ των EUIBA με λιγότερους υπαλλήλους.
31 Είναι δύσκολο να εκτιμηθεί σε απόλυτους όρους το βέλτιστο επίπεδο δαπανών για την κυβερνοασφάλεια. Αυτό εξαρτάται από πολλούς παράγοντες, όπως η επιφάνεια επίθεσης του οργανισμού, ο ευαίσθητος χαρακτήρας των δεδομένων που χειρίζεται, το προφίλ κινδύνου και η διάθεσή του για ανάληψη κινδύνων, καθώς και οι τομεακές νομικές/ρυθμιστικές απαιτήσεις. Ωστόσο, τα στοιχεία μας υποδεικνύουν σημαντικές διαφορές, χωρίς να είναι πάντοτε σαφές πού αυτές οφείλονται. Ορισμένα EUIBA πραγματοποιούν σημαντικά λιγότερες δαπάνες για την κυβερνοασφάλεια σε σχέση με ομόλογα όργανα παρομοίου μεγέθους, γεγονός που μπορεί να υποδεικνύει ότι ενδέχεται να δαπανούν μη ικανοποιητικά ποσά σε περίπτωση έκθεσής τους σε απειλές και κινδύνους παρόμοιας κλίμακας.
32 Aπό άποψη προσωπικού και δαπανών ΤΠ, τα περισσότερα EUIBA είναι μικρού έως μεσαίου μεγέθους, και συγκεκριμένα τα δύο τρίτα των EUIBA απασχολούν λιγότερους από 350 υπαλλήλους. Το μικρότερο EUIBA απασχολεί μόλις 15 υπαλλήλους. Για τα μικρότερα EUIBA, η διαχείριση της κυβερνοασφάλειας ενέχει περισσότερες προκλήσεις και απαιτεί περισσότερους πόρους. Στις περισσότερες περιπτώσεις, τα συγκεκριμένα EUIBA δεν μπορούν να επωφεληθούν από οικονομίες κλίμακας και δεν διαθέτουν επαρκή εσωτερική εμπειρογνωσία. Βάσει της έρευνας και των συνεντεύξεων που πραγματοποιήσαμε, τα μεγαλύτερα θεσμικά όργανα, όπως η Επιτροπή και το Ευρωπαϊκό Κοινοβούλιο, διαθέτουν ομάδες εμπειρογνωμόνων πλήρους απασχόλησης που διαχειρίζονται την κυβερνοασφάλεια. Ωστόσο, στα μικρότερα EUIBA, όπου το προσωπικό και οι πόροι είναι ιδιαίτερα περιορισμένοι, δεν υπάρχουν τέτοιοι εμπειρογνώμονες και τη διαχείριση της κυβερνοασφάλειας αναλαμβάνουν υπάλληλοι με γνώσεις ΤΠ, που διαθέτουν σε αυτό το καθήκον μόνο μέρος του χρόνου απασχόλησής τους. Το γεγονός ότι τα EUIBA αλληλοσυνδέονται στενά ενέχει αυξημένο κίνδυνο (βλέπε επίσης σημείο 10).
33 Στο πλαίσιο της έρευνάς μας, ζητήσαμε από τα EUIBA να παραθέσουν τις μείζονες προκλήσεις που αντιμετώπισαν ως προς την εφαρμογή αποτελεσματικών πολιτικών κυβερνοασφάλειας στον εκάστοτε οργανισμό (βλέπε γράφημα 4). Η μεγαλύτερη πρόκληση είναι το γεγονός οι εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας αποτελούν σπάνιους πόρους και πολλά από τα EUIBA δυσκολεύονται να τους προσελκύσουν, λόγω του ανταγωνισμού τόσο από τον ιδιωτικό τομέα όσο και από άλλα EUIBA. Τα προβλήματα που αναφέρθηκαν κατ' επανάληψη έχουν να κάνουν με τις χρονοβόρες διαδικασίες πρόσληψης, τους μη ανταγωνιστικούς συμβατικούς όρους και την έλλειψη ελκυστικών προοπτικών σταδιοδρομίας. Η έλλειψη εξειδικευμένου προσωπικού συνιστά σημαντικό κίνδυνο για τον αποτελεσματικό χειρισμό της κυβερνοασφάλειας.
Τα περισσότερα από τα EUIBA προσφέρουν κάποια μορφή επιμόρφωσης με σκοπό την ενημέρωση και ευαισθητοποίηση στον τομέα της κυβερνοασφάλειας, χωρίς όμως αυτή να είναι συστηματική ή σωστά στοχευμένη
34 Η εκμετάλλευση των τρωτών σημείων σε συστήματα και συσκευές δεν είναι ο μόνος τρόπος πρόκλησης βλάβης από δυνητικούς επιτιθέμενους. Οι τελευταίοι μπορούν επίσης να εξωθήσουν τους χρήστες να αποκαλύψουν ευαίσθητες πληροφορίες ή να τηλεφορτώσουν κακόβουλο λογισμικό, παραδείγματος χάριν μέσω ηλεκτρονικού «ψαρέματος» ή κοινωνικής μηχανικής. Το προσωπικό παρατάσσεται στην πρώτη γραμμή άμυνας κάθε οργανισμού. Ως εκ τούτου, τα προγράμματα ευαισθητοποίησης και επιμόρφωσης σχετικά με τον κυβερνοχώρο αποτελούν βασικό στοιχείο ενός αποτελεσματικού πλαισίου κυβερνοασφάλειας.
35 Η συντριπτική πλειονότητα των EUIBA που συμμετείχαν στην έρευνα (95 %) προσφέρουν κάποιας μορφής γενική επιμόρφωση με σκοπό την ενημέρωση και ευαισθητοποίηση στον τομέα της κυβερνοασφάλειας για όλο το προσωπικό. Εξαιρούνται τρία που δεν παρέχουν τίποτα σχετικό. Ωστόσο, μόνο το 41 % των EUIBA διοργανώνει ειδικά σεμινάρια επιμόρφωσης ή ευαισθητοποίησης για τα διοικητικά στελέχη και μόνο το 29 % παρέχει υποχρεωτική επιμόρφωση σε θέματα κυβερνοασφάλειας για τα διοικητικά στελέχη που είναι υπεύθυνα για συστήματα ΤΠ στα οποία περιλαμβάνονται ευαίσθητες πληροφορίες. Η ενημέρωση και η ευαισθητοποίηση, όπως και η δέσμευση των διοικητικών στελεχών είναι ζωτικής σημασίας για την αποτελεσματική διακυβέρνηση της κυβερνοασφάλειας. Από τα έντεκα EUIBA που ανέφεραν ως πρόκληση για την αποτελεσματική κυβερνοασφάλεια την απουσία υποστήριξης από τη διοίκηση, μόνο τρία προσέφεραν κάποιους είδους επιμόρφωση με σκοπό την ενημέρωση και ευαισθητοποίηση για τη διοίκησή τους. Συνεχής επιμόρφωση στον τομέα της κυβερνοασφάλειας για το προσωπικό ΤΠ και τους ειδικούς σε θέματα ΤΠ προσφέρεται σε ποσοστό 58 % και 51 % των EUIBA αντίστοιχα.
36 Δεν διαθέτουν όλα τα EUIBA μηχανισμούς που να τους επιτρέπουν να παρακολουθούν τόσο τη συμμετοχή του προσωπικού στην επιμόρφωση σε θέματα κυβερνοασφάλειας όσο και την επακόλουθη αλλαγή όσον αφορά την ευαισθητοποίηση και τη συμπεριφορά τους. Ιδίως σε μικρότερους οργανισμούς, μπορεί να προσφέρονται σεμινάρια ενημέρωσης και ευαισθητοποίησης στον κυβερνοχώρο στο πλαίσιο άτυπων συνεδριάσεων του προσωπικού. Ο κύριος τρόπος με τον οποίο οι οργανισμοί μετρούν την ευαισθητοποίηση του προσωπικού είναι υποβάλλοντας περιοδικά σε δοκιμασίες τη συμπεριφορά τους, μεταξύ άλλων μέσω ερευνών ωριμότητας ή ασκήσεων ηλεκτρονικού «ψαρέματος». Την τελευταία πενταετία, το 55 % των EUIBA είχαν διοργανώσει μία ή περισσότερες προσομοιωμένες εκστρατείες ηλεκτρονικού «ψαρέματος» (ή παρόμοιες ασκήσεις). Δεδομένου ότι το ηλεκτρονικό «ψάρεμα» είναι μία από τις βασικές απειλές που αντιμετωπίζει το προσωπικό των δημόσιων διοικήσεων21, οι ασκήσεις αυτές αποτελούν σημαντικό εργαλείο για την επιμόρφωση του προσωπικού και την ευαισθητοποίησή του. Διαπιστώσαμε ότι οι δράσεις της Επιτροπής με σκοπό την ενημέρωση και ευαισθητοποίηση σε ζητήματα που αφορούν τον κυβερνοχώρο αποτελούν ορθή πρακτική και βρίσκονται στη διάθεση άλλων ενδιαφερόμενων EUIBA (βλέπε πλαίσιο 2).
Επιμόρφωση με σκοπό την ενημέρωση και ευαισθητοποίηση σε θέματα κυβερνοασφάλειας στην Επιτροπή
Η Επιτροπή διαθέτει την ειδική ομάδα «Cyber Aware» στη ΓΔ DIGIT, η οποία ηγείται του εταιρικού προγράμματος ενημέρωσης και ευαισθητοποίησης για την κυβερνοασφάλεια. Την ευθύνη διαχείρισης και λειτουργίας του προγράμματος έχουν από κοινού η ΓΔ HR, η Γενική Γραμματεία, η Γενική Διεύθυνση Επικοινωνιακών Δικτύων, Περιεχομένου και Τεχνολογιών (ΓΔ CNECT) και η CERT-ΕΕ. Η επιμόρφωση είναι υψηλής ποιότητας και σε πολλές περιπτώσεις έχει διοργανική εμβέλεια. Τα επιμορφωτικά σεμινάρια ανακοινώνονται στο ενημερωτικό δελτίο «Learning Bulletin», το οποίο απευθύνεται σε περίπου 65 000 υπαλλήλους της ΕΕ. Μέσω της πλατφόρμας «Cyber Aware», η Επιτροπή διοργάνωσε 15 ασκήσεις ηλεκτρονικού «ψαρέματος» την τελευταία πενταετία και πρόσφατα πραγματοποίησε την πρώτη άσκηση σε επίπεδο Επιτροπής.
Οι βασικές δικλίδες δεν εφαρμόζονται πάντοτε ή δεν τυποποιούνται ως πρότυπα
37 Ζητήσαμε από τα EUIBA να προβούν σε αυτοαξιολόγηση της από μέρους τους εφαρμογής επιλεγμένων βασικών δικλίδων22. Επιλέξαμε ένα σύνολο βέλτιστων πρακτικών τις οποίες θα μπορούσε εύλογα να εφαρμόσει ακόμη και ένας μικρότερος οργανισμός23. Στο γράφημα 5 παρουσιάζονται συνοπτικά τα αποτελέσματα. Τα περισσότερα από τα EUIBA που συμμετείχαν στην έρευνα είχαν εγκρίνει τις επιλεγείσες βασικές δικλίδες. Ωστόσο, στο 20 % τουλάχιστον των EUIBA, οι δικλίδες φαίνεται να παρουσιάζουν ελλείψεις ή να είναι περιορισμένες για ορισμένους τομείς.
38 Ζητήσαμε από τα επτά EUIBA του δείγματος να μας διαβιβάσουν τεκμηρίωση και τα αντίστοιχα πρότυπα/πολιτικές για κάθε δικλίδα που είχαν δηλώσει ότι έχουν εφαρμόσει. Λάβαμε τα σχετικά έγγραφα για το 62 % των δικλίδων. Όπως διευκρινίστηκε κατά τη διάρκεια των συνεντεύξεων, σε αρκετές περιπτώσεις εφαρμόζονταν μεν τεχνικές δικλίδες, αλλά δεν είχαν τυποποιηθεί υπό τη μορφή –επικαιροποιημένων– προτύπων ή πολιτικών, γεγονός που αυξάνει τον κίνδυνο ασυνεπούς αντιμετώπισης ζητημάτων ασφάλειας ΤΠ εντός του ίδιου EUIBA (βλέπε επίσης σημείο 24).
Σε αρκετά από τα EUIBA οι ρυθμίσεις για την κυβερνοασφάλεια δεν αποτελούν αντικείμενο τακτικής ανεξάρτητης διασφάλισης
39 Σύμφωνα με την ISACA24, ο εσωτερικός έλεγχος είναι μία από τις τρεις βασικές γραμμές άμυνας ενός οργανισμού, ενώ οι άλλες δύο είναι η διοίκηση και η διαχείριση κινδύνων. Οι εσωτερικοί έλεγχοι συμβάλλουν στη βελτίωση της διακυβέρνησης της ασφάλειας των πληροφοριών και της ΤΠ. Εξετάσαμε τη συχνότητα με την οποία τα EUIBA προβαίνουν σε ανεξάρτητη διασφάλιση του πλαισίου ασφάλειας ΤΠ τους, στο πλαίσιο εσωτερικών ή εξωτερικών ελέγχων και μέσω προδραστικών δοκιμών της κυβερνοάμυνάς τους.
40 Η Υπηρεσία Εσωτερικού Λογιστικού Ελέγχου της Επιτροπής (IAS) είναι αρμόδια, μεταξύ άλλων, να υποβάλλει σε ελέγχους ΤΠ την Επιτροπή και τους αποκεντρωμένους οργανισμούς, τις κοινές επιχειρήσεις και την ΕΥΕΔ. Στην εντολή της υπηρεσίας εμπίπτουν 46 (70 %) από τα 65 EUIBA στα οποία απευθύναμε την έρευνά μας. Η IAS διενήργησε ελέγχους σχετικά με την ασφάλεια ΤΠ σε 6 διαφορετικά EUIBA την τελευταία πενταετία. Επιπλέον, η ΓΔ HR είναι αρμόδια για τη διενέργεια επιθεωρήσεων ασφάλειας ΤΠ, που καλύπτουν τεχνικές πτυχές της ασφάλειας των πληροφοριών25. Από τα υπόλοιπα EUIBA, επτά ανέφεραν ότι διέθεταν δική τους υπηρεσία εσωτερικού ελέγχου που κάλυπτε πτυχές ΤΠ, ενώ για δώδεκα EUIBA δεν κατέστη δυνατό, από τις απαντήσεις τους στην έρευνά μας, να προσδιοριστεί επαρκώς το κατά πόσον διαθέτουν τέτοια ικανότητα εσωτερικού ελέγχου.
41 Ένας ακόμη τρόπος για την εξασφάλιση ανεξάρτητης διασφάλισης είναι οι εξωτερικοί έλεγχοι ασφάλειας ΤΠ που διενεργούνται από ανεξάρτητες οντότητες. Παρά το ταχέως μεταβαλλόμενο τοπίο στον κυβερνοχώρο, από τις αρχές του 2015 έως το πρώτο τρίμηνο του 2021, το 34 % των EUIBA δεν είχε υποβληθεί σε κανέναν εσωτερικό ή εξωτερικό έλεγχο ασφάλειας ΤΠ. Από την περαιτέρω ανάλυση του τελευταίου αυτού αριθμητικού στοιχείου ανά είδος EUIBA προκύπτει ότι, μετά το 2015, το 75 % των οργάνων της ΕΕ, το 66 % των κοινών επιχειρήσεων και το 45 % των μη στρατιωτικών αποστολών δεν υποβλήθηκαν σε εσωτερικό ή εξωτερικό έλεγχο ασφάλειας ΤΠ.
