Eriaruanne
05 2022

ELi institutsioonide, organite ja asutuste küberturvalisus: Üldine valmisoleku tase ei vasta ohtudele

Lühidalt aruandestELi institutsioonide, organite ja asutuste (edaspidi „ELi asutused“) vastu suunatud küberrünnete arv kasvab järsult. Kuna ELi asutused on omavahel tihedalt seotud, võivad ühe asutuse nõrgad kohad tekitada ohte ka teistele. Uurisime, kas ELi asutused on võtnud piisavaid meetmeid enda kaitseks küberohtude vastu. Leidsime, et üldiselt ei vasta ELi asutuste valmisoleku tase ohtudele ja nende küberturvalisuse alane küpsus on väga erinev. Soovitame komisjonil parandada ELi asutuste valmisolekut, tehes ettepaneku kehtestada siduvad küberturvalisuse alased eeskirjad ja suurendada infoturbeintsidentidega tegeleva rühma (CERT-EU) ressursse. Komisjon peaks edendama ka ELi asutuste vahelist täiendavat sünergiat ning CERT-EU ja Euroopa Liidu Küberturvalisuse Ameti toetus peaks keskenduma madalama valmisolekutasemega ELi asutustele.

Euroopa Kontrollikoja eriaruanne vastavalt ELi toimimise lepingu artikli 287 lõike 4 teisele lõigule.

Käesolev väljaanne on saadaval 24 keeles ning järgmises formaadis:
PDF
PDF Eriaruanne: ELi institutsioonide, organite ja asutuste küberturvalisus

Kokkuvõte

I ELi küberturvalisuse määruses määratletakse küberturvalisus kui „tegevused, mis on vajalikud, et kaitsta võrgu- ja infosüsteeme, nende kasutajaid ja teisi isikuid küberohtude eest“. Kuna ELi institutsioonid, organid ja asutused (edaspidi „ELi asutused“) töötlevad tundlikku teavet, on nad huvipakkuvad sihtmärgid võimalike ründajate jaoks. Need on eelkõige rühmitused, kes suudavad toime panna väga keerukaid varjatud ründeid küberspionaaži ja muudel eesmärkidel. Vaatamata oma institutsioonilisele sõltumatusele ja halduslikule autonoomiale on ELi asutused omavahel tihedalt seotud. Seetõttu võivad mõne ELi asutuse nõrkused tekitada turvaohte teiste jaoks.

II Arvestades, et ELi asutuste vastu suunatud küberrünnete arv kasvab järsult, oli käesoleva auditi eesmärk teha kindlaks, kas ELi asutused tervikuna on loonud asjakohase korra enda kaitsmiseks küberohtude eest. Jõudsime järeldusele et ELi asutustel puudub endiselt küberturvalisuse alane kaitse, mis vastaks neid ähvardavatele ohtudele.

III Leidsime, et küberturvalisuse peamisi häid tavasid, sealhulgas mõningaid olulisi kontrolle, ei ole alati rakendatud, ning mitmed ELi asutused kulutavad küberturvalisusele selgelt liiga vähe. Mõnes ELi asutuses puudub veel asjakohane küberturvalisuse juhtimine: IT-turbe strateegiad on paljudel juhtudel puudulikud või ei ole kõrgem juhtkond neid heaks kiitnud, turbepoliitika ei ole alati ametlikult vormistatud ning riskihinnangud ei hõlma kogu IT-keskkonda. Mitte kõik ELi asutused ei lase oma küberturvalisuse taset korrapäraselt hinnata sõltumatutel ekspertidel.

IV Küberturvalisuse alane koolitus ei ole alati süstemaatiline. Vaid veidi enam kui pool ELi asutustest pakub oma IT-töötajatele ja IT-turvalisuse spetsialistidele pidevat küberturvalisuse alast koolitust. Vähesed ELi asutused pakuvad kohustuslikku küberturvalisuse alast koolitust oma juhtivtöötajatele, kes vastutavad tundlikku teavet sisaldavate IT-süsteemide eest. Andmepüügi probleemi käsitlevad õppused on oluline vahend töötajate koolitamiseks ja teadlikkuse suurendamiseks, kuid mitte kõik ELi asutused ei korralda neid süstemaatiliselt.

V Kuigi ELi asutused on loonud küberturvalisuse alase koostöö ja teabevahetuse struktuurid, märkisime, et potentsiaalset sünergiat ei kasutata täielikult ära. ELi asutused ei jaga omavahel süstemaatiliselt teavet küberturvalisusega seotud projektide, turvalisuse hindamiste ja teenuslepingute kohta. Lisaks ei ole põhilised suhtlusvahendid, nagu krüpteeritud e-posti- ja videokoosolekulahendused, täielikult koostalitlusvõimelised. Sellega võib kaasneda nii teabevahetuse nõrgem turvalisus, jõupingutuste dubleerimine kui ka suuremad kulud.

VI ELi institutsioonide ja ametite infoturbeintsidentidega tegelev rühm (CERT-EU) ja Euroopa Liidu Küberturvalisuse Amet (ENISA) on kaks peamist üksust, mille ülesanne on toetada ELi asutusi küberturvalisuse valdkonnas. Ressursside piiratuse või muude valdkondade eelistamise tõttu ei ole nad aga suutnud pakkuda ELi asutustele kogu vajalikku tuge. Eelkõige puudutab see nõrgemate ELi asutuste suutlikkuse suurendamist. Kuigi ELi asutused hindavad CERT-EU tegevust kõrgelt, vähendab selle mõjusust kasvav töökoormus, ebastabiilne rahastamine ja töötajate arv ning mõne ELi asutuse poolne ebapiisav koostöö, kui need ei jaga alati õigeaegselt teavet nõrkuste ja neid tabanud oluliste küberturvalisuse intsidentide kohta, mis võivad ka teisi mõjutada.

VII Nende järelduste alusel esitame järgmised soovitused:

  • komisjon peaks parandama ELi asutuste valmisolekut, tehes seadusandliku ettepaneku kehtestada kõigi ELi asutuste jaoks siduvad küberturvalisuse alased eeskirjad ja suurendada CERT-EU ressursse;
  • komisjon peaks digitaalse ümberkujundamise institutsioonidevahelise komitee raames arendama valitud valdkondades ELi institutsioonide vahelist sünergiat;
  • CERT-EU ja ENISA peaksid rohkem keskenduma küberturvalisuse valdkonnas nõrgematele ELi asutustele.

Sissejuhatus

Mis on küberturvalisus?

01 ELi küberturvalisuse määruses1 määratletakse küberturvalisus kui „tegevused, mis on vajalikud, et kaitsta võrgu- ja infosüsteeme, nende kasutajaid ja teisi isikuid küberohtude eest“. Küberturvalisus sõltub infoturbest, mis seisneb teabe konfidentsiaalsuse, tervikluse ja kättesaadavuse säilitamises2 kas füüsilisel või elektroonilisel kujul. Sellise teabe säilitamiseks kasutatavate võrgu- ja infosüsteemide kaitset nimetatakse ka IT-turbeks (vt joonis 1).

Joonis 1. Küberturvalisus on seotud info- ja IT-turbega

Allikas: Euroopa Kontrollikoda.

02 Küberturvalisus kui valdkond hõlmab küberintsidentide kindlaks tegemist, ennetamist, avastamist, neile reageerimist ja nende tekitatud kahju kõrvaldamist. Intsidendid võivad ulatuda näiteks teabe juhuslikust avalikustamisest elutähtsa taristu ründamise ning identiteedi ja isikuandmete varguseni3.

03 Küberturvalisuse raamistik koosneb paljudest elementidest, sealhulgas võrgu- ja infosüsteemide turvalisust puudutavatest nõuetest ja tehnilistest kontrollidest, samuti asjakohasest juhtimiskorrast ja töötajate küberohtude alast teadlikkust suurendavatest programmidest.

ELi institutsioonide, organite ja asutuste küberturvalisus

04 Kuna ELi asutused töötlevad tundlikku teavet, on nad huvipakkuvad sihtmärgid võimalike ründajate jaoks. Need on eelkõige rühmitused, kes suudavad toime panna väga keerukaid varjatud ründeid (kinnisründeohud) küberspionaaži ja muudel eesmärkidel4. ELi asutuste vastu suunatud edukatel küberrünnetel võivad olla märkimisväärsed poliitilised tagajärjed, need võivad kahjustada ELi üldist mainet ja õõnestada usaldust liidu institutsioonide vastu.

05 COVID-19 pandeemia on sundinud ELi asutusi, nagu ka teisi organisatsioone kogu maailmas, kiirendama järsult digiüleminekut ja võtma kasutusele kaugtöö. See on ründajate jaoks märkimisväärselt suurendanud võimalike juurdepääsupunktide arvu (nn ründepind), võimaldades organisatsiooni ründamiseks ära kasutada internetiühendusega kodudest ja mobiilseadmetest tulenevaid uusi haavatavaid kohti. Kaugjuurdepääsuteenused on üks levinumaid teid, mille kaudu saavad kinnisründeohte kasutavad rühmitused esmase juurdepääsu ELi asutuste võrkudele5.

06 Küberintsidentide arv kasvab ja eriti murettekitav suundumus on ELi asutusi puudutavate oluliste intsidentide järsult kasvav arv6, mis saavutas 2021. aastal rekordilise taseme. Olulised intsidendid on intsidendid, mis ei ole ei korduvad ega lihtsad. Tavaliselt hõlmavad need uusi meetodeid ja tehnoloogiaid ning nende uurimiseks ja neist taastumiseks võib kuluda nädalaid või isegi kuid. Aastatel 2018–2021 suurenes oluliste intsidentide arv enam kui kümme korda7. Ainuüksi viimase kahe aasta jooksul on registreeritud vähemalt 22 ELi asutust tabanud olulist intsidenti. Üks hiljutine näide oli küberrünne Euroopa Ravimiameti vastu, mille käigus lekitati ja manipuleeriti tundlikke andmeid eesmärgiga õõnestada usaldust vaktsiinide vastu8.

07 ELi asutused on väga heterogeenne rühm, mis koosneb institutsioonidest, ametitest ja paljudest eri organitest. Seitse ELi institutsiooni on loodud aluslepingutega. ELi detsentraliseeritud asutused ja muud organid on aga loodud teiseste õigusaktidega ja on kõik eraldiseisvad juriidilised isikud. Asutuste juriidiline staatus on erinev: kuus neist on komisjoni rakendusametid ja 37 ELi detsentraliseeritud asutused9. ELi asutuste hulka kuuluvad ka ELi bürood, diplomaatiline korpus (Euroopa välisteenistus), ühisettevõtted ja muud organid. ELi asutused vastutavad igaüks oma küberturvalisust puudutavate nõuete määratlemise ja oma turvameetmete rakendamise eest.

08 ELi asutuste küberturvalisuse tugevdamiseks moodustas komisjon 2012. aastal alalise töörühmana ELi institutsioonide ja ametite infoturbeintsidentidega tegeleva rühma (CERT-EU). CERT-EU tegutseb ELi asutuste küberturbe alase teabevahetuse ja intsidentidele reageerimise koordineerimiskeskusena ning teeb koostööd liikmesriikide teiste küberturbe intsidentide lahendamise üksustega (CSIRTid) ja spetsialiseerunud IT-turvafirmadega. CERT-EU korraldust ja tegevust reguleeritakse praegu ELi asutuste (nn osaliste) vahel 2018. aastal sõlmitud institutsioonidevahelise kokkuleppega10. Praeguseks on selle allkirjastanud 87 osalist.

09 Veel üks ELi asutusi toetav oluline osaleja on Euroopa Liidu Küberturvalisuse Amet (ENISA), kelle ülesanne on küberturvalisuse ühtlaselt kõrge taseme saavutamine kogu ELis. 2004. aastal loodud ENISA ülesanne on suurendada info- ja kommunikatsioonitehnoloogia (IKT) toodete, protsesside ja teenuste usaldusväärsust küberturvalisuse sertifitseerimise kavade abil, teha koostööd ELi asutuste ja liikmesriikidega ning aidata neil küberohtude vastu valmistuda. ENISA abistab ELi asutusi suutlikkuse suurendamisel ja valdkondlikus koostöös.

10 Vaatamata oma institutsioonilisele sõltumatusele on ELi asutused omavahel tihedalt seotud. Nad vahetavad igapäevaselt teavet ning jagavad mitmeid ühiseid süsteeme ja võrke. Mõne ELi asutuse nõrkused võivad luua turvaohte teiste jaoks, sest paljud küberründed teevad eesmärgi või lõpliku sihtmärgini jõudmiseks rohkem kui ühe sammu11. Edukat rünnet mõne nõrgema ELi asutuse vastu võib kasutada hüppelauana teiste ründamiseks. ELi asutustel on ka tihedad sidemed liikmesriikide avaliku ja erasektori organisatsioonidega ning kui nad ei ole küberohtudeks piisavalt ette valmistatud, võivad nad ka oma partnerid ohtu seada.

11 Praegu puudub ELi asutuste infoturbe ja küberturvalisuse küsimuste jaoks õigusraamistik. Nende suhtes ei kohaldata kõige üldisemat küberturvalisust käsitlevat ELi õigusakti (2016. aasta võrgu- ja infoturbe direktiivi12) ning neid ei puuduta ka selle kavandatav läbivaatamine (küberturvalisuse 2. direktiiv13). Samuti puudub põhjalik teave selle kohta, kui palju on ELi asutused küberturbele kulutanud.

12 2020. aasta juulis avaldas komisjon teatise ELi julgeolekuliidu strateegia kohta14 ajavahemikuks 2020–2025. Selle üheks põhimeetmeks on koostada „kõigi ELi institutsioonide, organite ja asutuste jaoks ühised infoturbe ja küberturvalisuse eeskirjad“. See uus raamistik peaks toetama ELi institutsioonide, organite ja asutuste tugevat ja tõhusat operatiivkoostööd, mis keskenduks CERT-EU rollile. 2020. aasta detsembris avaldatud ELi küberturvalisuse strateegias digikümnendi jaoks15 võttis komisjon kohustuse teha ettepanek võtta vastu määrus, mis käsitleks ELi asutuste jaoks kehtivaid ühiseid küberturvalisuse norme. Samuti tegi komisjon ettepaneku luua CERT-EU jaoks uus õiguslik alus, mis tugevdaks selle volitusi ja rahastamist.

Auditi ulatus ja käsitlusviis

13 Arvestades küberrünnete arvu järsku kasvu ja seda, et ühe ELi asutuse puudused võivad tekitada küberohte teiste jaoks, oli käesoleva auditi eesmärk teha kindlaks, kas ELi asutused tervikuna on kehtestanud piisavad meetmed enda kaitseks küberohtude vastu. Peamisele auditiküsimusele vastamiseks otsisime vastuseid järgmisele kolmele alaküsimusele.

  1. Kas ELi asutused järgivad peamisi küberturvalisuse alaseid tavasid?
  2. Kas ELi asutused teevad küberturvalisuse valdkonnas tõhusat koostööd?
  3. Kas ENISA ja CERT-EU pakuvad ELi asutustele küberturvalisuse valdkonnas asjakohast tuge?

14 Auditi ajastus on kooskõlas ELi julgeolekuliidu strateegiaga. Hinnates ELi asutuste praegust küberturvalisuse korraldust, püüame teha kindlaks parandamist vajavad valdkonnad, mida komisjon saab kaaluda seadusandliku ettepaneku koostamisel, mis käsitleb kõigi ELi asutuste jaoks loodavaid kõrgeid ühiseid küberturvalisuse nõudeid.

15 Audit hõlmas küberturvalisuse valdkonnas toimuvat ja algatusi alates 2018. aasta jaanuarist (kui institutsioonidevaheline kokkuleppega loodi CERT-EU) kuni 2021. aasta oktoobrini.