42 Εκτός από τους εσωτερικούς και εξωτερικούς ελέγχους, ένας άλλος τρόπος με τον οποίο οι οργανισμοί μπορούν να αποκομίσουν βεβαιότητα σχετικά με το πλαίσιο ασφάλειας ΤΠ που εφαρμόζουν είναι η διενέργεια προδραστικών δοκιμών της κυβερνοάμυνας για τον εντοπισμό τρωτών σημείων. Οι δοκιμές παρείσδυσης (γνωστές και ως ηθική δικτυοπαραβίαση), οι οποίες συνίστανται σε εγκεκριμένες προσομοιωμένες κυβερνοεπιθέσεις σε μεμονωμένα συστήματα υπολογιστών, αποτελούν μία από τις μεθόδους που εξυπηρετούν τον σκοπό αυτό. Στο πλαίσιο της έρευνάς μας, το 69 % των EUIBA δήλωσε ότι είχε πραγματοποιήσει τουλάχιστον μία δοκιμή παρείσδυσης την τελευταία πενταετία. Στο 45 % των περιπτώσεων, η CERT-ΕΕ ήταν η οντότητα που είχε διενεργήσει τις δοκιμές αυτές.
43 Οι ασκήσεις «κόκκινης ομάδας» είναι ένας ακόμη τρόπος δοκιμασίας της κυβερνοάμυνας μέσω προσομοιωμένων επιθέσεων, με τη χρήση τεχνικών που χρησιμοποιήθηκαν πρόσφατα σε επιθέσεις υπό πραγματικές συνθήκες. Είναι περισσότερο σύνθετες και ολοκληρωμένες από τις δοκιμές παρείσδυσης, δεδομένου ότι περιλαμβάνουν πολλαπλά συστήματα και πιθανές οδούς επίθεσης. Τα EUIBA διενεργούν τις συγκεκριμένες δοκιμές λιγότερο συχνά: Το 46 % των EUIBA ανέφεραν την πραγματοποίηση τουλάχιστον μίας άσκησης «κόκκινης ομάδας» την τελευταία πενταετία. Η CERT-ΕΕ πραγματοποίησε το 75 % των ασκήσεων αυτών. Για την προετοιμασία και την εκτέλεσή των ασκήσεων κόκκινης ομάδας απαιτείται σημαντικός φόρτος και η CERT-ΕΕ έχει επί του παρόντος την ικανότητα να εκτελεί το πολύ πέντε έως έξι ασκήσεις ετησίως.
44 Με την εξαίρεση δύο προσφάτως συσταθέντων EUIBA, 16 (25 %) από τα EUIBA που συμμετείχαν στην έρευνα δεν είχαν διενεργήσει δοκιμές παρείσδυσης ή ασκήσεις «κόκκινης ομάδας» κατά την τελευταία πενταετία. Συνολικά, επτά EUIBA (10 %) δεν έχουν υποβληθεί σε καμίας μορφής ανεξάρτητη διασφάλιση όσον αφορά τις ρυθμίσεις ασφάλειας ΤΠ που εφαρμόζουν. Πρόκειται για μία κοινή επιχείρηση, έναν αποκεντρωμένο οργανισμό και πέντε μη στρατιωτικές αποστολές.
Παρά τους μηχανισμούς συνεργασίας που έχουν καθιερώσει τα EUIBA, υπάρχουν ελλείψεις
45 Η παρούσα ενότητα εξετάζει τους φορείς και τις επιτροπές που έχουν συσταθεί για την προώθηση της συνεργασίας μεταξύ των EUIBA στον τομέα της κυβερνοασφάλειας, καθώς και τις διοργανικές ρυθμίσεις διακυβέρνησης και συντονισμού. Ειδικότερα, εξετάσαμε δύο διοργανικούς φορείς, τον ENISA και τη CERT-ΕΕ, και δύο διοργανικές επιτροπές, τη διοργανική επιτροπή για τον ψηφιακό μετασχηματισμό (ICDT), ιδίως δε την υποομάδα της για την κυβερνοασφάλεια (CSSG), και τη συμβουλευτική επιτροπή για τις τεχνολογίες πληροφοριών και επικοινωνιών (ICTAC). Αξιολογήσαμε επίσης τον βαθμό στον οποίο οι ανωτέρω έχουν εξασφαλίσει συνεργίες για την αύξηση της ετοιμότητας των EUIBA στον τομέα της κυβερνοασφάλειας.
Παρά τα όποια προβλήματα διακυβέρνησης, υπάρχει τυποποιημένη δομή για τον συντονισμό των δραστηριοτήτων των EUIBA
46 Η ICDT και η ICTAC είναι οι δύο κύριες επιτροπές που προωθούν τη συνεργασία στον τομέα της ΤΠ μεταξύ των EUIBA. Η ICDT, η οποία απαρτίζεται από τους διαχειριστές ΤΠ των θεσμικών οργάνων και οργανισμών της ΕΕ, αποτελεί φόρουμ για την προώθηση της ανταλλαγής πληροφοριών και της συνεργασίας. Στους κόλπους της λειτουργεί υποομάδα κυβερνοασφάλειας (η CSSG της ICDT) η οποία αναφέρεται στην ICDT και μπορεί να προτείνει τη λήψη αποφάσεων για συγκεκριμένα ζητήματα. Από την άλλη πλευρά, η ICTAC είναι υποομάδα του δικτύου οργανισμών της ΕΕ (EUAN), ενός άτυπου δικτύου που δημιουργήθηκε από τους επικεφαλής των οργανισμών της ΕΕ και εστιάζει στη συνεργασία μεταξύ οργανισμών και κοινών επιχειρήσεων. Τόσο η ICDT όσο και η ICTAC έχουν σαφώς καθορισμένους, συμπληρωματικούς ρόλους: Η ICTAC καλύπτει αποκεντρωμένους οργανισμούς και κοινές επιχειρήσεις, ενώ η ICDT καλύπτει θεσμικά όργανα και οργανισμούς. Από τη φύση τους, η ICDT και η ICTAC είναι περισσότερο άτυπες συμβουλευτικές ομάδες και φόρα για την ανταλλαγή πληροφοριών και βέλτιστων πρακτικών. Περαιτέρω πληροφορίες σχετικά με τις διοργανικές αυτές επιτροπές παρουσιάζονται στο παράρτημα II.
Η εκπροσώπηση των EUIBA στα σχετικά φόρα δεν είναι πάντα επαρκής
47 Μολονότι οι δομές εκπροσώπησης είναι σαφείς, δεν θεωρούν όλα τα EUIBA επαρκή την εκπροσώπησή τους στην πράξη. Όταν, στο πλαίσιο της έρευνά μας, τους ζητήθηκε να εκφέρουν την άποψή τους σχετικά με τη δήλωση «Οι ανάγκες μου λαμβάνονται επαρκώς υπόψη στα σχετικά διοργανικά φόρα και το EUIBA μου χαίρει επαρκούς εκπροσώπησης στα συμβούλια λήψης αποφάσεων», το 42 % των EUIBA διαφώνησε. Ορισμένα από τα μικρότερα EUIBA θεωρούσαν ότι δεν διέθεταν επαρκείς πόρους για να συμμετάσχουν ενεργά στα διοργανικά φόρα.
48 Το διοικητικό συμβούλιο της CERT-ΕΕ, το κύριο όργανο λήψης αποφάσεων, δεν εκπροσωπεί τα συστατικά του όργανα στο σύνολό τους. Η CERT-ΕΕ παρέχει υπηρεσίες σε 87 EUIBA και σε άλλους τρεις οργανισμούς. Ωστόσο, το διοικητικό της συμβούλιο περιλαμβάνει μόνο εκπροσώπους των 11 υπογραφόντων τον διοργανικό διακανονισμό (τα επτά θεσμικά όργανα της ΕΕ και η ΕΥΕΔ, η Οικονομική και Κοινωνική Επιτροπή, η Επιτροπή των Περιφερειών και η Ευρωπαϊκή Τράπεζα Επενδύσεων) και έναν εκπρόσωπο του ENISA, καθέναν τους με δικαίωμα μίας ψήφου26.
49 Περισσότερα από τα μισά συστατικά όργανα της CERT-ΕΕ είναι αποκεντρωμένοι οργανισμοί και κοινές επιχειρήσεις της ΕΕ, οι οποίες από κοινού απασχολούν περίπου 12 000 υπαλλήλους. Επισήμως, τα συμφέροντά τους εκπροσωπούνται στο διοικητικό συμβούλιο της CERT-ΕΕ από τον ENISA. Ωστόσο, η εντολή του ENISA να εκπροσωπεί τους οργανισμούς και τις κοινές επιχειρήσεις της ΕΕ δεν έχει ιδιαίτερη ισχύ, καθώς ο Οργανισμός δεν είναι άμεσα ορισμένος ή εκλεγμένος από αυτά. Στην πράξη, οι απόψεις των αποκεντρωμένων οργανισμών και των κοινών επιχειρήσεων εκφράζονται στις συνεδριάσεις του διοικητικού συμβουλίου από εκπρόσωπο της ICTAC, ο οποίος επιτρέπεται να παρίσταται για να επικουρεί τον ENISA στον ρόλο του ως εκπροσώπου των οργανισμών. Παρά το γεγονός ότι εκφράζει τις απόψεις και υπερασπίζεται τα συμφέροντα 48 EUIBA, ο εκπρόσωπος της ICTAC δεν έχει επί του παρόντος επίσημη θέση, ούτε δικαίωμα ψήφου στο διοικητικό συμβούλιο. Τον Απρίλιο του 2021, η ICTAC απέστειλε στον πρόεδρο του διοικητικού συμβουλίου της CERT-ΕΕ επίσημο αίτημα, προκειμένου να της αναγνωριστούν δικαιώματα ψήφου στο συμβούλιο. Κατά τον χρόνο κατάρτισης της έκθεσης, το αίτημα δεν είχε γίνει ακόμη δεκτό. Στο γράφημα 6, παρέχεται επισκόπηση της εκπροσώπησης των EUIBA στα συμβούλια και τις επιτροπές λήψης αποφάσεων.
50 Η διοργανική διακυβέρνηση των EUIBA στον τομέα της κυβερνοασφάλειας είναι κατακερματισμένη και καμία οντότητα δεν διαθέτει επί του παρόντος ολοκληρωμένη εικόνα της ωριμότητας των EUIBA στον τομέα της κυβερνοασφάλειας, ούτε την εξουσία να αναλάβει ηγετικό ρόλο ή να επιβάλει κοινούς δεσμευτικούς κανόνες. Τόσο ο ENISA όσο και η CERT-ΕΕ μπορούν μόνο να «υποστηρίξουν» και να «βοηθήσουν» τα EUIBA. Οι αρμόδιες επιτροπές δεν διαθέτουν εξουσία λήψης αποφάσεων και μπορούν μόνο να διατυπώνουν συστάσεις προς τα EUIBA. Επιπλέον, για το ένα πέμπτο των EUIBA που συμμετείχαν στην έρευνα, κάτι που δεν είναι επίσης σαφές είναι το πού πρέπει να απευθύνονται για μια συγκεκριμένη υπηρεσία, εργαλείο ή λύση.
Υπάρχουν μνημόνια συνεννόησης μεταξύ των βασικών παραγόντων, αλλά μέχρι στιγμής δεν έχουν αποφέρει απτά αποτελέσματα
51 Τον Μάιο του 2018 υπεγράφη μνημόνιο συνεννόησης (ΜΣ) μεταξύ του ENISA, της CERT-ΕΕ, του Ευρωπαϊκού κέντρου για το κυβερνοέγκλημα (EC3) της Ευρωπόλ και του Ευρωπαϊκού Οργανισμού Άμυνας (ΕΟΑ). Το μνημόνιο εστίαζε σε πέντε τομείς συνεργασίας: ανταλλαγή πληροφοριών, εκπαίδευση και επιμόρφωση, ασκήσεις στον κυβερνοχώρο, τεχνική συνεργασία και θέματα στρατηγικής και διοικητικής φύσης. Αν και το συγκεκριμένο ΜΣ είχε τη δυναμική να συμβάλει στην αποφυγή επικαλύψεων προβλέποντας ένα κοινό πρόγραμμα εργασίας, δεν εντοπίσαμε στοιχεία που να αποδεικνύουν ότι έχει αποφέρει συγκεκριμένα αποτελέσματα και κοινές δράσεις.
52 Η πράξη για την κυβερνοασφάλεια, η οποία τέθηκε σε ισχύ τον Ιούνιο του 2019, προέβλεπε την υπογραφή νέας ειδικής συμφωνίας συνεργασίας μεταξύ της CERT-ΕΕ και του ENISA. Αξίζει να σημειωθεί ότι χρειάστηκε περισσότερο από ενάμισης χρόνος για την τελική υπογραφή του ΜΣ, η οποία έλαβε χώρα τον Φεβρουάριο του 2021. Αυτό που επιχειρείται με το εν λόγω μνημόνιο συνεννόησης είναι να καθιερωθεί διαρθρωμένη συνεργασία μεταξύ της CERT-ΕΕ και του ENISA. Το μνημόνιο καθορίζει τους τομείς συνεργασίας (ανάπτυξη ικανοτήτων, επιχειρησιακή συνεργασία, γνώση και πληροφόρηση) και προβλέπει μια κατά προσέγγιση κατανομή των ρόλων: η CERT-ΕΕ θα αναλάβει ηγετικό ρόλο όσον αφορά την παροχή βοήθειας στα EUIBA, με παράλληλη συνδρομή από τον ENISA. Το ΜΣ δεν καθορίζει τις πρακτικές ρυθμίσεις, οι οποίες τίθενται σε ετήσιο σχέδιο συνεργασίας. Το πρώτο ετήσιο σχέδιο συνεργασίας για το 2021 εγκρίθηκε από το διοικητικό συμβούλιο του ENISA τον Ιούλιο του 2021 και από το διοικητικό συμβούλιο της CERT-ΕΕ τον Σεπτέμβριο του 2021. Ως εκ τούτου, είναι πολύ νωρίς για να αξιολογήσουμε κατά πόσον το εν λόγω σχέδιο απέφερε απτά αποτελέσματα.
53 Δεδομένου ότι αμφότερα τα μνημόνια συνεννόησης που αναφέρονται στα σημεία 51 και 52 αναφέρουν κοινούς στόχους και τομείς συνεργασίας, όπως η επιμόρφωση, οι ασκήσεις ή η ανταλλαγή πληροφοριών, υπάρχει κίνδυνος αλληλεπικαλύψεων και πλεονασμών.
Δεν αξιοποιείται ακόμη πλήρως η δυνατότητα ανάπτυξης συνεργιών μέσω της συνεργασίας
Έχουν γίνει θετικά βήματα προς την επίτευξη συνεργιών
54 Τα προγράμματα εργασίας της επιτροπής ICTAC και της υποομάδας CSSG της επιτροπής ICDT προσδιορίζουν σχετικά θέματα με περιθώριο βελτίωσης της αποτελεσματικότητάς τους μέσω συνεργασίας. Πρακτικά παραδείγματα πρωτοβουλιών που επέτρεψαν στα EUIBA να επωφεληθούν από συνεργίες είναι μεταξύ άλλων:
- διοργανικές συμβάσεις-πλαίσιο·
- ένα κοινό κέντρο αποκατάστασης σε περίπτωση καταστροφής που φιλοξενείται από το 2019 από το Γραφείο Διανοητικής Ιδιοκτησίας της Ευρωπαϊκής Ένωσης (EUIPO) για τους αποκεντρωμένους οργανισμούς, το οποίο εξασφαλίζει εξοικονόμηση κόστους τουλάχιστον 20 % σε σύγκριση με τις τιμές της αγοράς (εννέα οργανισμοί έχουν υιοθετήσει αυτή τη λύση αποκατάστασης μετά από καταστροφή)·
- συμφωνίες μεταξύ έξι κοινών επιχειρήσεων που είναι εγκατεστημένες στο ίδιο κτίριο να χρησιμοποιούν κοινή υποδομή και κοινό πλαίσιο ασφάλειας ΤΠ (από το 2014).
55 Ακόμη ένα σημαντικό παράδειγμα είναι το «GovSec», ένα σύστημα που βοηθά τα EUIBA να διενεργούν εκτιμήσεις κινδύνου πριν από την υιοθέτηση λύσεων υπολογιστικού νέφους. Σύμφωνα με την έρευνά μας, το 75 % των EUIBA χρησιμοποιούν ήδη ορισμένες δημόσιες πλατφόρμες υπολογιστικού νέφους, ενώ αρκετά από εκείνα που δεν χρησιμοποιούν τέτοιες πλατφόρμες σχεδιάζουν να μεταναστεύσουν στο υπολογιστικό νέφος. Από το 2019, η Επιτροπή ακολουθεί μια προσέγγιση υπέρ της προτεραιοποίησης του υπολογιστικού νέφους, η οποία προβλέπει την παροχή ασφαλών υβριδικών υπηρεσιών υπολογιστικού νέφους27. Η Επιτροπή ενεργεί επίσης ως διαμεσολαβητής υπολογιστικού νέφους για όλα τα EUIBA, στο πλαίσιο της σύμβασης-πλαισίου «Cloud II». Για τη διαχείριση των κινδύνων για την ασφάλεια και την προστασία των δεδομένων στις πλατφόρμες υπολογιστικού νέφους χρειάζονταν νέες δεξιότητες και διαφορετική προσέγγιση σε σύγκριση με τις παραδοσιακές επιτόπιες υποδομές ΤΠ. Η αποτελεσματική διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών στο υπολογιστικό νέφος αποτελεί κοινή πρόκληση των EUIBA, και το GovSec αποτελεί παράδειγμα μιας λύσης που μπορεί να ανταποκριθεί στις ανάγκες, αν όχι όλων, πολλών EUIBA.
Η συνεργασία και η ανταλλαγή πρακτικών μεταξύ των EUIBA εξακολουθούν να μην είναι οι βέλτιστες
56 Η ύπαρξη διοργανικών επιτροπών δεν οδηγεί αυτομάτως σε συνεργίες και τα EUIBA δεν ανταλλάσσουν πάντα βέλτιστες πρακτικές, εμπειρογνωσία, μεθοδολογίες και διδάγματα. Επιπλέον, εναπόκειται σε κάθε EUIBA να αποφασίσει το επίπεδο της συμμετοχής του στις εργασίες της CSSG της ICDT. Τα μέλη της CSSG της ICDT, παρότι παρίστανται στις συνεδριάσεις, μπορούν να συμβάλλουν μόνο στον βαθμό που το επιτρέπουν τα τακτικά καθήκοντά τους στο πλαίσιο των EUIBA, με αποτέλεσμα να είναι αργή η πρόοδος ως προς την υλοποίηση των δράσεων που συμφωνήθηκαν από ορισμένες ομάδες εργασίας.
57 Εντοπίσαμε συγκεκριμένους τομείς στους οποίους δεν προβλέπονται ρυθμίσεις για την ανταλλαγή εμπειριών και πρωτοβουλιών μεταξύ των EUIBA. Παραδείγματος χάριν, στο πλαίσιο της σύμβασης-πλαισίου «Δυνατότητα άμυνας δικτύου» (Network Defence Capability, NDC), τα EUIBA μπορούν να ζητήσουν την εκπόνηση μελέτης για την ενοποίηση των απαιτήσεων κυβερνοασφάλειας και την εξεύρεση λύσεων. Ωστόσο, δεν υπάρχει αποθετήριο με τις μελέτες που εκπονήθηκαν ή παραγγέλθηκαν από άλλα EUIBA και, ως εκ τούτου, τα EUIBA μπορούν να ζητήσουν την ίδια μελέτη περισσότερες φορές. Επιπλέον, τα EUIBA δεν γνωστοποιούν συστηματικά μεταξύ τους τις συμβατικές σχέσεις που συνάπτουν με συγκεκριμένους προμηθευτές ή μια συγκεκριμένη λύση λογισμικού που χρησιμοποιούν. Αυτό το έλλειμμα γνώσης μπορεί να οδηγήσει σε πρόσθετο κόστος και σε χαμένες ευκαιρίες συνεργιών.
58 Επίσης, τα EUIBA δεν ανταλλάσσουν συστηματικά πληροφορίες σχετικά με έργα κυβερνοασφάλειας που αναλαμβάνουν, ακόμη και στις περιπτώσεις που αυτές θα μπορούσαν να έχουν διοργανικό αντίκτυπο. Στην εντολή της CSSG της ICDT περιλαμβάνεται διάταξη που επιτρέπει στα EUIBA να ανταλλάσσουν πληροφορίες σχετικά με νέα έργα που ενδέχεται να επηρεάσουν την κυβερνοασφάλεια άλλων EUIBA ή/και την προστασία των πληροφοριών δικής τους προέλευσης. Ωστόσο, η CSSG της ICDT δεν ενημερώνεται τακτικά για τα εν λόγω έργα.
59 Κάθε φορά που συγκροτείται ένας νέος οργανισμός, αυτός καλείται να οικοδομήσει από το μηδέν την υποδομή ΤΠ και το σχετικό πλαίσιο ασφάλειας. Δεν υπάρχει «κατάλογος υπηρεσιών», εργαλειοθήκη ή σαφείς κατευθυντήριες γραμμές/απαιτήσεις για τους νέους οργανισμούς. Το αποτέλεσμα σημαντική ανομοιογένεια μεταξύ των περιβαλλόντων ΤΠ των EUIBA, εφόσον κάθε οργανισμός δύναται ελεύθερα να προμηθεύεται ανεξάρτητα το δικό του λογισμικό, υλικό, υποδομές και υπηρεσίες. Το ίδιο ισχύει και για το πλαίσιο ασφάλειας ΤΠ, στον βαθμό που δεν υπάρχουν κοινές απαιτήσεις και κοινά πρότυπα. Η κατάσταση αυτή οδηγεί σε πιθανή αλληλεπικάλυψη των προσπαθειών και σε αναποτελεσματική χρήση των πόρων της ΕΕ, ενώ η CERT-ΕΕ καλείται να παράσχει υποστήριξη υπό ολοένα πολυπλοκότερες συνθήκες.
Υπάρχουν πρακτικές ελλείψεις στην ανταλλαγή ευαίσθητων πληροφοριών
60 Ορισμένα EUIBA εξακολουθούν να μην διαθέτουν κατάλληλες λύσεις για την ανταλλαγή ευαίσθητων μη διαβαθμισμένων πληροφοριών. Εκείνα που διαθέτουν, έχουν γενικά υιοθετήσει τα δικά τους διαφορετικά προϊόντα και συστήματα, γεγονός που δημιουργεί πρόβλημα διαλειτουργικότητας. Κοινές ασφαλείς πλατφόρμες υπάρχουν μόνο για συγκεκριμένους σκοπούς, όπως οι πλατφόρμες που προσφέρει η CERT-ΕΕ σε όλα τα συστατικά όργανά της για την ανταλλαγή ευαίσθητων πληροφοριών σχετικά με περιστατικά, απειλές και τρωτά σημεία.
61 Παραδείγματος χάριν, πάνω από το 20 % των EUIBA δεν διαθέτουν υπηρεσία κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου. Όσα διαθέτουν, αντιμετωπίζουν συχνά προβλήματα διαλειτουργικότητας και τα πιστοποιητικά δεν αναγνωρίζονται αμοιβαία. Η ICTAC και η ICDT συζητούν επί σειρά ετών επιλογές για μια κλιμακούμενη και διαλειτουργική λύση, ενώ το 2018 δρομολογήθηκε ένα σχετικό πιλοτικό έργο. Ωστόσο, το ζήτημα αυτό δεν έχει ακόμη επιλυθεί.
62 Ακόμη ένα ζήτημα είναι η απουσία κοινών σημάνσεων για ευαίσθητες μη διαβαθμισμένες πληροφορίες. Οι σημάνσεις είναι κατηγοριοποιήσεις που υποδεικνύουν στους κατόχους πληροφοριών τις ειδικές απαιτήσεις προστασίας που προβλέπονται για τις πληροφορίες αυτές. Το γεγονός ότι οι σημάνσεις διαφέρουν μεταξύ των EUIBA περιπλέκει την ανταλλαγή και τον ορθό χειρισμό των πληροφοριών.
63 Το 2020 η πανδημία COVID-19 ανάγκασε τα EUIBA να υιοθετήσουν εργαλεία επικοινωνίας και βιντεοδιάσκεψης σε μεγάλη κλίμακα, προκειμένου να διασφαλιστεί η επιχειρησιακή τους συνέχεια. Εντοπίσαμε τουλάχιστον 15 διαφορετικές λύσεις λογισμικού βιντεοδιάσκεψης που χρησιμοποιούνται μεταξύ των EUIBA. Ακόμη και όταν διαφορετικά EUIBA χρησιμοποιούν την ίδια λύση/πλατφόρμα, εξακολουθεί να υπάρχει έλλειμμα διαλειτουργικότητας ακόμη και στις περιπτώσεις που όλοι χρησιμοποιούν την ίδια λύση λογισμικού. Επιπλέον, μεταξύ των EUIBA διέφεραν και οι κατευθυντήριες γραμμές σχετικά με το ποιες πληροφορίες (όσον αφορά τον ευαίσθητο χαρακτήρα τους) θα μπορούσαν να ανταλλάσσονται ή να συζητούνται σε μια δεδομένη πλατφόρμα. Τα ζητήματα αυτά οδηγούν σε οικονομικές και επιχειρησιακές ανεπάρκειες και μπορεί να προκαλέσουν δυνητικά προβλήματα ασφάλειας.
Ο ENISA και η CERT-ΕΕ δεν έχουν μέχρι στιγμής παράσχει στα EUIBA όλη την υποστήριξη που αυτά χρειάζονται
64 Για τους σκοπούς της παρούσας ενότητας εξετάσαμε τις δύο κύριες οντότητες που είναι επιφορτισμένες με τη στήριξη των EUIBA στον τομέα της κυβερνοασφάλειας: τον ENISA και τη CERT-ΕΕ. Αξιολογούμε κατά πόσον η υποστήριξη που παρέχεται από τις δύο αυτές οντότητες έχει εξαργυρωθεί από τα EUIBA και ανταποκρίνεται στις ανάγκες τους, επισημαίνοντας παράλληλα τους λόγους στους οποίους οφείλονται οι ελλείψεις που εντοπίστηκαν.
Ο ENISA αποτελεί βασικό παράγοντα στο τοπίο της κυβερνοασφάλειας στην ΕΕ, αλλά μέχρι στιγμής είναι πολύ λίγα τα EUIBA που έχουν εξαργυρώσει την υποστήριξη αυτή
65 Τον Ιούνιο του 2019, τέθηκε σε ισχύ η πράξη για την κυβερνοασφάλεια28, η οποία αντικατέστησε την προηγούμενη νομική βάση29 του ENISA και τον επιφόρτισε με ισχυρότερη εντολή. Ειδικότερα, προβλέπει ότι ο ENISA πρέπει να στηρίζει ενεργά τόσο τα κράτη μέλη όσο και τα EUIBA για τη βελτίωση της κυβερνοασφάλειας μέσω της ανάπτυξης ικανοτήτων, της ενίσχυσης της επιχειρησιακής συνεργασίας και της δημιουργίας συνεργιών. Στον τομέα της ανάπτυξης ικανοτήτων, ο ENISA έχει πλέον εντολή να υποστηρίζει τα EUIBA «στις προσπάθειές τους να βελτιώσουν την ικανότητα πρόληψης, εντοπισμού και ανάλυσης κυβερνοαπειλών και συμβάντων (…), ιδίως με την κατάλληλη υποστήριξη της CERT-ΕΕ»30. Ο ENISA θα πρέπει επίσης να επικουρεί τα θεσμικά όργανα της ΕΕ στην ανάπτυξη και την επανεξέταση των ενωσιακών στρατηγικών για την κυβερνοασφάλεια, προάγοντας τη διάδοσή τους και παρακολουθώντας την πρόοδο της εφαρμογής τους.
66 Μολονότι η πράξη για την κυβερνοασφάλεια αναφέρει σαφώς ότι ο ENISA πρέπει να στηρίζει τα EUIBA όσον αφορά τη βελτίωση της κυβερνοασφάλειας, ο εν λόγω οργανισμός δεν έχει ακόμη ολοκληρώσει κάποιο σχέδιο δράσης σε σχέση με τον στόχο του για παροχή συνδρομής στα EUIBA (βλέπε πλαίσιο 3 για λεπτομέρειες).
Μη ικανοποιητική η ευθυγράμμιση μεταξύ του στόχου και των εκροών του ENISA σε σχέση με τα EUIBA
Ορισμένες από τις τριετείς προτεραιότητες του ENISA που απαριθμούνται στο πολυετές πρόγραμμα εργασίας 2018‑2020 στο πλαίσιο του στόχου 3.2 «Παροχή βοήθειας για την ανάπτυξη ικανοτήτων των θεσμικών οργάνων της ΕΕ» είναι οι εξής:
- Παροχή προδραστικών συμβουλών στα θεσμικά όργανα της Ένωσης σχετικά με την ενίσχυση της ασφάλειας δικτύων και πληροφοριών (ΑΔΠ) τους [προσδιορισμός προτεραιοτήτων για τους οργανισμούς και τα όργανα της ΕΕ με τις μεγαλύτερες ανάγκες ανάπτυξης ικανοτήτων ΑΔΠ μέσω της καθιέρωσης τακτικών αλληλεπιδράσεων με αυτά (π.χ. ετήσια εργαστήρια) και εστίαση σε αυτές τις προτεραιότητες]·
- Συνδρομή και διευκόλυνση των θεσμικών οργάνων της ΕΕ σε σχέση με προσεγγίσεις για την ΑΔΠ (ανάπτυξη συμπράξεων με τη CERT-ΕΕ και με θεσμικά όργανα με ισχυρές ικανότητες ΑΔΠ με σκοπό τη στήριξη των δράσεών του στο πλαίσιο αυτού του στόχου).
Στα προγράμματα εργασίας του ENISA για το 2018, το 2019 και το 2020, προβλέπονται μόνο δύο επιχειρησιακοί στόχοι (εκροές) στο πλαίσιο του στόχου 3.2:
- Συμμετοχή στο διοικητικό συμβούλιο της CERT-ΕΕ και εκπροσώπηση των οργανισμών της ΕΕ που χρησιμοποιούν την υπηρεσία CERT-ΕΕ.