16 Auditi ulatuses piirdusime kübervastupidavusvõime ja salastamata süsteemidega. Keskendusime ohtudeks valmisoleku aspektidele (tegevused, mis on seotud tuvastamise, kaitsmise, avastamisega). Samas ei käsitlenud me intsidentidele reageerimise ja neist taastumise küsimusi. Uurisime aga mõningaid intsidendile reageerimise korralduslikke elemente. Lisaks ei vaadelnud me andmekaitse, õiguskaitse, küberkaitse ja küberdiplomaatia aspekte (vt joonis 2).

Joonis 2. Auditi ulatus

Allikas: Euroopa Kontrollikoda.

17 Meie auditileiud põhinevad kättesaadavate dokumentide põhjalikul analüüsil, mida täiendati vestlustega. Korraldasime 65 ELi asutuse enesehindamisel põhineva küsitluse, et koguda teavet nende küberturvalisuse korralduse ja arvamusi nende institutsioonidevahelise koostöö kohta. Uurisime kõiki ELi asutusi, keda kontrollikojal on õigus auditeerida ning kes haldavad ise oma IT-taristut, samuti meie enda institutsiooni. Uuritud organisatsioonide seas oli nii institutsioone, detsentraliseeritud asutusi, ühisettevõtteid kui ka organeid. Uurisime ka tsiviilmissioone, mis on ELi eelarvest rahastatavad ajutised autonoomsed ja infotehnoloogia seisukohast sõltumatud üksused. I lisas loetletakse kõik küsitluses osalenud ELi asutused. Käesolev audit ei hõlmanud Euroopa Ombudsmani ega Euroopa Andmekaitseinspektorit.

18 Küsitlusele vastamise määr oli 100% ja see oli edasise analüüsi lähtepunktiks. Lisaks moodustasime seitsmest ELi asutusest koosneva ja ELi asutuste heterogeensuse seisukohast esindusliku valimi, kuhu sattunud asutustega arutati küsitlusele antud vastuseid ja kellelt küsiti dokumente. Valikukriteeriumid hõlmasid õiguslikku alust, suurust (personali ja eelarve seisukohast) ja tegevusvaldkonda. ELi asutuste valimisse kuulusid Euroopa Komisjon, Euroopa Parlament, Euroopa Liidu Küberturvalisuse Amet (ENISA), Euroopa Pangandusjärelevalve (EBA), Euroopa Meresõiduohutuse Amet (EMSA), ELi nõuandemissioon Ukrainas (EUAM Ukraine) ja innovatiivsete ravimite algatuse ühisettevõte (ühisettevõte IMI).

19 Samuti korraldasime videokohtumisi CERT-EU, asutuste võrgustiku IKT nõuandekomitee (ICTAC), digiülemineku institutsioonidevahelise komitee (ICDT) ja muude asjaomaste sidusrühmadega.

Tähelepanekud

ELi asutuste küberturvalisuse alase küpsuse tase on väga erinev ja asutused ei järgi alati head tava

20 Käesolevas osas uurime konkreetsetes ELi asutustes kehtivad korda ja nende küberturvalisuse raamistikke. Hindasime, kas nad käsitlesid küberturvalisuse temaatikat järjepidevalt ja asjakohaselt (seda nii IT-turvalisuse juhtimise, riskijuhtimise, ressursside jaotamise, teadlikkuse suurendamise alase koolituse, kontrollimehhanismide kui ka sõltumatu kindluse saamise seisukohast).

ELi asutuste IT-turbe juhtimine ei ole sageli hästi välja arendatud ja riskihindamised ei ole terviklikud

Paljude ELi asutuste IT-turbe juhtimises on lünki

21 Heal juhtimistaval on info- ja IT-süsteemide turvalisuse hästi toimivas raamistikus oluline roll, kuna selles määratletakse organisatsiooni eesmärgid ning näidatakse prioriteetide seadmise ja otsuste tegemise kaudu ära liikumissuund. Infosüsteemide auditeerimise ja kontrolli assotsiatsiooni (ISACA)16 kohaselt peaks IT-turbe juhtimise raamistik hõlmama üldiselt mitut elementi:

  • terviklik turvastrateegia, mis on lahutamatult seotud tegevuseesmärkidega;
  • strateegia, kontrolli ja reguleerimise kõiki aspekte käsitlev turvapoliitika;
  • turvapoliitika iga valdkonna täielikud standardid, milles kirjeldatakse nende põhimõtete järgimiseks vajalikke praktilisi samme;
  • institutsionaliseeritud seireprotsessid, et tagada nõuetele vastavus ja anda tagasisidet nende toimimise kohta;
  • hästi toimiv ja huvide konfliktideta organisatsioonistruktuur.

22 Leidsime puudusi paljude ELi asutuste IT-turbe juhtimises. Ainult 58%-l ELi asutustest (38 asutust 65-st ) on olemas IT-turbe strateegia või vähemalt juhatuse/kõrgema juhtkonna tasandil heaks kiidetud IT-turbe kava. Jaotus ELi asutuste liikide kaupa näitab, et see osakaal on kõige madalam tsiviilmissioonide ja detsentraliseeritud asutuste puhul, mis moodustavad kokku 71% uuritud ELi asutustest (vt tabel 1). Kui kõrgema juhtkonna tasandil ei ole IT-turbe strateegiat või IT-turvalisuse kava heaks kiidetud, kaasneb oht, et tippjuhtkond ei ole IT-turvalisusega seotud küsimustest teadlik või ei ole neid piisavalt oluliseks pidanud.

Tabel 1. Kõrgema juhtkonna poolt heaks kiidetud IT-turbe strateegiat või kava omavate ELi asutuste osakaal

Jaotus töötajate arvu järgi

< 100 töötajat
(22 ELi asutust)
100–249 töötajat
(17 ELi asutust)
250–1000 töötajat
(16 ELi asutust)
>1000 töötajat
(10 ELi asutust)
45% 53% 69% 80%

Jaotus ELi asutuste liikide kaupa

Detsentraliseeritud asutused
(35 ELi asutust)
Tsiviilmissioonid
(11 ELi asutust)
Organid
(4 ELi asutust)
Institutsioonid
(6 ELi asutust)
Ühisettevõtted
(9 ELi asutust)
45% 56% 75% 83% 89%

Allikas: Euroopa Kontrollikoja küsitlus.

23 Uurisime seitsme valimisse kaasatud ELi asutuse esitatud IT-turvalisuse strateegiaid/kavasid (vt punkt 18). Leidsime, et ELi asutuste strateegiad on piisavalt hästi seotud nende tegevuse eesmärkidega. Näiteks komisjoni IT-turbe strateegia hõlmab Euroopa Komisjoni digitaalse strateegia17 IT-turvalisuse mõõdet ning selle eesmärk on toetada strateegia tegevuskava ja eesmärke. Samas sisaldasid vaid kolme meie valimisse kuulunud ELi asutuse IT-turvalisuse strateegiad/kavad konkreetseid eesmärke ja nende saavutamise ajakava.

24 Turvapoliitikas on paika pandud eeskirjad ja menetlused, mida info- ja IT-ressursse kasutavad või haldavad isikud peavad järgima. See aitab maandada küberturvalisuse riske ja sisaldab teavet selle kohta, mida teha intsidentide korral. Leidsime, et 78%-l ELi asutustest on ametlik infoturbepoliitika, samas kui ainult 60%-l on ametlik IT-turvalisuse poliitika (infoturbe ja IT-turvalisuse määratlused on esitatud joonisel 1). Lisaks leidisime, et meie valimisse kuulunud seitsmest ELi asutusest neljal on oma IT-turvalisuse strateegiatega kooskõlas olev turvapoliitika. Neist neljast kolme puhul täiendavad IT-turbe poliitikat siiski vaid osaliselt ajakohased üksikasjalikud turvastandardid, milles kirjeldatakse poliitika rakendamiseks vajalikke praktilisi samme. Ametlike turvastandardite puudumine suurendab ohtu, et IT-turvalisuse küsimusi ei käsitleta sama ELi asutuse sees asjakohaselt ja järjepidevalt. Lisaks on sellisel juhul raskem mõõta, mil määral järgib organisatsioon oma IT-turvalisuse poliitikat. Seitsmest valimisse kaasatud ELi asutusest on ainult komisjonil struktureeritud menetlused IT-turbe poliitika ja standardite järgimise jälgimiseks, kuigi neid kasutab vaid väike arv peadirektoraate (vt 1. selgitus).