- Συνεργασία με αρμόδια όργανα της ΕΕ για πρωτοβουλίες που καλύπτουν τη διάσταση ΑΔΠ που σχετίζεται με τις αποστολές τους (συμπεριλαμβανομένων των EASA, CERT-ΕΕ, ΕΟΑ, EC3).
Οι επιχειρησιακοί στόχοι δεν περιλαμβάνουν καμία δραστηριότητα που να σχετίζεται με την παροχή προδραστικών συμβουλών. Επιπλέον, ο στόχος περί προσδιορισμού προτεραιοτήτων για τους οργανισμούς με τις μεγαλύτερες ανάγκες δεν αποτυπώθηκε σε επιχειρησιακές εκροές, καθώς αντικαταστάθηκε από τον στόχο της συνεργασίας με τους οργανισμούς για την εκπροσώπηση των αναγκών τους στο διοικητικό συμβούλιο της CERT-ΕΕ.
67 Το κύριο όργανο λήψης αποφάσεων του ENISA είναι το διοικητικό του συμβούλιο, το οποίο απαρτίζεται από ένα μέλος που ορίζεται από καθένα από τα 27 κράτη μέλη και δύο μέλη που ορίζονται από την Επιτροπή31 (βλέπε γράφημα 6). Κάθε μέλος διαθέτει μία ψήφο και οι αποφάσεις λαμβάνονται με πλειοψηφία32. Ως εκ τούτου, υπάρχει η δυνατότητα δράσεις που αφορούν τα κράτη μέλη να αναδεικνύονται υψηλότερα στις προτεραιότητες έναντι των δράσεων για τα EUIBA. Παραδείγματος χάριν, στο πρόγραμμα εργασίας του ENISA για το 2018, το διοικητικό συμβούλιο αποφάσισε, λόγω έλλειψης επαρκών πόρων, να δώσει προτεραιότητα σε ορισμένες δραστηριότητες και να αποσύρει τρεις, μία εκ των οποίων αφορούσε την υποστήριξη για την αξιολόγηση των υφιστάμενων πολιτικών/διαδικασιών/πρακτικών σχετικά με την ΑΔΠ εντός των θεσμικών οργάνων της ΕΕ. Με τη δραστηριότητα αυτή, ο ENISA θα είχε τη δυνατότητα να καταρτίσει επισκόπηση των πρακτικών των EUIBA και της ενδεικτικής ωριμότητάς τους στον τομέα της κυβερνοασφάλειας, η οποία θα αποτελούσε βάση για μελλοντικές στοχευμένες δράσεις.
68 Ως εκ τούτου, η φιλοδοξία του ENISA να παρέχει προδραστική συνδρομή στα EUIBA, όπως αυτή εκφράζεται στους στρατηγικούς στόχους του, δεν έχει μετουσιωθεί σε επιχειρησιακούς στόχους ή συγκεκριμένες δράσεις. Η υποστήριξη στους τομείς της ανάπτυξης ικανοτήτων και της επιχειρησιακής συνεργασίας ήταν μέχρι στιγμής περιορισμένη και παρέχεται, κατόπιν αιτήματος, σε ορισμένα συγκεκριμένα EUIBA.
69 Η πράξη για την κυβερνοασφάλεια ορίζει επίσης ότι, προκειμένου ο ENISA να συνεπικουρεί τα EUIBA στην ανάπτυξη ικανοτήτων, πρέπει να παρέχει κατάλληλη υποστήριξη στη CERT-ΕΕ. Κατά τον χρόνο του ελέγχου, η στήριξη αυτή περιοριζόταν σε ορισμένες ειδικές δράσεις. Παραδείγματος χάριν, το 2019 ο ENISA διενήργησε αξιολόγηση της CERT-ΕΕ από ομοτίμους, στο πλαίσιο της συμμετοχής του στο δίκτυο CSIRT της ΕΕ (το οποίο συστάθηκε με την οδηγία NIS).
70 Σύμφωνα με τις απαντήσεις στην έρευνά μας, ο ENISA δημοσιεύει εκθέσεις και κατευθυντήριες γραμμές υψηλής ποιότητας σχετικά με την κυβερνοασφάλεια, ορισμένες από τις οποίες χρησιμοποιούνται από τα EUIBA. Ωστόσο, δεν υπάρχουν κατευθυντήριες γραμμές που να στοχεύουν ειδικά στα EUIBA, στο ιδιαίτερο περιβάλλον τους και στις ανάγκες τους. Τα EUIBA, ιδίως εκείνα που είναι λιγότερο προηγμένα στον τομέα της κυβερνοασφάλειας, χρειάζονται πρακτική καθοδήγηση όχι μόνο σχετικά με το «τι» πρέπει να κάνουν, αλλά και με το «πώς» να το κάνουν. Μέχρι σήμερα, η υποστήριξη που παρέχουν συναφώς ο ENISA και η CERT-ΕΕ έχει υπάρξει περιορισμένη και μη συστηματική.
71 Ο ENISA διοργάνωσε σειρά επιμορφωτικών μαθημάτων σχετικά με την κυβερνοασφάλεια, τα οποία απευθύνονταν κυρίως στις αρχές των κρατών μελών, αλλά τα παρακολούθησε και περιορισμένος αριθμός συμμετεχόντων από τα EUIBA. Προσέφερε μόνο δύο μαθήματα αυτοδιδασκαλίας ειδικά στοχευμένα στα EUIBA. Ο ENISA προσφέρει ακόμη διαδικτυακό εκπαιδευτικό υλικό στον ιστότοπό του, στο οποίο μπορούν να έχουν πρόσβαση τα EUIBA, αλλά μέχρι σήμερα επρόκειτο κυρίως για μαθήματα για τεχνικούς εμπειρογνώμονες της CSIRT και, ως εκ τούτου, όχι ιδιαίτερα χρήσιμα για τα περισσότερα EUIBA.
72 Εκτός από την επιμόρφωση, ο ENISA μπορεί να υποστηρίζει τα EUIBA μέσω ασκήσεων κυβερνοασφάλειας. Τον Οκτώβριο του 2020, σε συνεργασία με τη CERT-ΕΕ, ο ENISA συνέβαλε στη διεξαγωγή άσκησης κυβερνοασφάλειας για την ICTAC, η οποία είναι η μόνη άσκηση που διοργάνωσε ο Οργανισμός ειδικά για συμμετέχοντες από τα EUIBA. Εκτός αυτού, έχει συμβάλει στη διοργάνωση μιας σειράς ασκήσεων κατόπιν αιτήματος ορισμένων EUIBA (π.χ. EU-LISA, EMSA, Ευρωπαϊκό Κοινοβούλιο και Ευρωπόλ), απευθυνόμενων κυρίως σε ενδιαφερόμενους από τις αρχές των κρατών μελών, στις οποίες συμμετείχαν και ορισμένοι υπάλληλοι των EUIBA.
73 Η πράξη για την κυβερνοασφάλεια εισήγαγε επίσης έναν νέο ρόλο για τον ENISA ο οποίος αφορά την παροχή συνδρομής στα EUIBA σχετικά με τις πολιτικές τους για τη δημοσιοποίηση τρωτών σημείων, σε προαιρετική βάση. Ωστόσο, ο ENISA εξακολουθεί να μην έχει σφαιρική εικόνα των επιμέρους πολιτικών δημοσιοποίησης τρωτών σημείων των EUIBA, ούτε τα βοηθά στην εκπόνηση και την εφαρμογή τους.
Η CERT-ΕΕ χαίρει ιδιαίτερης εκτίμησης από τα συστατικά της όργανα, αλλά τα μέσα που διαθέτει δεν είναι ανάλογα με τις τρέχουσες προκλήσεις στον τομέα της κυβερνοασφάλειας
74 Μετά από σειρά πρωτοβουλιών (βλέπε γράφημα 7), τον Σεπτέμβριο του 2012 η Επιτροπή συγκρότησε, βάσει απόφασης33, την ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT-ΕΕ) ως μόνιμη ειδική ομάδα για τα EUIBA (βλέπε σημείο 08).
75 Αν και ανεξάρτητη στις επιχειρήσεις της, η CERT-ΕΕ παραμένει ειδική ομάδα, χωρίς νομική προσωπικότητα. Υπάγεται διοικητικά στην Ευρωπαϊκή Επιτροπή (ΓΔ DIGIT), από την οποία λαμβάνει υλικοτεχνική και διοικητική υποστήριξη. Στόχος της είναι να καταστήσει ασφαλέστερη την υποδομή ΤΠΕ των EUIBA, ενισχύοντας την ικανότητά τους να αντιμετωπίζουν απειλές και τρωτά σημεία στον κυβερνοχώρο και να προλαμβάνουν, να εντοπίζουν και να αντιμετωπίζουν κυβερνοεπιθέσεις. Διαθέτει περίπου 40 υπαλλήλους κατανεμημένους σε ομάδες ειδικών που επικεντρώνονται, παραδείγματος χάριν, στις πληροφορίες σχετικά με τις απειλές στον κυβερνοχώρο, την ψηφιακή εγκληματολογία και την αντιμετώπιση περιστατικών.
Η CERT-ΕΕ είναι ένας εταίρος που χαίρει εκτίμησης και έχει αυξανόμενο φόρτο εργασίας
76 Η CERT-ΕΕ ζητεί αναπληροφόρηση και προτάσεις από τα συστατικά της όργανα στο πλαίσιο τριμηνιαίων ημερίδων και ετήσιων διμερών συναντήσεων και ερευνών ικανοποίησης. Σύμφωνα με τις έρευνες ικανοποίησης και τη δική μας έρευνα, τα συστατικά όργανα είναι σε μεγάλο βαθμό ικανοποιημένα με τις υπηρεσίες που παρέχει η CERT-ΕΕ. Η προσπάθεια της CERT-ΕΕ να προσαρμοστεί στις ανάγκες των EUIBA επιβεβαιώνεται και από το πώς έχει εξελιχθεί ο κατάλογος των παρεχόμενων υπηρεσιών της.
77 Ενώ τα μεγάλα EUIBA, με σημαντική εσωτερική ικανότητα, τείνουν να χρησιμοποιούν τη CERT-ΕΕ κυρίως ως κόμβο ανταλλαγής πληροφοριών και πηγή πληροφοριών σχετικά με απειλές, τα μικρότερα EUIBA βασίζονται στη CERT-ΕΕ για ένα ευρύτερο φάσμα υπηρεσιών, όπως η τήρηση αρχείων παρακολούθησης, οι δοκιμές παρείσδυσης, οι ασκήσεις «κόκκινης ομάδας» και η υποστήριξη για την αντιμετώπιση περιστατικών. Οι υπηρεσίες της CERT-ΕΕ είναι ιδιαίτερα πολύτιμες για τα μικρότερα EUIBA, λόγω της περιορισμένης εσωτερικής εμπειρογνωσίας τους και της έλλειψης οικονομιών κλίμακας (βλέπε σημεία 31 και 33).
78 Η CERT-ΕΕ έχει ενισχύσει τις ικανότητες και τις διαδικασίες της τα τελευταία χρόνια, λαμβανομένης υπόψη της δραματικής αύξησης των απειλών και των περιστατικών. Ο αριθμός των προϊόντων πληροφόρησης CERT-ΕΕ, ιδίως των προειδοποιήσεων και των υπομνημάτων για απειλές αυξάνεται συνεχώς (γράφημα 8). Το 2020 η CERT-ΕΕ εξέδωσε 171 υπομνήματα απειλής και 53 προειδοποιήσεις απειλής (πλήθος σημαντικά υψηλότερο από τα 80 υπομνήματα και τις 40 προειδοποιήσεις που αναμενόταν αρχικά να εκδώσει).
79 Η CERT-ΕΕ υποστηρίζει επίσης τα EUIBA όσον αφορά τον χειρισμό κυβερνοπεριστατικών. Ενώ το 52 % των EUIBA διαθέτουν εσωτερική ομάδα αντιμετώπισης ή τουλάχιστον έναν συντονιστή περιστατικών, το υπόλοιπο 48 % βασίζεται στη CERT-ΕΕ ή/και σε άλλους εξωτερικούς παρόχους σε περίπτωση που προκύψει κάποιο περιστατικό. Ωστόσο, ακόμη και μεγάλα EUIBA με εσωτερική ικανότητα αντιμετώπισης ενδέχεται να ζητήσουν στήριξη από τη CERT-ΕΕ για την αντιμετώπιση πολύπλοκων περιστατικών.
80 Ο συνολικός αριθμός των περιστατικών που χειρίστηκε η CERT-ΕΕ αυξήθηκε από 561 το 2019 σε 884 το 2020. Ειδικότερα, τα σημαντικά περιστατικά αυξήθηκαν από μόλις 1 το 2018 σε 13 το 2020. Το 2021, ο αριθμός των σημαντικών περιστατικών ανήλθε σε 17, σημειώνοντας αύξηση από 13 το 2020, το οποίο ήταν μάλιστα έτος-ρεκόρ. Γενικά, τα σημαντικά περιστατικά προξενούνται από εξαιρετικά εξελιγμένες απειλές. Μπορεί να πλήξουν πολλά EUIBA, να απαιτούν την εμπλοκή των αρχών και συνήθως τα πληττόμενα μέρη και η CERT-ΕΕ χρειάζονται εβδομάδες έως μήνες εργασιών προκειμένου να τα διερευνήσουν και να τα εξαλείψουν.
81 Η CERT-ΕΕ είναι επίσης ο κύριος πάροχος προδραστικών αξιολογήσεων και δοκιμών των συστημάτων κυβερνοάμυνας των EUIBA. Στο γράφημα 9 κατωτέρω παρουσιάζονται συνοπτικά οι δραστηριότητες της CERT-ΕΕ στον τομέα αυτό. Επιπλέον, από το 2020, η CERT-ΕΕ διενεργεί επίσης εξωτερικές σαρώσεις δικτύου.
Τα συστατικά όργανα δεν ανταλλάσσουν εγκαίρως σχετικές πληροφορίες με τη CERT-ΕΕ
82 Ο διοργανικός διακανονισμός34 ορίζει ότι τα συστατικά όργανα πρέπει να ενημερώνουν τη CERT-ΕΕ για σημαντικά περιστατικά κυβερνοασφάλειας. Εντούτοις, αυτό δεν συμβαίνει πάντοτε στην πράξη. Ο διοργανικός διακανονισμός δεν προβλέπει μηχανισμό για την επιβολή της υποχρεωτικής και έγκαιρης αναφοράς «σημαντικών» περιστατικών από τα συστατικά όργανα της CERT-ΕΕ. Σύμφωνα με τον ορισμό των «σημαντικών περιστατικών», όπως αυτός παρατίθεται γενικόλογα στον διοργανικό διακανονισμό, η αναφορά ενός περιστατικού επαφίεται στη διακριτική ευχέρεια των EUIBA. Σύμφωνα με τη διοίκηση της CERT-ΕΕ, ορισμένα συστατικά όργανα δεν είχαν ανταλλάξει εγκαίρως πληροφορίες σχετικά με σημαντικά περιστατικά, παρακωλύοντας τον ρόλο της CERT-ΕΕ ως κόμβου συντονισμού για την ανταλλαγή πληροφοριών και την αντιμετώπιση περιστατικών στον τομέα της κυβερνοασφάλειας για όλα τα EUIBA. Παραδείγματος χάριν, ένα συστατικό όργανο που αντιμετώπιζε μια πολύ εξελιγμένη απειλή δεν ενημέρωσε τη CERT-ΕΕ, ούτε ζήτησε την υποστήριξή της. Δεν δόθηκε έτσι η δυνατότητα στη CERT-ΕΕ να συλλέξει πληροφορίες σχετικά με κυβερνοαπειλές που θα ήταν χρήσιμες κατά την υποστήριξη άλλων οργάνων που αντιμετωπίζουν την ίδια απειλή. Από την επίθεση αυτή επλήγησαν τουλάχιστον έξι EUIBA.