1. selgitus

IT-turvalisuse nõuete täitmine komisjonis

Kooskõlas komisjoni detsentraliseeritud IT-juhtimisega vastutab iga peadirektoraadi juht selle eest, et tema peadirektoraadi süsteemid vastaksid IT-turvalisuse standarditele. Informaatika peadirektoraat (DG DIGIT) ning personali- ja turvalisusküsimuste peadirektoraat (DG HR) jälgivad ja edendavad nõuetele vastavuse meetmete rakendamist. DG DIGIT on loonud töövahendi (GRC), mis võimaldab peadirektoraatidel mõõta IT-turvalisuse poliitika järgimist ja selle kohta aru anda.

580 kontrolli on jagatud kolme rühma: üldised kontrollid (peamiselt juhtimisalased), konkreetse peadirektoraadi spetsiifilised kontrollid ning ja süsteemispetsiifilised kontrollid. Töövahendit kasutatakse, kuid seni teevad seda ainult viis peadirektoraati. DG DIGIT-il puudub seega ülevaade nõuete järgimisest komisjonis tervikuna. Euroopa Komisjoni infotehnoloogia ja küberturvalisuse nõukogu (ITCB) võib aga paluda DG DIGIT-il uurida vastavust mõnele konkreetsele standardile (nt 2021. aastal tehti seda seoses mitmetasandilise autentimisega) ning esitada mittesiduvaid arvamusi ja soovitusi või kriitiliste riskide puhul ka ametlikke nõudeid.

25 Teine oluline element heas küberturvalisuse juhtimises on infoturbe juhi ametisse nimetamine. Kuigi ISO 27 000 standardite kogumis seda sõnaselgelt ei nõuta18, on infoturbe juht või samaväärne ametikoht muutunud organisatsioonides laialt levinud tavaks ja sisaldub ISACA suunistes. Tavaliselt lasub infoturbe juhil üldvastutus organisatsiooni teabe- ja IT-turvalisuse programmide eest. Huvide konflikti vältimiseks peaks infoturbe juht olema teataval määral sõltumatu IT-funktsioonist/-osakonnast19.

26 Meie küsitlus näitas, et 60%-l ELi asutustest puudub sõltumatu infoturbe juht või samaväärne ametikoht. Isegi kui infoturbe juhid (või samaväärsed ametnikud) on ametisse määratud, on nende rollid ELi asutustes väga erinevad ja nende ülesandeid mõistetakse erinevalt. Eelkõige väikeste ja keskmise suurusega ELi asutuste puhul seostatakse infoturbe juhte tavaliselt operatiivsemate ülesannetega, mis ei ole sisuliselt IT-osakonnast sõltumatud. See võib piirata infoturbe juhtide sõltumatust oma turvaprioriteetide rakendamisel. ENISA töötab praegu välja ELi küberturvalisuse oskuste raamistikku, mille eesmärk on muu hulgas luua ühine arusaam rollidest, pädevustest ja oskustest.

ELi asutuste IT-turvalisuse riskihindamised ei hõlma enamasti kogu nende IT-keskkonda

27 Kõik IT-turvalisuse rahvusvahelised standardid rõhutavad, kui oluline on luua sobiv meetod IT-süsteeme ja neis sisalduvaid andmeid mõjutavate turvariskide hindamiseks ja käsitlemiseks. Riske tuleks korrapäraselt hinnata, et võtta arvesse muutusi organisatsiooni infoturvalisust puudutavates nõuetes ja organisatsiooni ähvardavaid riske20. Hindamistele peaks järgnema riskide maandamise kava (või IT-turvalisuse kava).

28 Enamik küsitluses osalenutest (58 asutust 65-st) märkis, et neil on oma IT-süsteemide riskihindamise raamistik või metoodika. Samas puudub aga ühine metoodika, mida kasutaksid kõik ELi asutused. Vähemalt 26 ELi asutust kasutasid osaliselt või täielikult komisjoni koostatud metoodikat – nt rakendas 31% ELi asutustest 2018. aasta IT-turvalisuse riskijuhtimise metoodikat (ITSRM2). Teised järgivad metoodikaid, mis põhinevad tuntud valdkondlikel standarditel (nt ISO 27 001, ISO 27 005, NIST-CSFi (National Institute of Standards and Technology) küberturvalisuse raamistik) või kasutavad muid organisatsioonisiseseid metoodikaid.

29 Seitsmest valimisse kaasatud ELi asutusest teevad ainult kaks põhjalikku riskihindamist, mis hõlmab kogu nende IT-keskkonda (st asutuase kõiki IT-süsteeme). Enamik teeb riskihindamisi, milles käsitletakse ainult nende kõige olulisemaid IT-süsteeme. Leidsime mitu näidet riskihindamistest, mis tehti enne uute süsteemide kasutuselevõttu. Samas ei leidnud me tõendeid hilisemate riskihindamise kohta, mis oleks olnud seotud näiteks neis süsteemides/taristus hiljem tehtud muudatustega.

ELi asutused ei käsitle küberturvalisust järjepidevalt ja kohati puuduvad olulised kontrollid

Ressursside eraldamine küberturvalisusele on ELi asutustes väga erinev

30 Oma küsitluses palusime ELi asutustel märkida oma IT-kogukulutused 2020. aastal ja hinnata küberturvalisusele kulutatud summa suurust. Meie andmed näitavad, et küberturvalisusele eraldatud IT-kulutuste protsent erineb märkimisväärselt. See on nii isegi töötajate arvu poolest sarnase suurusega ELi asutuste puhul. Jooniselt 3 nähtub, et erinevused on eriti suured väiksema töötajate arvuga ELi asutuste vahel.

Joonis 3. Küberturvalisuse kulutuste osakaal IT-kulutuste kogusummast (töötajate arvu järgi rühmitatud ELi asutused)

Märkus: neli ELi asutust ei esitanud arvandmeid oma küberturvalisuse kulutuste kohta.

Allikas: Euroopa Kontrollikoja küsitlus.

31 Küberturvalisusega seotud kulutuste optimaalset taset on absoluutarvudes raske hinnata. See sõltub paljudest teguritest, nagu organisatsiooni ründepind, töödeldavate andmete tundlikkus, organisatsiooni riskiprofiil ja -valmidus ning valdkondlikud õiguslikud/regulatiivsed nõuded. Meie andmed näitavad siiski märkimisväärseid erinevusi ja nende põhjused ei ole alati ilmsed. Mõned ELi asutused kulutavad küberturvalisusele oluliselt vähem kui teised sarnase suurusega ELi asutused. Olukorras, kus nad puutuvad kokku sarnaste ohtude ja riskidega, võib seega olla tegu alakulutamisega.

32 Enamik ELi asutustest on nii personali- kui ka IT-kulutuste poolest väikesed või keskmised, kusjuures kahel kolmandikul neist on vähem kui 350 töötajat. Kõige väiksemal ELi asutusel on ainult 15 töötajat. Küberturvalisusega tegelemine on väiksemate ELi asutuste jaoks keerulisem ja ressursimahukam. Enamikul juhtudel ei teki neil mastaabisäästustu. Lisaks puuduvad piisavad organisatsioonisisesed eksperditeadmised. Meie küsitluse ja vestluste põhjal on suurimatel institutsioonidel, nagu komisjon ja Euroopa Parlament, eksperdirühmad, kes tegelevad täistööajaga küberturvalisuse küsimustega. Kõige väiksemates ELi asutustes, kus töötajad ja ressursid on eriti piiratud, ei ole aga üldse eksperte ning küberturvalisuse teemaga tegelevad osalise tööajaga IT-taustaga töötajad. Kuna ELi asutused on omavahel tihedalt seotud, kujutab see endast suuremat riski (vt ka punkt 10).