83 Επίσης, τα συστατικά όργανα δεν ανταλλάσσουν ενεργά επίκαιρες πληροφορίες με τη CERT-ΕΕ σχετικά με τις απειλές κατά της κυβερνοασφάλειας και τα τρωτά σημεία που τα θέτουν σε κίνδυνο, παρά το γεγονός ότι έχουν τέτοια υποχρέωση βάσει του διοργανικού διακανονισμού35. Στην ομάδα αντιμετώπισης ψηφιακών εγκληματολογικών ερευνών και περιστατικών της CERT-ΕΕ δεν έχει περιέλθει οποιαδήποτε κοινοποίηση σχετικά με τρωτά σημεία ή ελλείψεις στις δικλίδες που ανακαλύφθηκαν εκτός του πλαισίου των περιστατικών που διερευνά ενεργά. Τα συστατικά όργανα δεν ανταλλάσσουν προδραστικά σχετικές διαπιστώσεις από εσωτερικούς ή εξωτερικούς ελέγχους ασφάλειας.
84 Επιπλέον, βάσει του διοργανικού διακανονισμού τα EUIBA δεν υποχρεούνται να αναφέρουν στη CERT-ΕΕ σημαντικές αλλαγές στο περιβάλλον ΤΠ τους, με αποτέλεσμα τα συστατικά όργανα να μην ενημερώνουν σε συστηματική βάση τη CERT-ΕΕ για τις σχετικές αλλαγές. Παραδείγματος χάριν, τα EUIBA δεν ενημερώνουν πάντοτε τη CERT-ΕΕ σχετικά με τυχόν αλλαγές στο εύρος διευθύνσεων IP τους (δηλαδή τον κατάλογο των διαδικτυακών διευθύνσεων της υποδομής τους). Η CERT-ΕΕ χρειάζεται επικαιροποιημένα εύρη διευθύνσεων IP προκειμένου, παραδείγματος χάριν, να διενεργεί σαρώσεις όταν ανακαλύπτονται σημαντικά τρωτά σημεία. Το γεγονός ότι τα EUIBA παραλείπουν να την ενημερώνουν σχετικά με τέτοιου είδους αλλαγές επηρεάζει την ικανότητά της να τα υποστηρίξει. Η παράλειψη ενημέρωσής επηρεάζει επίσης την ικανότητά της να παρακολουθεί τα συστήματα, ενώ επιβαρύνεται με πρόσθετο φόρτο για τη διόρθωση ανακριβών δεδομένων στα εργαλεία παρακολούθησης. Σύμφωνα με τη διοίκησή της, έχει τύχει κατά τον χειρισμό ενός περιστατικού η CERT-ΕΕ να ανακαλύψει μέχρι πρότινος άγνωστες υποδομές ΤΠ. Επιπλέον, πέραν ειδικών περιπτώσεων, δεν διαθέτει επί του παρόντος ολοκληρωμένη επισκόπηση των συστημάτων ΤΠ και των δικτύων της κοινότητας των EUIBA.
85 Ελλείψει οποιουδήποτε μηχανισμού επιβολής στον διοργανικό διακανονισμό, δεν πρόκειται να συστηματικοποιηθεί η πρακτική των κοινοποιήσεων από τα EUIBA προς τη CERT-ΕΕ –ένα βασικό στοιχείο για τη δημιουργία μιας κοινότητας EUIBA με ετοιμότητα στον κυβερνοχώρο και επίκεντρο τη CERT-ΕΕ.
Οι πόροι της CERT-ΕΕ είναι ασταθείς και δεν είναι ανάλογοι με το τρέχον επίπεδο απειλής
86 Στον διοργανικό διακανονισμό36 αναφέρεται ότι «θα πρέπει να παρασχεθεί στην CERT-ΕΕ βιώσιμη χρηματοδότηση και στελέχωση, διασφαλίζοντας την άριστη αξιοποίηση των πόρων και έναν επαρκή πυρήνα μόνιμου προσωπικού». Το σημαντικότερο πλεονέκτημα της CERT-ΕΕ είναι το ιδιαίτερα καταρτισμένο και εξειδικευμένο προσωπικό της. Στο γράφημα 10 παρουσιάζεται η μεταβολή των επιπέδων στελέχωσης της CERT-ΕΕ από την έναρξή της το 2011 έως σήμερα.
87 Πάνω από τα δύο τρίτα του προσωπικού της CERT-ΕΕ απασχολούνται με συμβάσεις έκτακτου υπαλλήλου. Ο μισθός τους δεν είναι πολύ ανταγωνιστικός στην αγορά των εμπειρογνωμόνων στον τομέα της κυβερνοασφάλειας και, σύμφωνα με τη διοίκηση της CERT-ΕΕ, η πρόσληψη και η διατήρησή τους καθίσταται ολοένα δυσκολότερη. Αφού οι μισθοί δεν είναι αρκετά ελκυστικοί για έμπειρους υποψηφίους, η CERT-ΕΕ αναγκάζεται να καταφεύγει στην πρόσληψη υπαλλήλων χωρίς ιδιαίτερη επαγγελματική πείρα και να επενδύει χρόνο στην επιμόρφωσή τους. Επιπλέον, οι συμβάσεις έχουν μέγιστη διάρκεια έξι ετών, κάτι που σημαίνει ότι η CERT-ΕΕ δεν έχει άλλη επιλογή από το να αποχωρίζεται τους συμβασιούχους υπαλλήλους τη στιγμή που αυτοί έχουν συγκεντρώσει τις απαιτούμενες γνώσεις. Η εναλλαγή προσωπικού ήταν ιδιαίτερα υψηλή το 2020: το 21 % του προσωπικού αποχώρησε από τη CERT-ΕΕ και δεν κατέστη δυνατή η κάλυψη όλων των αντίστοιχων θέσεων με νέες προσλήψεις. Όσον αφορά τα προηγούμενα δύο έτη, το 2019 αποχώρησε το 9 % των υπαλλήλων και το 2018 το 13 %.
88 Η διοίκηση της CERT-ΕΕ υπογράμμισε ότι, επί του παρόντος, η ομάδα αντιμετώπισης ψηφιακών εγκληματολογικών ερευνών και περιστατικών της CERT-ΕΕ είναι ήδη βεβαρημένη και ότι οι άλλες ομάδες της δεν μπορούν να ανταποκριθούν στη ζήτηση. Ως εκ τούτου, η CERT-ΕΕ αναγκάστηκε να μειώσει τις δραστηριότητές της. Παραδείγματος χάριν, δεν διενεργεί επί του παρόντος αξιολογήσεις ωριμότητας των συστατικών οργάνων της, λόγω έλλειψης πόρων. Η υπηρεσία της «προειδοποιήσεις για ύποπτες δραστηριότητες» τέθηκε σε λειτουργία αργότερα από ό,τι αναμενόταν, και πάλι λόγω έλλειψης πόρων. Επιπλέον, αρκετά από τα συστατικά όργανα με τα οποία συνομιλήσαμε σχολίασαν το μεγάλο χρονικό διάστημα που χρειάστηκε να περιμένουν μέχρι να τους δοθεί πρόσβαση στις υπηρεσίες της CERT-ΕΕ.
89 Μέχρι στιγμής, οι περιορισμένοι πόροι έχουν αναγκάσει τη CERT-ΕΕ να επικεντρωθεί ιδίως στην προστασία των συμβατικών επιτόπιων υποδομών ΤΠ από μείζονες απειλές από ομάδες (έχουσες κατά κανόνα κρατική υποστήριξη), οι οποίες συνιστούν προηγμένες συνεχείς απειλές. Ωστόσο, σύμφωνα με τη διοίκησή της, η διευρυμένη περίμετρος ΤΠ των EUIBA (που περιλαμβάνει πλέον το υπολογιστικό νέφος, τις κινητές συσκευές και τα εργαλεία τηλεργασίας) χρήζει ενισχυμένης παρακολούθησης και προστασίας, ενώ οι απειλές σε χαμηλότερα επίπεδα (όπως το κυβερνοέγκλημα και το λυτρισμικό) απαιτούν επίσης μεγαλύτερη προσοχή.
90 Στον διοργανικό διακανονισμό δεν προβλέπεται η εξασφάλιση επιχειρησιακής ετοιμότητας της CERT-ΕΕ καθημερινά, όλο το εικοσιτετράωρο, επτά ημέρες την εβδομάδα. Η CERT-ΕΕ δεν διαθέτει επί του παρόντος ούτε τους πόρους ούτε το κατάλληλο πλαίσιο διαχείρισης ανθρώπινων πόρων ώστε να λειτουργεί πέραν του τυπικού ωραρίου εργασίας σε μόνιμη και διαρθρωμένη βάση, παρά το γεγονός ότι οι κυβερνοεπιθέσεις δεν συμπίπτουν χρονικά με το ωράριο αυτό. Όσον αφορά τα ίδια τα EUIBA, μόνο 35 από τα 65 EUIBA που συμμετείχαν στην έρευνα διαθέτουν υπάλληλο ΤΠ που είναι προσβάσιμος εκτός ωρών εργασίας.
91 Για τη χρηματοδότηση των επιχειρήσεων της CERT-ΕΕ, το διοικητικό συμβούλιο ενέκρινε το 2012 ένα υπόδειγμα συμφωνίας επιπέδου εξυπηρέτησης (ΣΕΥ). Όλα τα συστατικά όργανα λαμβάνουν βασικές υπηρεσίες δωρεάν και μπορούν να πληρώσουν για την απόκτηση διευρυμένων υπηρεσιών, υπογράφοντας συμφωνία επιπέδου εξυπηρέτησης. Ο προϋπολογισμός της CERT-ΕΕ για το 2020 ανήλθε σε 3 745 000 ευρώ, εκ των οποίων το 6 % χρηματοδοτήθηκε από τον προϋπολογισμό της ΕΕ και το 94 % από ΣΕΥ. Ωστόσο, τα συστατικά όργανα χαρακτηρίζονται από μεγάλη ετερογένεια: ορισμένα έχουν ώριμες απαιτήσεις ασφάλειας ΤΠ, ενώ άλλα έχουν περιορισμένους προϋπολογισμούς ΤΠ και πολύ χαμηλό επίπεδο ωριμότητας στον τομέα της κυβερνοασφάλειας. Ως εκ τούτου, στο πλαίσιο των διαπραγματεύσεων για τις ΣΕΥ, ορισμένα EUIBA προβάλλουν υψηλές απαιτήσεις ασφάλειας, ενώ άλλα δείχνουν σχετικά απρόθυμα ή ανίκανα να συνεισφέρουν.
92 Επιπλέον, κάθε ΣΕΥ πρέπει να ανανεώνεται ετησίως, κάτι που, εκτός από τον διοικητικό φόρτο που συνεπιφέρει, δημιουργεί επίσης προβλήματα ταμειακής ρευστότητας, δεδομένου ότι η CERT-ΕΕ δεν λαμβάνει μονομιάς όλους τους χρηματοδοτικούς πόρους που εισπράττονται από τις συναφθείσες ΣΕΥ. Επιπλέον, οι οργανισμοί μπορούν να καταγγείλουν τις ΣΕΥ ανά πάσα στιγμή. Υπάρχει έτσι ο κίνδυνος να ξεκινήσει ένας φαύλος κύκλος όπου, λόγω της απώλειας εσόδων, η CERT-ΕΕ θα χρειάζεται να περιστείλει τις υπηρεσίες της και δεν θα μπορεί να ανταποκριθεί στη ζήτηση, ωθώντας με τη σειρά της άλλα EUIBA να καταγγείλουν τις ΣΕΥ τους και να μεταφερθούν σε ιδιωτικούς παρόχους. Υπό το πρίσμα των ανωτέρω, το τρέχον μοντέλο χρηματοδότησης δεν είναι ιδανικό για τη διασφάλιση ενός σταθερού και βέλτιστου επιπέδου εξυπηρέτησης.
93 Αντιμέτωπο με ένα ταχέως εξελισσόμενο τοπίο απειλών για την κυβερνοασφάλεια (βλέπε σημεία 06 και 80), το διοικητικό συμβούλιο της CERT-ΕΕ, κατά τη συνεδρίασή του της 19ης Φεβρουαρίου 2020, ενέκρινε στρατηγική πρόταση για τη διεύρυνση των υπηρεσιών κυβερνοασφάλειας της CERT-ΕΕ και την ανάπτυξη «πλήρους επιχειρησιακής δυνατότητας». Η πρόταση συνοδευόταν από ανάλυση των αναγκών της CERT-ΕΕ για προσωπικό και χρηματοδότηση. Η ανάλυση αυτή κατέληξε στο συμπέρασμα ότι η CERT-ΕΕ θα χρειαστεί 14 πρόσθετες θέσεις μόνιμων διοικητικών υπαλλήλων, οι οποίες θα προστεθούν σταδιακά κατά την περίοδο 2021‑2023. Στη συνέχεια, θα λειτουργεί με πλήρη ικανότητα από το 2023 και μετά. Σύμφωνα με την πρόταση αυτή, όσον αφορά τη χρηματοδότηση, η CERT-ΕΕ θα πρέπει να αυξήσει τον προϋπολογισμό της κατά 7,6 εκατομμύρια ευρώ την περίοδο 2021‑2023, ώστε, μέχρι το 2024, να διαθέτει 11,3 εκατομμύρια ευρώ.
94 Ωστόσο, παρά την έγκριση της στρατηγικής πρότασης σχετικά με την παροχή πρόσθετων πόρων για τη CERT-ΕΕ, τα EUIBA δεν έχουν ακόμη καταλήξει σε συμφωνία σχετικά με τις πρακτικές λεπτομέρειες, πρώτον για την ενδιάμεση περίοδο 2021‑2023 και, δεύτερον, σε μακροπρόθεσμο ορίζοντα, μετά την έναρξη ισχύος του μελλοντικού κανονισμού για την κυβερνοασφάλεια (βλέπε σημείο 12).
Συμπεράσματα και συστάσεις
95 Καταλήγουμε στο συμπέρασμα ότι η κοινότητα των θεσμικών και λοιπών οργάνων και οργανισμών της ΕΕ (EUIBA) δεν έχει καταφέρει να εξασφαλίσει ένα επίπεδο ετοιμότητας ανάλογο με τις απειλές. Από τις εργασίες μας προκύπτει ότι τα EUIBA διακρίνονται από διαφορετικά επίπεδα ωριμότητας στον τομέα της κυβερνοασφάλειας και, δεδομένου ότι συχνά διασυνδέονται τόσο μεταξύ τους όσο και με δημόσιους και ιδιωτικούς οργανισμούς στα κράτη μέλη, οι αδυναμίες ενός EUIBA μπορούν να εκθέσουν σε κυβερνοαπειλές σειρά άλλων οργανισμών.
96 Διαπιστώσαμε ότι δεν υλοποιούνταν πάντα καίριας σημασίας καλές πρακτικές στον τομέα της κυβερνοασφάλειας, περιλαμβανομένων ορισμένων ουσιωδών δικλίδων. Η άρτια διακυβέρνηση της κυβερνοασφάλειας είναι απαραίτητη για την ασφάλεια των πληροφοριών και των συστημάτων ΤΠ, αλλά δεν έχει ακόμη καθιερωθεί σε ορισμένα EUIBA: σε πολλές περιπτώσεις, δεν υπάρχουν στρατηγικές και σχέδια ασφάλειας ΤΠ ή δεν εγκρίνονται από την ανώτερη διοίκηση, οι πολιτικές ασφάλειας δεν έχουν περιβληθεί επίσημο τύπο και οι εκτιμήσεις κινδύνου δεν καλύπτουν ολόκληρο το περιβάλλον ΤΠ. Οι δαπάνες για την κυβερνοασφάλεια εμφανίζουν ανομοιογένεια, καθώς ορισμένα EUIBA σαφώς δαπανούν μη ικανοποιητικά ποσά σε σύγκριση με ομόλογα όργανα παρόμοιου μεγέθους (βλέπε σημεία 21-33 και 37-38).
97 Ως εκ τούτου, τα προγράμματα ενημέρωσης, ευαισθητοποίησης και επιμόρφωσης σε θέματα που αφορούν τον κυβερνοχώρο αποτελούν βασικό στοιχείο ενός αποτελεσματικού πλαισίου κυβερνοασφάλειας. Ωστόσο, μόνο το 29 % των EUIBA παρέχουν υποχρεωτική επιμόρφωση στον τομέα της κυβερνοασφάλειας για τα διοικητικά στελέχη που είναι υπεύθυνα για συστήματα ΤΠ στα οποία περιλαμβάνονται ευαίσθητες πληροφορίες, ενώ η παρεχόμενη επιμόρφωση συχνά έχει ανεπίσημη μορφή. Την τελευταία πενταετία, το 55 % των EUIBA είχαν διοργανώσει μία ή περισσότερες προσομοιωμένες εκστρατείες ηλεκτρονικού «ψαρέματος» (ή παρόμοιες ασκήσεις). Οι ασκήσεις ηλεκτρονικού «ψαρέματος», παρά το γεγονός ότι αποτελούν σημαντικό εργαλείο για την επιμόρφωση και την ευαισθητοποίηση του προσωπικού, δεν χρησιμοποιούνται συστηματικά από όλα τα EUIBA (βλέπε σημεία 34-36). Επιπλέον, η κυβερνοασφάλεια δεν αποτελεί τακτικά αντικείμενο ανεξάρτητης διασφάλισης σε όλα τα EUIBA (βλέπε σημεία 39-44).
98 Η CERT-ΕΕ χαίρει μεγάλης εκτίμησης από τις υπηρεσίες των EUIBA, αλλά η ικανότητά της είναι ήδη βεβαρημένη. Ο φόρτος εργασίας της, όσον αφορά τις πληροφορίες σχετικά με τις απειλές και τον χειρισμό περιστατικών, αυξάνεται με ταχείς ρυθμούς από το 2018. Τα σημαντικά περιστατικά κυβερνοασφάλειας έχουν υπερδεκαπλασιαστεί. Ταυτόχρονα, τα EUIBA δεν ανταλλάσσουν πάντοτε επίκαιρες πληροφορίες σχετικά με σημαντικά περιστατικά, τρωτά σημεία και σημαντικές αλλαγές που επέρχονται στην υποδομή ΤΠ τους. Αυτό αποτελεί πρόσκομμα στην αποτελεσματικότητα της CERT-ΕΕ, καθώς δεν της επιτρέπει να προειδοποιεί άλλα EUIBA που ενδεχομένως να θίγονται και μπορεί να έχει ως αποτέλεσμα τον μη εντοπισμό σημαντικών περιστατικών. Επιπλέον, οι πόροι της CERT-ΕΕ χαρακτηρίζονται από αστάθεια και δεν είναι ανάλογοι με το τρέχον επίπεδο απειλής και τις ανάγκες των EUIBA. Το διοικητικό της συμβούλιο ενέκρινε το 2020 στρατηγική πρόταση για την παροχή των πρόσθετων πόρων που αυτή χρειάζεται, αλλά τα συστατικά όργανα δεν έχουν ακόμη καταλήξει σε συμφωνία σχετικά με τις πρακτικές λεπτομέρειες για την παροχή των εν λόγω πόρων. Ως εκ τούτου, το προσωπικό της δεν μπορεί να ανταποκριθεί στη ζήτηση και αναγκάζεται να μειώσει τις δραστηριότητές του (βλέπε σημεία 74-93).
Σύσταση 1 – Βελτίωση της ετοιμότητας όλων των EUIBA στον τομέα της κυβερνοασφάλειας μέσω κοινών δεσμευτικών κανόνων και ενισχυμένων πόρων για τη CERT-ΕΕ
Η Επιτροπή πρέπει να συμπεριλάβει τις ακόλουθες αρχές στην επικείμενη πρόταση κανονισμού για τη θέσπιση μέτρων με σκοπό την εξασφάλιση ενός υψηλού κοινού επιπέδου κυβερνοασφάλειας σε όλα τα EUIBA:
α) Η ανώτερη διοίκηση πρέπει να φέρει την ευθύνη για τη διακυβέρνηση της κυβερνοασφάλειας εγκρίνοντας στρατηγικές κυβερνοασφάλειας και βασικές πολιτικές ασφάλειας και διορίζοντας ανεξάρτητο υπεύθυνο ασφάλειας πληροφοριών (ή υπάλληλο αντίστοιχων καθηκόντων).
β) Τα EUIBA πρέπει να διαθέτουν πλαίσιο διαχείρισης κινδύνων για την ασφάλεια ΤΠ που να καλύπτει το σύνολο της υποδομής ΤΠ τους και να διενεργούν τακτικές εκτιμήσεις κινδύνου.
γ) Τα EUIBA πρέπει να παρέχουν συστηματική επιμόρφωση με σκοπό την ενημέρωση και ευαισθητοποίηση σε όλο το προσωπικό, συμπεριλαμβανομένης της διοίκησης.
δ) Τα EUIBA πρέπει να εξασφαλίζουν τη διενέργεια τακτικών ελέγχων και δοκιμών της κυβερνοάμυνας τους. Οι έλεγχοι πρέπει επίσης να καλύπτουν την επάρκεια των πόρων που διατίθενται για την κυβερνοασφάλεια.
ε) Τα EUIBA πρέπει να αναφέρουν πάραυτα στη CERT-ΕΕ σημαντικά περιστατικά κυβερνοασφάλειας και σχετικές αλλαγές και τρωτά σημεία όσον αφορά την υποδομή ΤΠ τους·
στ) Τα EUIBA πρέπει να αυξήσουν και να προσδιορίσουν στους προϋπολογισμούς τους τους πόρους που διαθέτουν στη CERT-ΕΕ σύμφωνα με τις ανάγκες που προσδιορίζονται στην εγκριθείσα από το διοικητικό της συμβούλιο στρατηγική πρόταση·
ζ) Ο κανονισμός πρέπει να περιλαμβάνει διατάξεις για τον διορισμό μιας οντότητας, η οποία θα εκπροσωπεί όλα τα EUIBA και θα είναι εξοπλισμένη με την κατάλληλη εντολή και τα κατάλληλα μέσα για την παρακολούθηση της συμμόρφωσης όλων των EUIBA με τους κοινούς κανόνες για την κυβερνοασφάλεια και για την έκδοση κατευθυντήριων γραμμών, συστάσεων και προσκλήσεων για ανάληψη δράσης.
Ημερομηνία-στόχος για την υλοποίηση της σύστασης: 1ο τρίμηνο του 2023
99 Μολονότι τα EUIBA έχουν δημιουργήσει μηχανισμούς για τη συνεργασία στον τομέα της κυβερνοασφάλειας, διαπιστώσαμε ότι οι δυνητικές συνεργίες δεν αξιοποιούνται πλήρως. Υπάρχει μια τυποποιημένη δομή για την ανταλλαγή πληροφοριών, και οι σχετικοί φορείς και επιτροπές έχουν συμπληρωματικούς ρόλους. Ωστόσο, η συμμετοχή EUIBA μικρότερου μεγέθους σε διοργανικά φόρα δεν καθίσταται δυνατή εξαιτίας των περιορισμένων πόρων και η εκπροσώπηση των αποκεντρωμένων οργανισμών και των κοινών επιχειρήσεων στο διοικητικό συμβούλιο της CERT-ΕΕ δεν είναι η βέλτιστη. Διαπιστώσαμε επίσης ότι τα EUIBA δεν ανταλλάσσουν συστηματικά μεταξύ τους πληροφορίες σχετικά με έργα που σχετίζονται με την κυβερνοασφάλεια, αξιολογήσεις ασφάλειας και συμβάσεις παροχής υπηρεσιών. Αυτό μπορεί να οδηγήσει σε αλληλεπικάλυψη των προσπαθειών και σε αύξηση του κόστους. Διαπιστώσαμε επιχειρησιακές δυσκολίες στην ανταλλαγή ευαίσθητων μη διαβαθμισμένων πληροφοριών, μέσω κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου ή μέσω βιντεοδιασκέψεων, λόγω έλλειψης διαλειτουργικότητας των λύσεων ΤΠ, ασυνεπών κατευθυντήριων γραμμών σχετικά με την επιτρεπόμενη χρήση τους και έλλειψης κοινών κανόνων σήμανσης και χειρισμού πληροφοριών (βλέπε σημεία 45-63).
Σύσταση 2 – Προώθηση περαιτέρω συνεργιών μεταξύ των EUIBA σε επιλεγμένους τομείς
Η Επιτροπή, στο πλαίσιο της διοργανικής επιτροπής για τον ψηφιακό μετασχηματισμό, πρέπει να προωθήσει τις εξής δράσεις μεταξύ των EUIBA:
- να εγκρίνει λύσεις για τη διαλειτουργικότητα ασφαλών διαύλων επικοινωνίας, από κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου μέχρι βιντεοδιάσκεψη, και να συμφωνήσει σε κοινές σημάνσεις και κοινούς κανόνες χειρισμού για ευαίσθητες μη διαβαθμισμένες πληροφορίες·
- να ανταλλάσσει συστηματικά πληροφορίες σχετικά με έργα που σχετίζονται με την κυβερνοασφάλεια και ενδέχεται να έχουν διοργανικό αντίκτυπο, αξιολογήσεις ασφάλειας που διενεργούνται σε λογισμικό και ισχύουσες συμβάσεις με εξωτερικούς προμηθευτές· και
- να καθορίσει προδιαγραφές για κοινές διαδικασίες σύναψης συμβάσεων και τη σύναψη συμβάσεων-πλαισίου για υπηρεσίες κυβερνοασφάλειας, στις οποίες μπορούν να συμμετέχουν όλα τα EUIBA για την προώθηση οικονομιών κλίμακας.
Ημερομηνία-στόχος για την υλοποίηση της σύστασης: 4ο τρίμηνο του 2023
100 Ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) και η CERT-ΕΕ είναι οι δύο βασικές οντότητες που είναι επιφορτισμένες με την υποστήριξη των EUIBA στον τομέα της κυβερνοασφάλειας. Ωστόσο, εξαιτίας είτε περιορισμένων πόρων είτε της προτεραιοποίησης άλλων τομέων, δεν μπόρεσαν να παράσχουν στα EUIBA όλη τη στήριξη που χρειάζονται, ιδίως όσον αφορά την ανάπτυξη ικανοτήτων σε λιγότερο ώριμα από άποψη κυβερνοασφάλειας EUIBA (βλέπε σημεία 64-93).
Σύσταση 3 – Επίταση της εστίασης της CERT-ΕΕ και του ENISA στα λιγότερο ώριμα EUIBA
Η CERT-ΕΕ και ο ENISA πρέπει:
- να προσδιορίσουν τομείς προτεραιότητας στους οποίους τα EUIBA χρειάζονται μεγαλύτερη υποστήριξη, παραδείγματος χάριν μέσω αξιολογήσεων ωριμότητας·
- να υλοποιήσουν δράσεις ανάπτυξης ικανοτήτων, σύμφωνα με το ΜΣ τους.
Ημερομηνία-στόχος για την υλοποίηση της σύστασης: 4ο τρίμηνο του 2022
Η παρούσα έκθεση εγκρίθηκε από το Τμήμα III, του οποίου προεδρεύει η Bettina Jakobsen, Μέλος του Ελεγκτικού Συνεδρίου, στο Λουξεμβούργο, στις 22 Φεβρουαρίου 2022.