33 Uurisime oma küsitluses ELi asutustelt, millised on peamised probleemid tõhusa küberturvalisuse poliitika rakendamisel nende organisatsioonides (vt joonis 4). Suurim probleem on see, et küberturvalisuse eksperdid on napp ressurss ja paljudel ELi asutustel on keeruline neid enda juurde tööle meelitada, sest seejuures konkureeritakse nii erasektori kui ka teiste ELi asutustega. Korduvateks probleemideks on ka pikad värbamismenetlused, mittekonkurentsivõimelised lepingutingimused ja atraktiivsete karjäärivõimaluste puudumine. Spetsialistide puudus ohustab märkimisväärset küberturvalisust puudutavate probleemide tõhusat käsitlemist.

Joonis 4. Probleemid tõhusa küberturvalisuse poliitika rakendamisel ELi asutustes (valida võis rohkem kui ühe teguri)

Allikas: Euroopa Kontrollikoja küsitlus.

Enamik ELi asutusi pakub küberturvalisuse alase teadlikkuse teemalist koolitust, kuid see ei ole ei süstemaatiline ega sihipärane

34 Süsteemide ja seadmete nõrkade kohtade ärakasutamine ei ole ainus viis, kuidas võimalikud ründajad saavad kahju tekitada. Nad võivad ka ajendada kasutajaid avaldama tundlikku teavet või laadima alla pahavara (näiteks andmepüügi või sotsiaalse manipulatsiooni abil). Töötajad on osa iga organisatsiooni esimesest kaitseliinist. Seetõttu on küberturvalisuse alane teadlikkus ja koolitusprogrammid tõhusa küberturvalisuse raamistiku üks põhielement.

35 Valdav enamik küsitletud ELi asutustest (95%) pakuvad kõigile töötajatele üldist küberturvalisuse alase teadlikkuse teemalist koolitust. Kolm ELi asutust seda aga ei tee. Samas korraldab ainult 41% ELi asutustest juhtidele spetsiifilisi koolitusi või teadlikkuse tõstmise üritusi ning ainult 29% pakub tundlikku teavet sisaldavate IT-süsteemide eest vastutavatele juhtidele kohustuslikku küberturvalisuse alast koolitust. Juhtkonna teadlikkus ja pühendumus on küberturvalisuse tõhusa juhtimise jaoks otsustava tähtsusega. Üheteistkümnest ELi asutusest, kes märkisid juhtkonna poolse toetuse puudumise üheks tõhusat küberturvalisust pärssivaks probleemiks, pakkusid vaid kolm oma juhtivöötajatele mõningast teadlikkuse suurendamise alast koolitust. Pidevat küberturvalisuse alast koolitust pakub oma IT-töötajatele ja IT-turvalisuse spetsialistidele vastavalt 58% ja 51% ELi asutustest.

36 Kõigil ELi asutustel ei ole mehhanisme, mille abil jälgida töötajate osalemist küberturvalisuse koolitustel ning sellest tulenevat muutust nende teadlikkuses ja käitumises. Eelkõige väiksemates organisatsioonides võidakse anda küberturvalisuse alast teadlikkust suurendavat teavet töötajate mitteametlike kohtumiste käigus. Peamine viis, kuidas organisatsioonid mõõdavad töötajate teadlikkust, on nende käitumise korrapärane testimine, sealhulgas küpsusuuringute või andmepüügi matkimise abil. Viimase viie aasta jooksul on 55% ELi asutustest korraldanud ühe või mitu matkitud andmepüügikampaaniat (või samalaadseid õppusi). Kuna andmepüük on üks peamisi ohte, millega avaliku sektori töötajad kokku puutuvad21, on sellised õppused oluline vahend töötajate koolitamiseks ja teadlikkuse suurendamiseks. Leidsime, et komisjoni küberturvalisuse alase teadlikkuse meetmed on hea tava ja need on kättesaadavad ka teistele huvitatud ELi asutustele (vt 2. selgitus).

2. selgitus

Komisjoni küberturvalisuse alase teadlikkuse koolitused

Komisjonil on informaatika peadirektoraadis DIGIT spetsiaalne küberurvalisuse alase teadlikkuse rühm („Cyber Aware“), kes juhib organisatsiooni küberturvalisuse alase teadlikkuse suurendamise programmi. Programmi juhitakse ja viiakse ellu koostöös personali ja julgeoleku peadirektoraadi (DG HR); peasekretariaadi; sidevõrkude, sisu ja tehnoloogia peadirektoraadi (DG CNECT) ning CERT-EUga. Koolitus on kvaliteetne ja sageli institutsioonidevaheline. Koolituskursusi reklaamitakse koolitusbülletääni kaudu, mida saadetakse ligikaudu 65 000-le ELi töötajale. Platvormi „Cyber Aware“ kaudu on komisjon viimase viie aasta jooksul korraldanud 15 andmepüüki matkivat õppust ja viis hiljuti läbi esimese kogu komisjoni hõlmava õppuse.

Olulisi kontrolle alati ei kasutata või ei ole neid muudetud ametlikeks standarditeks

37 Palusime ELi asutustel endil hinnata, kui hästi nad valitud olulisi kontrolle rakendavad22. Valisime välja parimad tavad, mida isegi väiksemad organisatsioonid oleksid võimelised rakendama23. Tulemused on kokkuvõtlikult esitatud joonisel 5. Enamik küsitluses osalenud ELi asutustest kasutavad neid valitud olulisi kontrolle. Mõnes valdkonnas tundub siiski, et vähemalt 20% ELi asutuste puhul on kontrollid puudulikud või piiratud.

Joonis 5. Oluliste kontrollide rakendamine ELi asutustes (enesehindamise tulemused)

Allikas: Euroopa Kontrollikoja küsitlus.

38 Valimisse kaasatud seitsme ELi asutuse puhul küsisime tõendavaid dokumente ja vastavaid standardeid/poliitikat iga kontrolli kohta, mille kasutamist nad kinnitasid. Saime need dokumendid 62 % kontrollide kohta. Nagu vestluste käigus selgus, kasutati mitmel juhul küll tehnilisi kontrolle, kuid neid ei olnud muudetud ametlikeks (ajakohastatud) standarditeks või põhimõteteks. See suurendab ohtu, et IT-turvalisuse küsimusi ei käsitleta ühes ja samas ELi asutuses järjepidevalt (vt ka punkt 24).

Mitme ELi asutuse küberturvalisuse taseme kohta puudub sõltumatut ekspertide antav korrapärane kindlus

39 ISACA andmeetel24 on siseaudit üks organisatsiooni kolmest peamisest kaitseliinist, ülejäänud kaks on juhtimine ja riskijuhtimine. Siseauditid aitavad parandada info- ja IT-turvalisuse juhtimist. Uurisime, kui sageli saavad ELi asutused oma IT-turvalisuse raamistiku kohta sõltumatut kindlust sise- või välisauditite ning oma küberkaitse ennetava testimise kaudu.

40 Komisjoni siseauditi talitus (IAS) vastutab muu hulgas komisjoni, detsentraliseeritud asutustes, ühisettevõtetes ja Euroopa välisteenistuses IT-auditite tegemise eest. Talituse volitused hõlmavad 46 ELi asutust (70% 65-st uuritud asutusest) ning siseauditi talitus on viimase viie aasta jooksul teinud IT-turvalisusega seotud auditeid kuues erinevas ELi asutuses. Lisaks on DG HR pädev kontrollima IT-turvalisust, mis hõlmab infoturbe tehnilisi aspekte25. Ülejäänud ELi asutustest seitse märkisid, et nende siseaudititeenistus tegeleb ka IT-aspektidega, kuid 12 ELi asutuse puhul ei olnud meie küsimustikule antud vastused piisavad, et teha kindlaks, kas nende siseaudititeenistusel on selline suutlikkus.