Για το Ελεγκτικό Συνέδριο
Klaus-Heiner Lehne
Πρόεδρος
Παραρτήματα
Παράρτημα I–Κατάσταση των EUIBA που συμμετείχαν στην έρευνα
Ονομασία EUIBA | Είδος |
---|---|
Ευρωπαϊκό Κοινοβούλιο (ΕΚ) | Θεσμικό όργανο (άρθρο 13, παράγραφος 1, ΣΕΕ) |
Συμβούλιο της Ευρωπαϊκής Ένωσης και Ευρωπαϊκό Συμβούλιο | Θεσμικό όργανο (άρθρο 13, παράγραφος 1, ΣΕΕ) |
Ευρωπαϊκή Επιτροπή | Θεσμικό όργανο (άρθρο 13, παράγραφος 1, ΣΕΕ) |
Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) | Θεσμικό όργανο (άρθρο 13, παράγραφος 1, ΣΕΕ) |
Ευρωπαϊκή Κεντρική Τράπεζα (ΕΚΤ) | Θεσμικό όργανο (άρθρο 13, παράγραφος 1, ΣΕΕ) |
Ευρωπαϊκό Ελεγκτικό Συνέδριο (ΕΕΣ) | Θεσμικό όργανο (άρθρο 13, παράγραφος 1, ΣΕΕ) |
Ευρωπαϊκή Υπηρεσία Εξωτερικής Δράσης (ΕΥΕΔ) | Υπηρεσία (άρθρο 27, παράγραφος 3, ΣΕΕ) |
Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή (ΕΟΚΕ) και Ευρωπαϊκή Επιτροπή των Περιφερειών (ΕτΠ)37 | Όργανα (άρθρο 13, παράγραφος 4, ΣΕΕ) |
Ευρωπαϊκή Τράπεζα Επενδύσεων (ΕΤΕπ) | Όργανο (άρθρο 308 ΣΛΕΕ) |
Ευρωπαϊκή Αρχή Εργασίας | Αποκεντρωμένος οργανισμός |
Οργανισμός της Ευρωπαϊκής Ένωσης για τη Συνεργασία των Ρυθμιστικών Αρχών Ενέργειας (ACER) | Αποκεντρωμένος οργανισμός |
Υπηρεσία του Φορέα Ευρωπαϊκών Ρυθμιστικών Αρχών για τις Ηλεκτρονικές Επικοινωνίες (Υπηρεσία του BEREC) | Αποκεντρωμένος οργανισμός |
Κοινοτικό Γραφείο Φυτικών Ποικιλιών (CPVO) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκός Οργανισμός για την Ασφάλεια και την Υγεία στην Εργασία (EU-OSHA) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκός Οργανισμός Συνοριοφυλακής και Ακτοφυλακής (Frontex/EBCGA) | Αποκεντρωμένος οργανισμός |
Οργανισμός της Ευρωπαϊκής Ένωσης για τη Λειτουργική Διαχείριση Συστημάτων ΤΠ Μεγάλης Κλίμακας στον Χώρο Ελευθερίας, Ασφάλειας και Δικαιοσύνης (eu-LISA) | Αποκεντρωμένος οργανισμός |
Οργανισμός της Ευρωπαϊκής Ένωσης για το Άσυλο (EUAA) | Αποκεντρωμένος οργανισμός |
Οργανισμός της Ευρωπαϊκής Ένωσης για την Ασφάλεια της Αεροπορίας (EASA) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκή Αρχή Τραπεζών (ΕΑΤ) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκό Κέντρο Πρόληψης και Ελέγχου Νόσων (ECDC) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκό Κέντρο για την Ανάπτυξη της Επαγγελματικής Κατάρτισης (Cedefop) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκός Οργανισμός Χημικών Προϊόντων (ECHA) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκός Οργανισμός Περιβάλλοντος (ΕΟΠ) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκή Υπηρεσία Ελέγχου της Αλιείας (EFCA) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκή Αρχή για την Ασφάλεια των Τροφίμων (EFSA) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκό Ίδρυμα για τη Βελτίωση των Συνθηκών Διαβίωσης και Εργασίας (Eurofound) | Αποκεντρωμένος οργανισμός |
Οργανισμός της Ευρωπαϊκής Ένωσης για το διαστημικό πρόγραμμα (αντικαθιστά τον Οργανισμό του Ευρωπαϊκού GNSS — GSA) (EUSPA) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκό Ινστιτούτο για την Ισότητα των Φύλων (EIGE) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκή Αρχή Ασφαλίσεων και Επαγγελματικών Συντάξεων (EIOPA) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκός Οργανισμός για την Ασφάλεια στη Θάλασσα (EMSA) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκός Οργανισμός Φαρμάκων (EMA) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκό Κέντρο Παρακολούθησης Ναρκωτικών και Τοξικομανίας (EMCDDA) | Αποκεντρωμένος οργανισμός |
Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) | Αποκεντρωμένος οργανισμός |
Οργανισμός της Ευρωπαϊκής Ένωσης για την κατάρτιση στον τομέα της επιβολής του νόμου (CEPOL) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκή Αστυνομική Υπηρεσία (Ευρωπόλ) | Αποκεντρωμένος οργανισμός |
Οργανισμός Σιδηροδρόμων της Ευρωπαϊκής Ένωσης (ERA) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών (ESMA) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκό Ίδρυμα Επαγγελματικής Εκπαίδευσης (ETF) | Αποκεντρωμένος οργανισμός |
Οργανισμός Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (FRA) | Αποκεντρωμένος οργανισμός |
Γραφείο Διανοητικής Ιδιοκτησίας της Ευρωπαϊκής Ένωσης [γνωστό ως OHIM έως τις 23 Μαρτίου 2016] (EUIPO) | Αποκεντρωμένος οργανισμός |
Ενιαίο Συμβούλιο Εξυγίανσης (SRB) | Αποκεντρωμένος οργανισμός |
Οργανισμός της Ευρωπαϊκής Ένωσης για τη Συνεργασία στον Τομέα της Ποινικής Δικαιοσύνης (Eurojust) | Αποκεντρωμένος οργανισμός |
Μεταφραστικό Κέντρο των Οργάνων της Ευρωπαϊκής Ένωσης (CdT) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκή Εισαγγελία (EPPO) | Αποκεντρωμένος οργανισμός |
Ευρωπαϊκό Ινστιτούτο Καινοτομίας και Τεχνολογίας (ΕΙΤ) | Οργανισμός που δημιουργήθηκε στο πλαίσιο της Ε&Κ |
Κοινή Επιχείρηση του ερευνητικού προγράμματος διαχείρισης της εναέριας κυκλοφορίας στο πλαίσιο του Ενιαίου Ευρωπαϊκού Ουρανού (SESAR) | Κοινή επιχείρηση βάσει της ΣΛΕΕ |
Κοινή Επιχείρηση «Ηλεκτρονικά συστατικά στοιχεία και συστήματα για την ευρωπαϊκή πρωτοπορία» (ECSEL) | Κοινή επιχείρηση βάσει της ΣΛΕΕ |
Κοινή Επιχείρηση «Κυψέλες καυσίμου και υδρογόνο 2» (ΚΚΥ 2) | Κοινή επιχείρηση δυνάμει της ΣΛΕΕ |
Κοινή Επιχείρηση της πρωτοβουλίας για τα καινοτόμα φάρμακα 2 (ΠΚΦ 2) | Κοινή επιχείρηση βάσει της ΣΛΕΕ |
Κοινή επιχείρηση Clean Sky 2 (Cleansky 2) | Κοινή επιχείρηση βάσει της ΣΛΕΕ |
Κοινή επιχείρηση Βιομηχανιών Βιοπροϊόντων (BBI) | Κοινή επιχείρηση βάσει της ΣΛΕΕ |
Κοινή τεχνολογική πρωτοβουλία Shift2Rail (S2R) | Κοινή επιχείρηση βάσει της ΣΛΕΕ |
Κοινή Επιχείρηση για την ευρωπαϊκή υπολογιστική υψηλών επιδόσεων (EuroHPC) | Κοινή επιχείρηση βάσει της ΣΛΕΕ |
Ευρωπαϊκή κοινή επιχείρηση για το έργο ITER — Ενέργεια σύντηξης (F4E) | Κοινή επιχείρηση βάσει της ΣΛΕΕ |
Συμβουλευτική αποστολή της Ευρωπαϊκής Ένωσης στην Ουκρανία (EUAM Ukraine) | Μη στρατιωτική αποστολή (ΚΠΑΑ) |
Συμβουλευτική αποστολή της ΕΕ για τα σύνορα στη Λιβύη (EUBAM Libya) | Μη στρατιωτική αποστολή (ΚΠΑΑ) |
Αποστολή της ΕΕ για την ανάπτυξη ικανοτήτων στον Νίγηρα (EUCAP Sahel Niger) | Μη στρατιωτική αποστολή (ΚΠΑΑ) |
Αποστολή επιτήρησης της ΕΕ στη Γεωργία (EUMM Georgia) | Μη στρατιωτική αποστολή (ΚΠΑΑ) |
Γραφείο Συντονισμού της ΕΕ για την υποστήριξη της παλαιστινιακής αστυνομίας (EUPOL COPPS) | Μη στρατιωτική αποστολή (ΚΠΑΑ) |
Συμβουλευτική αποστολή της ΕΕ για την Κεντροαφρικανική Δημοκρατία (EUAM Κεντρική-Αφρικανική Δημοκρατία) | Μη στρατιωτική αποστολή (ΚΠΑΑ) |
Συμβουλευτική αποστολή της ΕΕ στο Ιράκ (EUAM Iraq) | Μη στρατιωτική αποστολή (ΚΠΑΑ) |
Αποστολή συνοριακής συνδρομής της ΕΕ στο σημείο διέλευσης της Ράφα (EUBAM Rafah) | Μη στρατιωτική αποστολή (ΚΠΑΑ) |
Αποστολή της ΕΕ στο Μάλι για την οικοδόμηση ικανοτήτων (EUCAP Sahel Mali) | Μη στρατιωτική αποστολή (ΚΠΑΑ) |
Αποστολή της ΕΕ στη Σομαλία για την οικοδόμηση ικανοτήτων (EUCAP Somalia) | Μη στρατιωτική αποστολή (ΚΠΑΑ) |
Αποστολή της ΕΕ για την επιβολή του κράτους δικαίου στο Κοσσυφοπέδιο (EULEX Kosovo) | Μη στρατιωτική αποστολή (ΚΠΑΑ) |
Παράρτημα II–Πρόσθετες πληροφορίες σχετικά με τις βασικές διοργανικές επιτροπές
Διοργανική επιτροπή για τον ψηφιακό μετασχηματισμό (Interinstitutional Committee for the Digital Transformation, ICDT)
Η ICDT αποτελεί ένα φόρουμ για την ανταλλαγή πληροφοριών και την προώθηση της συνεργασίας στον τομέα της ΤΠ. Ιδρύθηκε τον Μάιο του 2020, αντικαθιστώντας την πρώην Comité Interinstitutionnel de l’Informatique (CII). Η ICDT απαρτίζεται από τα διοικητικά στελέχη των τμημάτων ΤΠ των EUIBA. Διαθέτει υποομάδα για την κυβερνοασφάλεια (CSSG της ICDT), ρόλος της οποίας είναι η προώθηση της συνεργασίας μεταξύ των αρχών της ΕΕ στον τομέα της κυβερνοασφάλειας και η λειτουργία της ως φόρουμ για την ανταλλαγή πληροφοριών.
Η εξουσία λήψης αποφάσεων της ICDT περιορίζεται σε ζητήματα που δεν επηρεάζουν τον τρόπο με τον οποίο τα θεσμικά όργανα εκπληρώνουν την αποστολή τους και δεν επηρεάζουν τη διακυβέρνηση εντός κάθε θεσμικού οργάνου. Για αποφάσεις που υπερβαίνουν το πεδίο των αρμοδιοτήτων της, η ICDT μπορεί να υποβάλει συστάσεις στο Σώμα των Γενικών Γραμματέων των θεσμικών οργάνων και οργανισμών της ΕΕ.
Σύμφωνα με την εντολή της ICDT, τα μέλη της είναι εκπρόσωποι κάθε θεσμικού οργάνου και οργανισμού της ΕΕ, και ένας εκπρόσωπος που ορίζεται από τους οργανισμούς της ΕΕ (ICTAC). Επί τους παρόντος, την προεδρία της ICDT ασκεί η Γενική Γραμματεία του Συμβουλίου.
Υποομάδα για την κυβερνοασφάλεια (cybersecurity subgroup, CSSG) της ICDT
Η CSSG της ICDT, με την τρέχουσα σύνθεσή της, συγκροτήθηκε τον Σεπτέμβριο του 2020, αντικαθιστώντας τη μόνιμη υποομάδα ασφαλείας της πρώην CII. Σε σύγκριση με την υποομάδα που αντικατέστησε, η CSSG της ICDT ακολουθεί μια περισσότερο διαρθρωμένη, φιλόδοξη και προσανατολισμένη στα αποτελέσματα προσέγγιση. Οι δραστηριότητές της διεξάγονται από ομάδες εργασίας (ΟΕ) που συνεδριάζουν τακτικά και επικεντρώνονται σε βασικά κοινά ζητήματα:
- ΟΕ1 «Κοινά πρότυπα, συγκριτική αξιολόγηση και ωριμότητα»
- ΟΕ2 «Μέθοδοι και εργαλεία και συμβάσεις της πλατφόρμας επιμερισμού»
- ΟΕ3 «Ασφάλεια υπολογιστικού νέφους»
- ΟΕ4 «Ανάπτυξη ταλέντων στον κυβερνοχώρο»
- ΟΕ5 «Ενημέρωση και ευαισθητοποίηση στον κυβερνοχώρο»
- ΟΕ6 «Ασφάλεια των βιντεοδιασκέψεων»
Σύμφωνα με την εντολή της CSSG, η γραμματεία της είναι υπεύθυνη για την τακτική παρακολούθηση και υποβολή εκθέσεων σχετικά με την πρόοδο των δραστηριοτήτων των ομάδων εργασίας. Υποβάλλει τακτικές εκθέσεις στον πρόεδρο και τον αναπληρωτή πρόεδρο της υποομάδας κυβερνοασφάλειας της ICDT, συγκεντρώνοντας τακτικά στοιχεία από τους συντονιστές των ομάδων εργασίας. Στο τέλος κάθε έτους, η CSSG πρέπει επίσης να υποβάλλει συνοπτική έκθεση δραστηριοτήτων.
Η Επιτροπή προεδρεύει επί του παρόντος της CSSG της ICDT, και αναπληρωτής πρόεδρος είναι εκπρόσωπος της ICTAC. Παρά το γεγονός ότι η CSSG δεν έχει εξουσία λήψης αποφάσεων, μπορεί να συστήσει στην ICDT τη λήψη αποφάσεων σχετικά με συναφή ζητήματα.
Δίκτυο οργανισμών της ΕΕ
Το δίκτυο οργανισμών της ΕΕ (EUAN) είναι ένα άτυπο δίκτυο που δημιουργήθηκε από τους επικεφαλής των οργανισμών της ΕΕ το 2012. Το EUAN αποτελείται επί του παρόντος από 48 αποκεντρωμένους οργανισμούς και κοινές επιχειρήσεις της ΕΕ. Στόχος του είναι να παρέχει μια πλατφόρμα ανταλλαγών και συνεργασίας για τα μέλη του σε τομείς κοινού ενδιαφέροντος. Η συμβουλευτική επιτροπή ΤΠΕ (ICTAC) είναι η υποομάδα του EUAN που είναι επιφορτισμένη με την προώθηση της συνεργασίας στον τομέα των ΤΠΕ, μεταξύ άλλων στον τομέα της κυβερνοασφάλειας.
Συμβουλευτική επιτροπή για τις τεχνολογίες των πληροφοριών και των επικοινωνιών (Information and Communications Technologies Advisory Committee, ICTAC)
Η ICTAC προωθεί τη συνεργασία ανάμεσα στους οργανισμούς και στις επιχειρήσεις στον τομέα των ΤΠΕ. Αποσκοπεί στην εξεύρεση βιώσιμων και οικονομικών λύσεων σε κοινά προβλήματα, την ανταλλαγή πληροφοριών και την υιοθέτηση κοινών θέσεων, κατά περίπτωση. Σύμφωνα με την εντολή της ICTAC, οι γενικές συνελεύσεις στις οποίες συμμετέχουν όλα τα μέλη της πραγματοποιούνται δύο φορές ετησίως. Πραγματοποιούνται επίσης τακτικές μηνιαίες συναντήσεις μεταξύ των εκπροσώπων της ICTAC στις ομάδες εργασίας της CSSG, του εκπροσώπου της ICTAC στην CSSG και της «τρόικας» της ICTAC. Η τρόικα αποτελείται από τον νυν, τον τέως και τον επόμενο πρόεδρο της ICTAC (η θητεία κάθε προέδρου είναι μονοετής). Ο ρόλος της τρόικας είναι να στηρίζει τον νυν πρόεδρο σε όλα τα θέματα που σχετίζονται με τον ρόλο του, συμπεριλαμβανομένης της υποκατάστασής του, εφόσον το απαιτούν οι περιστάσεις.