41 Veel üks võimalus sõltumatu kindluse saamiseks on sõltumatute üksuste tehtavad IT-turvalisuse välisauditid. Hoolimata kiiresti muutuvast kübermaastikust ei olnud 34% ELi asutuste kohta tehtud 2015. aasta algusest kuni 2021. aasta esimese kvartalini ühtegi IT-turvalisust puudutavat sise- ega välisauditit. Selle näitaja jaotus ELi asutuste liikide kaupa näitab, et 75% ELi organitest, 66% ühisettevõtetest ja 45% tsiviilmissioonidest ei ole alates 2015. aastast läbinud ühtegi IT-turvalisust käsitlevat sise- või välisauditit.

42 Lisaks sise- ja välisaudititele võivad organisatsioonid oma IT-turvalisuse raamistiku kohta kindluse saamiseks ka testida ennetavalt oma küberkaitset, et teha kindlaks nõrgad kohad. Üheks selliseks viisiks on läbistustestimine (mida tuntakse ka nn eetilise häkkimisena), mis tähendab konkreetsete arvutisüsteemide vastu tehtavaid matkitud küberründeid. Meie küsitlusele vastates märkis 69% ELi asutustest, et nad on viimase viie aasta jooksul teinud vähemalt ühe läbistustesti. 45%-l juhtudest viis selle läbi CERT-EU.

43 Küberkaitset saab simuleeritud rünnete abil testida ka nn punaste tiimide õppuste raames. Seejuures kasutatakse tehnikaid, mida on hiljuti kasutatud ka tegelikes rünnetes. Need õppused on keerukamad ja terviklikumad kui läbistustestid, sest hõlmavad mitut süsteemi ja võimalikku ründestsenaariumi. ELi asutused teevad neid harvemini: 46% ELi asutustest märkis, et on viimase viie aasta jooksul korraldanud vähemalt ühe punase tiimi õppuse. Neist 75% viis läbi CERT-EU. Punaste tiimide õppuste ettevalmistamiseks ja läbiviimiseks vajatakse palju tööd ning CERT-EU on praegu suuteline läbi viima viis kuni kuus õppust aastas.

44 Välja arvatud kaks hiljuti loodud ELi asutust, ei olnud 16 uuritud ELi asutust (25%) teinud viimase viie aasta jooksul läbistusteste ega punaste tiimide õppusi. Kokku ei ole seitsme ELi asutuse (10%) IT-turvalisuse korra kohta kunagi mingit sõltumatut kindlust antud. See puudutab üht ühisettevõtet, üht detsentraliseeritud asutust ja viit tsiviilmissiooni.

ELi asutused on loonud koostöömehhanismid, kuid neis on puudusi

45 Käesolevas osas vaadeldakse osalejaid ja komiteesid, mis on loodud selleks, et edendada ELi asutuste vahelist koostööd küberturvalisuse valdkonnas, samuti institutsioonidevahelist juhtimis- ja koordineerimiskorda. Täpsemalt uurisime kahte institutsioonidevahelist osalejat, ENISAt ja CERT-EUd ning kaht institutsioonidevahelist komiteed, milleks on institutsioonidevaheline digiülemineku komitee (ICDT), eelkõige selle küberturvalisuse allrühm, ning info- ja kommunikatsioonitehnoloogia nõuandekomitee (ICTAC). Hindasime ka seda, mil määral on need loonud sünergiat, et suurendada ELi asutuste küberturvalisuse alast valmisolekut.

ELi asutuste tegevuse koordineerimiseks on olemas ametlik struktuur, kuid selle juhtimises on mõningaid probleeme

46 ICDT ja ICTAC on kaks peamist komiteed, mis edendavad ELi asutuste vahelist IT-alast koostööd. ICDT, mis koosneb ELi institutsioonide ja organite IT-juhtidest, on teabevahetuse ja koostöö edendamise foorum. Sellel on küberturvalisuse allrühm (ICDT CSSG), kes annab aru ICDT-le ja võib soovitada otsuste tegemist konkreetsetes küsimustes. ICTAC on aga ELi asutuste võrgustiku (EUAN) alarühm, mis on ELi asutuste juhtide loodud mitteametlik võrgustik, mis keskendub ametite ja ühisettevõtete vahelisele koostööle. Nii ICDT-l kui ka ICTACil on selgelt määratletud üksteist täiendavad rollid: ICTAC hõlmab detsentraliseeritud asutusi ja ühisettevõtteid, samas kui ICDT liikmeteks on institutsioonid ja organid. ICDT ja ICTAC on oma olemuselt pigem mitteametlikud nõuanderühmad ja foorumid teabe ja parimate tavade vahetamiseks. Lisateave nende institutsioonidevaheliste komiteede kohta on esitatud II lisas.

ELi asutuste esindatus asjaomastes foorumites ei ole alati piisav

47 Kuigi esindusstruktuurid on selged, ei pea kõik ELi asutused oma tegelikku esindatust piisavaks. Meie küsitluses paluti esitada arvamus väite kohta „Minu vajadusi võetakse piisavalt arvesse asjakohastel institutsioonidevahelistel foorumitel ja minu ELi asutus on piisavalt esindatud otsuseid tegevates nõukogudes“, ei nõustunud sellega 42% ELi asutustest. Osa kõige väiksematest ELi asutustest leidis, et neil ei ole piisavalt vahendeid, et aktiivselt osaleda institutsioonidevahelistel foorumitel.

48 CERT-EU juhtnõukogu, nende peamine otsuseid tegev organ, ei esinda ka selle osalisi tervikuna. CERT-EU osutab teenuseid 87-le ELi asutusele ja kolmele muule organisatsioonidele. Juhtnõukogusse kuuluvad siiski ainult institutsioonidevahelisele kokkuleppele allakirjutanud 11 institutsiooni (seitse ELi institutsiooni ning Euroopa välisteenistus, Euroopa Majandus- ja Sotsiaalkomitee, Regioonide Komitee ja Euroopa Investeerimispank) ning ENISA esindajad, kellel kõigil on üks hääl26.

49 Üle poole CERT-EU liikmetest on ELi detsentraliseeritud asutused ja ühisettevõtted, millel on kokku ligikaudu 12 000 töötajat. Ametlikult esindab nende huve CERT-EU juhtnõukogus ENISA. ENISA volitused esindada ELi asutusi ja ühisettevõtteid on siiski piiratud, sest nad ei ole teda otseselt ametisse nimetanud ega valinud. Praktikas väljendab detsentraliseeritud asutuste ja ühisettevõtete seisukohti juhtnõukogu koosolekutel ICTACi esindaja, kellel on lubatud aidata ENISAt asutuste esindamisel. Vaatamata 48 ELi asutuse seisukohtade ja huvide väljendamisele, ei ole ICTACi esindajal praegu juhtnõukogus ametlikku kohta ega hääleõigust. 2021. aasta aprillis saatis ICTAC CERT-EU juhtnõukogu esimehele ametliku taotluse juhtnõukogus hääleõiguse saamiseks. Käesoleva aruande koostamise ajaks ei olnud seda taotlust veel rahuldatud. Ülevaade ELi asutuste esindatusest otsuseid tegevates nõukogudes ja komiteedes on esitatud joonisel 6.

Joonis 6. Ülevaade küberturvalisuse juhtimisest ja esindatusest otsuseid tegevates nõukogudes ja komiteedes

Allikas: Euroopa Kontrollikoda.

50 ELi asutuste küberturvalisuse institutsioonidevaheline juhtimine on killustatud ja ühelgi üksusel ei ole praegu põhjalikku ülevaadet ELi asutuste küberturvalisuse alasest küpsusest, nende volitustest võtta juhtrolli või juurutada ühiseid siduvaid norme. Nii ENISA kui ka CERT-EU saavad ELi asutusi ainult toetada ja abistada. Asjaomastel komiteedel ei ole otsustusõigust ja nad saavad ELi asutustele anda ainult soovitusi. Lisaks ei ole ühe viiendiku uuritud ELi asutuste puhul samuti selge, kuhu pöörduda konkreetse teenuse, töövahendi või lahenduse saamiseks.

Peamised osalejad on sõlminud vastastikuse mõistmise memorandumid, kuid seni ei ole need andnud konkreetseid tulemusi

51 2018. aasta mais allkirjastati ENISA, CERT-EU, Europoli küberkuritegevuse vastase võitluse Euroopa keskuse (EC3) ja Euroopa Kaitseagentuuri (EDA) vaheline vastastikuse mõistmise memorandum. See keskendus viiele koostöövaldkonnale: teabevahetus, haridus ja koolitus, küberõppused, tehniline koostöö ning strateegilised ja haldusküsimused. Kuigi vastastikuse mõistmise memorandum võib aidata vältida dubleerimist ühise töökava abil, ei ole me näinud tõendeid selle kohta, et selle tulemusel oleks saavutatud konkreetseid tulemusi või võetud ühiseid meetmeid.

52 2019. aasta juunis jõustunud küberturvalisuse määrusega nähti ette uue ja konkreetse koostöökokkuleppe allkirjastamine CERT-EU ja ENISA vahel. Väärib märkimist, et vastastikuse mõistmise memorandumi lõplikuks allkirjastamiseks 2021. aasta veebruaris kulus enam kui poolteist aastat. Selle vastastikuse mõistmise memorandumiga püütakse luua struktureeritud koostöö CERT-EU ja ENISA vahel. Selles määratletakse nende koostöövaldkonnad (suutlikkuse suurendamine, operatiivkoostöö ning teadmised ja teave) ning määratakse kindlaks ülesannete üldine jaotus: CERT-EU võtab ELi asutuste abistamisel juhtrolli ning ENISA annab sellesse töösse oma panuse. Vastastikuse mõistmise memorandumis ei määratleta praktilist korda, kuna see on täpsustatud iga-aastases koostöökavas. ENISA haldusnõukogu võttis 2021. aasta esimese iga-aastase koostöökava vastu 2021. aasta juulis ja CERT-EU juhtnõukogu 2021. aasta septembris. Seetõttu on meie auditi ajal liiga vara hinnata, kas see kava on andnud käegakatsutavaid tulemusi.

53 Kuna nii punktides 51 kui 52 nimetatud vastastikuse mõistmise memorandumitel on ühised eesmärgid ja koostöövaldkonnad, nagu koolitus, õppused ja teabevahetus, esineb kattumise ja dubleerimise oht.

Koostööst tulenevat võimalikku koostoimet ei ole veel täielikult ära kasutatud

Koostoime saavutamiseks on astutud positiivseid samme

54 ICTACi ja ICCDT komiteede töökavades on kindlaks määratud asjakohased teemad, kus tõhusust on võimalik koostöö abil suurendada. Praktilised näited algatustest, mis on võimaldanud ELi asutustel koostoimest kasu saada, on järgmised:

  • institutsioonidevahelised raamlepingud;
  • ühine avariitaastekeskus, mida alates 2019. aastast haldab Euroopa Liidu Intellektuaalomandi Amet (EUIPO) detsentraliseeritud asutuste jaoks ja mis võimaldab kokku hoida kulusid vähemalt 20% võrreldes turuhindadega (selle avariitaastelahendusega on ühinenud üheksa ametit);
  • samas hoones asuva kuue ühisettevõtte vahelised kokkulepped ühise taristu ja ühise IT-turvalisuse raamistiku jagamiseks (alates 2014. aastast).

55 Teine oluline näide on süsteem GovSEC, mis aitab ELi asutustel teha riskihindamisi pilvelahenduste kasutuselevõtuks. Meie küsitlusele antud vastuste kohaselt kasutab 75% ELi asutustest juba mõningaid avalikke pilveplatvorme ja need, kes seda veel ei tee, plaanivad pilvelahendused kasutusele võtta. Alates 2019. aastast on komisjon järginud pilvelahenduste eelistamise lähenemisviisi, nähes ette turvalist mitmeotstarbelise hübriidteenuse pakkumist27. Vastavalt raamlepingule „Cloud II“ on komisjon ka kõigi ELi asutuste jaoks pilvelahenduste vahendaja. Pilveplatvormide turva- ja andmekaitseriskide juhtimine nõuab uusi oskusi ja teistsugust lähenemisviisi kui tavapärane kohapealne asuv IT-taristu. Tõhus infoturbe riskijuhtimine pilves on ELi asutuste jaoks ühine väljakutse ning GovSEC on näide lahendusest, mis võib vastata mitme või koguni kõigi ELi asutuste vajadustele.

Koostöö ja tavade jagamine ELi asutuste vahel ei ole ikka veel optimaalne

56 Institutsioonidevaheliste komiteede olemasolu ei loo automaatselt koostoimet ning ELi asutused ei jaga alati parimaid tavasid, eksperditeadmisi, metoodikaid ja saadud kogemusi. Lisaks sellele otsustab iga ELi asutus ise, mil määral ta ICDT CSSG töös osaleb. ICDT CSSG liikmed saavad vaatamata koosolekutel osalemisele anda oma panuse ainult niivõrd, kuivõrd nende tavapärased ülesanded ELi asutustes võimaldavad, ning see on juba aeglustanud mõne töökonna poolt kokku lepitud meetmete rakendamist.

57 Leidsime konkreetseid valdkondi, kus puudub kord, et ELi asutused saaksid jagada kogemusi ja teha algatusi. Näiteks võivad ELi asutused taotleda võrgustiku kaitsevõime raamlepingu alusel uuringu tegemist küberturvalisuse nõuete konsolideerimiseks ja lahenduste leidmiseks. Pole aga loodud andmehoidlat, mis sisaldaks uuringuid, mida teised ELi asutused on teinud või taotlenud, ning seetõttu võivad ELi asutused mitu korda taotleda sama uuringu tegemist. Lisaks ei avalikusta ELi asutused üksteisele süstemaatiliselt, et neil on lepingulisi suhteid konkreetsete tarnijatega või et nad kasutavad mõnda konkreetset tarkvaralahendust. See teadmiste puudumine võib põhjustada lisakulusid ja puuduvat koostoimet.

58 Samuti ei jaga ELi asutused omavahel süstemaatiliselt teavet küberturvalisuse projektide kohta, mida nad ellu viivad, isegi kui neil võib olla institutsioonidevaheline mõju. ICDT CSSG mandaat sisaldab sätet, mille kohaselt ELi asutused jagavad teavet uute projektide kohta, mis võivad mõjutada teiste ELi asutuste küberturvalisust ja/või nendelt saadud teabe kaitset. ICDT CSSGd ei teavitata siiski sellistest projektidest.

59 Kui luuakse uus asutus, peab see hakkama nullist rajama oma IT-taristut ja IT-turvalisuse raamistikku. Uutele asutustele ei ole loodud teenuste kataloogi, töövahendeid ega selgeid suuniseid/nõudeid. Selle tulemusel on ELi asutuste IT-keskkonnad väga erinevad ning igal organisatsioonil on võimalik iseseisvalt hankida oma tarkvara, riistvara, taristu ja teenused. Sama kehtib ka IT-turvalisuse raamistiku puhul, kuna puuduvad ühised nõuded ja standardid. Selline olukord võib kaasa tuua jõupingutuste dubleerimise ja ELi rahaliste vahendite ebatõhusa kasutamise, aga ka CERT-EU jaoks suurema keerukuse seoses vajaliku toega.

Praktilised puudused tundliku teabe vahetamisel

60 Mõnel ELi asutusel ei ole ikka veel sobivaid lahendusi tundliku salastamata teabe vahetamiseks. Sobivad lahendused leidnud asutused olid tavaliselt kasutusele võtnud erinevad tooted ja süsteemid, mis tähendab omakorda probleeme koostalitlusvõimega. Ühised turvalised platvormid on olemas ainult mõneks konkreetseks otstarbeks, näiteks platvormid, mida CERT-EU pakub kõigile osalistele tundliku teabe vahetamiseks intsidentide, ohtude ja nõrkade kohtade kohta.

61 Näiteks ei ole enam kui 20%-l ELi asutustest krüpteeritud e-postiteenust. Neil, kellel see on, esineb sageli koostalitlusvõimega seotud probleeme ning sertifikaate ei tunnustata vastastikku. ICTAC ja ICDT on juba aastaid arutanud laiendatava ja koostalitlusvõimelise lahenduse võimalusi ning 2018. aastal viidi läbi katseprojekt. Seda probleemi ei ole aga veel lahendatud.