Αρκτικόλεξα και συντομογραφίες
ΑΔΠ: Ασφάλεια δικτύων και πληροφοριών
ΓΔ DIGIT: Γενική Διεύθυνση Πληροφορικής
ΓΔ HR: Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας
ΔΔ: Διοργανικός διακανονισμός
ΙΠΑ: Ισοδύναμο πλήρους απασχόλησης
ΜΣ: Μνημόνιο συνεννόησης
ΤΠΕ: Τεχνολογίες πληροφοριών και επικοινωνιών
APT: Προηγμένη συνεχής απειλή (Advanced Persistent Threat)
CERT-ΕΕ: Ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική για τα EUIBA (Computer Emergency Response Team for the EU Institutions, bodies and agencies)
CISO: Υπεύθυνος Ασφάλειας Πληροφοριών (Chief Information Security Officer)
CSIRT: Ομάδα παρέμβασης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (Computer Security Incident Response Team)
CSSG της ICDT: Υποομάδα για την κυβερνοασφάλεια (Cyber Security Sub- Group) της Διοργανικής Επιτροπής για τον Ψηφιακό Μετασχηματισμό (Interinstitutional Committee for Digital Transformation)
ENISA: Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια
EUAN: Δίκτυο των οργανισμών της Ευρωπαϊκής Ένωσης (European Union Agencies Network)
EUIBA: Θεσμικά και λοιπά όργανα και οργανισμοί της Ευρωπαϊκής Ένωσης (European Union Institutions, Bodies and Agencies)
EU-LISA: Ευρωπαϊκός Οργανισμός για τη λειτουργική διαχείριση συστημάτων ΤΠ μεγάλης κλίμακας στον χώρο της ελευθερίας, ασφάλειας και δικαιοσύνης
ICDT: Διοργανική επιτροπή για τον ψηφιακό μετασχηματισμό (Interinstitutional Committee for Digital Transformation)
ICTAC: Συμβουλευτική επιτροπή για τις τεχνολογίες των πληροφοριών και των επικοινωνιών (Information and Communications Technology Advisory Committee)
ISACA: Ένωση Ελέγχων Πληροφοριακών Συστημάτων (Information Systems Audit and Control Association)
ITCB: Συμβούλιο τεχνολογίας πληροφοριών και κυβερνοασφάλειας (Information Technology and Cybersecurity Board)
Γλωσσάριο
Ασκήσεις «κόκκινης ομάδας» (red teaming): Προσομοίωση ρεαλιστικών κυβερνοεπιθέσεων με τη χρήση του στοιχείου του αιφνιδιασμού και τεχνικών που έχουν παρατηρηθεί πρόσφατα στον πραγματικό κόσμο, εστιάζοντας σε συγκεκριμένους στόχους μέσω πολλαπλών γραμμών επίθεσης.
Δοκιμή παρείσδυσης: Μέθοδος για την αξιολόγηση της ασφάλειας ενός συστήματος ΤΠ, βάσει της οποίας επιχειρείται η παραβίαση των δικλίδων ασφάλειάς του με τα εργαλεία και τις τεχνικές που χρησιμοποιούνται συνήθως από τους αντιπάλους.
Ηλεκτρονικό «ψάρεμα» (phishing): Η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που μοιάζουν να προέρχονται από αξιόπιστη πηγή, προκειμένου να παραπλανηθούν οι αποδέκτες τους και να ανοίξουν κακόβουλους συνδέσμους ή να κοινοποιήσουν δεδομένα προσωπικού χαρακτήρα.
Κοινωνική μηχανική: Στο πλαίσιο της ασφάλειας των πληροφοριών, η ψυχολογική χειραγώγηση για την εξαπάτηση προσώπων, ώστε να προβούν σε ενέργεια ή να κοινοποιήσουν εμπιστευτικές πληροφορίες.
Κυβερνοασφάλεια: Μέτρα για την προστασία των δικτύων και των υποδομών ΤΠ, καθώς και των πληροφοριών που αυτά περιέχουν, από εξωτερικές απειλές.
Κυβερνοκατασκοπεία: Η ενέργεια ή η πρακτική της συλλογής απόρρητων στοιχείων και πληροφοριών από το διαδίκτυο, διάφορα δίκτυα ή μεμονωμένους υπολογιστές χωρίς την άδεια και τη γνώση του κατόχου των πληροφοριών.
Κυβερνοχώρος: Το παγκόσμιο διαδικτυακό περιβάλλον στο οποίο πρόσωπα, λογισμικά και υπηρεσίες επικοινωνούν μέσω δικτύων ηλεκτρονικών υπολογιστών και άλλων συνδεμένων συσκευών.
Ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική για τα EUIBA (Computer Emergency Response Team for the EU Institutions, bodies and agencies, CERT-EE): Κόμβος ανταλλαγής πληροφοριών και συντονισμού αντιμετώπισης συμβάντων του οποίου οι πελάτες («συστατικά όργανα») είναι τα θεσμικά και λοιπά όργανα και οι οργανισμοί της ΕΕ.
Προηγμένη συνεχής απειλή (Advanced Persistent Threat, APT): Επίθεση κατά την οποία μη εξουσιοδοτημένος χρήστης έχει πρόσβαση σε σύστημα ή δίκτυο, προκειμένου να υποκλέψει ευαίσθητα δεδομένα, και παραμένει εκεί για μεγάλο χρονικό διάστημα.
Απαντήσεις της Επιτροπής
Απαντήσεις της CERT-ΕΕ και του ENISA
Παραπομπές
3 ΕΕΣ, επισκόπηση 02/2019: Προκλήσεις για μια αποτελεσματική ενωσιακή πολιτική για την κυβερνοασφάλεια (ενημερωτικό έγγραφο).
4 CERT-ΕΕ, Threat Landscape Report, Ιούνιος 2021.
5 Αυτόθι.
6 Αυτόθι.
7 Αυτόθι.
8 Cyberattack on EMA – update 6, 25.1.2021.
9 Ειδική έκθεση 22/2020 του ΕΕΣ, με τίτλο Το μέλλον των οργανισμών της ΕΕ: περιθώριο για μεγαλύτερη ευελιξία και συνεργασία, σημείο 01.
10 ΕΕ C 12 της 13.1.2018, σ. 1.
11 ENISA, Threat Landscape 2020, ανάλυση απειλών ανά τομέα/θεματική.
12 Οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση.
13 Πρόταση οδηγίας σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση.
16 ISACA, Certified Information System Auditor Review Manual, 2019.
17 Ανακοίνωση προς την Επιτροπή με τίτλο «European Commission digital Strategy: A digitally transformed, user-focused and data-driven Commission», C(2018) 7118 final της 21.11.2018.
18 ISO/IEC standard 27000:2018, κεφάλαιο 5.
19 COBIT 5 for Information Security, ενότητα 4.2.
20 Βλέπε, παραδείγματος χάριν, ISO/IEC 27000:2018, ενότητα 4.5.
21 ENISA, Thread Landscape 2020, Ανάλυση απειλών ανά τομέα/θεματική.
22 Σύνολο δικλίδων που προκύπτουν από τις δικλίδες ελέγχου CIS 7.1, ένα πλαίσιο βέλτιστων πρακτικών που επεξεργάστηκε το κέντρο για την ασφάλεια στο διαδίκτυο (CIS).
23 Ομάδα εφαρμογής 1 (IG1) των δικλίδων ελέγχου του CIS.
24 ISACA, Auditing Cyber Security: Evaluation Risk and Auditing Controls, 2017.
25 Απόφαση (ΕΕ, Ευρατόμ) 2017/46 της Επιτροπής σχετικά με την ασφάλεια των συστημάτων επικοινωνίας και πληροφοριών στην Ευρωπαϊκή Επιτροπή.
26 Άρθρο 7 του διοργανικού διακανονισμού (ΔΔ) που υπεγράφη στις 20.12.2017.
27 Ευρωπαϊκή Επιτροπή, «The European Commission Cloud Strategy» , 2019.
28 Τα καθήκοντα του ENISA περιγράφονται στο κεφάλαιο II (άρθρα 5‑12) του κανονισμού (ΕΕ) 2019/881.
29 Κανονισμός αριθ. 526/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου· για τα καθήκοντα του ENISA όπως προβλέπονται στον κανονισμό, βλέπε άρθρο 3.
30 Άρθρο 6 του κανονισμού (ΕΕ) αριθ. 2019/881.
31 Άρθρο 14 της πράξης για την κυβερνοασφάλεια.
32 Άρθρο 18 της πράξης για την κυβερνοασφάλεια.
33 Ευρωπαϊκή Επιτροπή - Δελτίο Τύπου: Ενίσχυση της ασφάλειας των οργάνων της ΕΕ στον κυβερνοχώρο, σύμφωνα με επιτυχημένο πιλοτικό σχέδιο.
34 Άρθρο 3, παράγραφος 3, του διοργανικού διακανονισμού (ΔΔ) που υπεγράφη στις 20.12.2017.
35 Άρθρο 3, παράγραφος 2, του διοργανικού διακανονισμού (ΔΔ).
36 Αιτιολογική σκέψη 7 του διοργανικού διακανονισμού (ΔΔ).
37 Η ΕΟΚΕ και η ΕτΠ υπολογίζονται ως ένα EUIBA.
Επικοινωνία
ΕΥΡΩΠΑΪΚΟ ΕΛΕΓΚΤΙΚΟ ΣΥΝΕΔΡΙΟ
12, rue Alcide De Gasperi
1615 Luxembourg
ΛΟΥΞΕΜΒΟΥΡΓΟ
Τηλ:. +352 4398-1
Πληροφορίες: eca.europa.eu/el/Pages/ContactForm.aspx
Ιστότοπος: eca.europa.eu
Twitter: @EUAuditors
Περισσότερες πληροφορίες για την Ευρωπαϊκή Ένωση παρέχονται από το διαδίκτυο (https://europa.eu/european-union/index_el).
Λουξεμβούργο: Υπηρεσία Εκδόσεων της Ευρωπαϊκής Ένωσης, 2022
ISBN 978-92-847-7593-4 | ISSN 1977-5660 | doi:10.2865/791137 | QJ-AB-22-003-EL-N | |
HTML | ISBN 978-92-847-7596-5 | ISSN 1977-5660 | doi:10.2865/303226 | QJ-AB-22-003-EL-Q |
ΔΙΚΑΙΩΜΑΤΑ ΠΝΕΥΜΑΤΙΚΗΣ ΙΔΙΟΚΤΗΣΙΑΣ
© Ευρωπαϊκή Ένωση, 2022
Η πολιτική για την περαιτέρω χρήση εγγράφων του Ευρωπαϊκού Ελεγκτικού Συνεδρίου (ΕΕΣ) ορίζεται στην απόφαση αριθ. 6‑2019 του ΕΕΣ για την πολιτική ανοικτών δεδομένων και την περαιτέρω χρήση εγγράφων.
Με εξαίρεση τις περιπτώσεις όπου ορίζεται διαφορετικά (π.χ. σε χωριστές ανακοινώσεις περί πνευματικής ιδιοκτησίας), το περιεχόμενο του ΕΕΣ που ανήκει στην ΕΕ παραχωρείται βάσει της άδειας Creative Commons Attribution 4.0 International (CC BY 4.0). Ισχύει επομένως ως γενικός κανόνας ότι η περαιτέρω χρήση επιτρέπεται υπό τον όρο ότι αναφέρεται η πηγή και επισημαίνονται οι αλλαγές. Κατά την περαιτέρω χρήση απαγορεύεται η διαστρέβλωση του αρχικού νοήματος ή μηνύματος των εγγράφων. Το ΕΕΣ δεν φέρει ευθύνη για οποιαδήποτε συνέπεια προερχόμενη από την περαιτέρω χρήση εγγράφων.
Εάν συγκεκριμένο περιεχόμενο αναφέρεται σε ταυτοποιήσιμα φυσικά πρόσωπα, π.χ. φωτογραφίες υπαλλήλων του ΕΕΣ, ή περιλαμβάνει έργα τρίτων, απαιτείται πρόσθετη έγκριση.
Όταν παραχωρείται η έγκριση, αυτή ακυρώνει και αντικαθιστά την ανωτέρω γενική έγκριση και αναφέρει σαφώς τυχόν περιορισμούς στη χρήση.
Για τη χρήση ή την αναπαραγωγή περιεχομένου που δεν ανήκει στην ΕΕ, μπορεί να χρειάζεται να ζητήσετε άδεια απευθείας από τους κατόχους των δικαιωμάτων πνευματικής ιδιοκτησίας.
Το λογισμικό ή τα έγγραφα που καλύπτονται από δικαιώματα βιομηχανικής ιδιοκτησίας, όπως τα διπλώματα ευρεσιτεχνίας, τα εμπορικά σήματα, τα καταχωρισμένα σχέδια, οι λογότυποι και οι επωνυμίες/ονομασίες, εξαιρούνται από την πολιτική του ΕΕΣ για την περαιτέρω χρήση.
Το σύνολο των ιστοτόπων των θεσμικών οργάνων της Ευρωπαϊκής Ένωσης εντός του ονόματος χώρου «europa.eu» παρέχει συνδέσμους προς ιστότοπους τρίτων. Δεδομένου ότι το ΕΕΣ δεν έχει έλεγχο επ’ αυτών, σας συνιστούμε να εξετάζετε τις πολιτικές τους για την προστασία του ιδιωτικού απορρήτου και της πνευματικής ιδιοκτησίας.
Χρήση του λογότυπου του ΕΕΣ
Ο λογότυπος του ΕΕΣ δεν πρέπει να χρησιμοποιείται χωρίς την προηγούμενη σύμφωνη γνώμη του οργάνου.
Επικοινωνήστε με την ΕΕ
Αυτοπροσώπως
Σε όλη την Ευρωπαϊκή Ένωση υπάρχουν εκατοντάδες κέντρα πληροφόρησης Europe Direct. Μπορείτε να βρείτε τη διεύθυνση του πλησιέστερου σε σας κέντρου στον ιστότοπο Europa: https://europa.eu/european-union/contact_el
Τηλεφωνικά ή μέσω ηλεκτρονικού ταχυδρομείου
Η Europe Direct είναι μια υπηρεσία που απαντά στις ερωτήσεις σας για την Ευρωπαϊκή Ένωση. Μπορείτε να επικοινωνήσετε με αυτήν την υπηρεσία:
- καλώντας ατελώς τον αριθμό 00 800 6 7 8 9 10 11 (ορισμένα δίκτυα τηλεφωνίας ενδέχεται να χρεώνουν τις κλήσεις αυτές),
- καλώντας τον αριθμό +32 22999696 ή
- μέσω ηλεκτρονικού ταχυδρομείου από τον ιστότοπο Europa: https://europa.eu/european-union/contact_el
Βρείτε πληροφορίες σχετικά με την ΕΕ
Στο διαδίκτυο
Πληροφορίες για την Ευρωπαϊκή Ένωση σε όλες τις επίσημες γλώσσες της ΕΕ είναι διαθέσιμες στον ιστότοπο Europa: https://europa.eu/european-union/index_el
Στις εκδόσεις της ΕΕ
Μπορείτε να καταφορτώσετε ή να παραγγείλετε δωρεάν και επί πληρωμή εκδόσεις της ΕΕ στην ακόλουθη διεύθυνση: https://op.europa.eu/el/publications. Μπορείτε να ζητήσετε πολλαπλά αντίγραφα δωρεάν εκδόσεων επικοινωνώντας με την υπηρεσία Europe Direct ή με το τοπικό σας κέντρο πληροφόρησης (βλ. https://europa.eu/european-union/contact_el).
Στη νομοθεσία της ΕΕ και σε σχετικά έγγραφα
Για πρόσβαση σε νομικές πληροφορίες της ΕΕ, συμπεριλαμβανομένου του συνόλου της ενωσιακής νομοθεσίας από το 1951 σε όλες τις επίσημες γλώσσες, μεταβείτε στον ιστότοπο EUR-Lex, στην ακόλουθη διεύθυνση: http://eur-lex.europa.eu
Στα δημόσια δεδομένα από την ΕΕ
Η Πύλη Δημόσιων Δεδομένων της Ευρωπαϊκής Ένωσης (http://data.europa.eu/el) παρέχει πρόσβαση σε σύνολα δεδομένων από την ΕΕ. Τα δεδομένα μπορούν να καταφορτωθούν και να επαναχρησιμοποιηθούν δωρεάν, τόσο για εμπορικούς όσο και για μη εμπορικούς σκοπούς.