62 Teine probleem on tundliku salastamata teabe ühiste märgiste puudumine. Märgistused on kategooriad, mis näitavad teabe valdajatele selle teabe kaitse erinõudeid. Need erinevad ELi asutuste vahel, mis raskendab teabevahetust ja teabe nõuetekohast käitlemist.

63 2020. aastal sundis COVID-19 pandeemia ELi asutusi võtma ulatuslikult kasutusele kommunikatsiooni- ja videokonverentsivahendid, et tagada talitluspidevus. Tuvastasime, et ELi asutused kasutavad videokonverentsideks vähemalt 15 erinevat tarkvaralahendust. Isegi kui eri ELi asutused kasutavad sama lahendust või platvormi, puudub sageli koostalitlusvõime isegi siis, kui kõik pooled kasutavad sama tarkvaralahendust. Lisaks erinesid ELi asutuste suunised selle kohta, millist teavet (tundlikkuse seisukohast) võiks konkreetsel platvormil jagada või arutada. Sellised probleemid põhjustavad majanduslikku ja tegevuse ebatõhusust ning võivad tekitada turvaprobleeme.

ENISA ja CERT-EU ei ole seni pakkunud ELi asutustele kogu vajalikku tuge

64 Selles osas uurisime kahte peamist üksust, kelle ülesanne on toetada ELi asutusi küberturvalisuse valdkonnas: ENISA ja CERT-EU. Hindasime, kas mõlema üksuse antud tugi on jõudnud ELi asutusteni ja vastab nende vajadustele, tuues esile tuvastatud puuduste põhjused.

ENISA on ELi küberturvalisuse valdkonnas oluline osaleja, kuid tema pakutavat tuge on seni saanud väga vähesed ELi asutused

65 2019. aasta juunis jõustus küberturvalisuse määrus28, millega asendati ENISA eelmine õiguslik alus29, ning sellega anti ametile suuremad volitused. Täpsemalt on määruses sätestatud, et ENISA peaks aktiivselt toetama nii liikmesriike kui ka ELi asutusi küberturvalisuse parandamisel suutlikkuse suurendamise, operatiivkoostöö tõhustamise ja koostoime loomise kaudu. Suutlikkuse suurendamise valdkonnas on ENISA-l nüüd volitused abistada ELi asutusi nende jõupingutustes parandada küberohtude ja -intsidentide ennetamist, avastamist ja analüüsimist, eelkõige CERT-EU-le pakutava asjakohase toe kaudu30. ENISA peaks abistama ka ELi institutsioone ELi küberturvalisuse strateegiate väljatöötamisel ja läbivaatamisel, nende levitamise edendamisel ja nende rakendamisel tehtud edusammude jälgimisel.

66 Kuigi küberturvalisuse määruses on selgelt öeldud, et ENISA peaks toetama ELi asutusi nende küberturvalisuse parandamisel, ei ole ENISA veel ellu viinud ühtegi tegevuskava, mis oleks olnud seotud tema eesmärgiga aidata ELi asutusi nende suutlikkuse suurendamisel (üksikasjalikum teave on esitatud 3. selgituses).

3. selgitus

Ebapiisav kooskõla ENISA eesmärgi ja väljundite vahel, mis on seotud ELi asutustega

Mõningad ENISA kolmeaastastest prioriteetidest, mis on loetletud 2018.–2020. aasta mitmeaastases töökavas eesmärgi 3.2 („Aidata kaasa ELi institutsioonide suutlikkuse suurendamisele“) all, on järgmised:

  • „Pakkuda liidu institutsioonidele ennetavat nõustamist nende võrgu- ja infoturbe tugevdamise kohta (määrata kindlaks prioriteedid ELi asutustele, kellel on kõige rohkem võrgu- ja infoturbe suutlikkuse suurendamise vajadusi, luues nendega korrapärase suhtlemise (nt iga-aastased seminarid) ja keskendudes nendele prioriteetidele)“;
  • „Pakkuda ELi institutsioonidele abi võrgu- ja infoturbe käsitlemisel (tagada partnerlus CERT-EU ja tugeva võrgu- ja infoturbe suutlikkusega institutsioonidega, et toetada tema tegevust selle eesmärgi raames)“.

ENISA 2018., 2019. ja 2020. aasta töökavades on eesmärgi 3.2 all ainult kaks tegevuseesmärki (väljundit):

  • „Osalemine CERT-EU juhtnõukogus ja ELi asutuste esindamine CERT-EU teenust kasutades“;
  • „Koostöö asjaomaste ELi asutustega nende ülesannetega seotud võrgu- ja infoturbe mõõdet hõlmavate algatuste valdkonnas (sealhulgas EASA, CERT-EU, EDA, EC3)“.

Tegevuseesmärgid ei hõlma ennetava nõustamisega seotud tegevust. Peale selle ei muudetud eesmärki sõnastada kõige suuremate vajadustega asutuste prioriteetide põhjal tegevusväljundid, kuna see asendati eesmärgiga teha asutustega koostööd, et esindada nende vajadusi CERT-EU juhtnõukogus.

67 ENISA peamine otsuseid tegev organ on haldusnõukogu, kuhu kuulub üks liige igast liikmesriigist (EL 27) ja kaks komisjoni nimetatud liiget31 (vt joonis 6). Igal liikmel on üks hääl ja otsused tehakse lihthäälteenamusega32. Selle tulemusena võidakse liikmesriike puudutavatele meetmetel omistada suurem tähtsus kui ELi asutuste omadele. Näiteks ENISA 2018. aasta töökavas otsustas haldusnõukogu piisavate vahendite puudumise tõttu seada teatavad tegevused tähtsuse järjekorda ja jätta kõrvale kolm, millest üks oli „toetus olemasolevate võrgu- ja infoturbepoliitika/menetluste/tavade hindamiseks ELi institutsioonides“. Selle tegevuse eesmärk oli võimaldada ENISA-l koostada ülevaade ELi asutuste tavadest ja hinnangulisest küberturvalisuse alasest küpsusest, mis on aluseks tulevastele sihipärastele meetmetele.

68 ENISA strateegilistes eesmärkides ette nähtud siht pakkuda ELi asutustele ennetavat abi ei ole siiski realiseerunud tema tegevuseesmärkide ega konkreetsete meetmetena. Suutlikkuse suurendamise ja operatiivkoostöö valdkonnas pakutav toetus on seni olnud piiratud ning seda on antud ainult mõnele toetust taotlenud ELi asutustele.

69 Samuti on küberturvalisuse määruses sätestatud, et aitamaks ELi asutusi suutlikkuse suurendamisel, peaks ENISA pakkuma CERT-EU-le asjakohast tuge. Auditi ajal piirdus selline toetus vaid mõne konkreetse meetmega. Näiteks viis ENISA 2019. aastal läbi CERT-EU vastastikuse hindamise seoses CERT-EU liikmesusega ELi CSIRTide võrgustikus (mis loodi küberturvalisuse direktiiviga).

70 Meie küsitluse vastuste kohaselt avaldab ENISA küberturvalisuse kohta kvaliteetseid aruandeid ja suuniseid, millest mõnda kasutavad ELi asutused. Puuduvad aga konkreetsed suunised, mis oleksid suunatud ELi asutustele ning nende keskkonnale ja vajadustele. ELi asutused, eriti need, mis on küberturvalisuse valdkonnas vähem arenenud, vajavad praktilisi suuniseid mitte ainult selle kohta, mida teha, vaid ka selle kohta, kuidas seda teha. Seni on ENISA ja CERT-EU toetus olnud piiratud ja ebasüstemaatiline.

71 ENISA on korraldanud mitmeid küberturvalisuse alaseid koolituskursusi, mis olid enamasti suunatud liikmesriikide ametiasutustele, kuid millel osales ka piiratud arv ELi asutuste töötajaid. Konkreetselt ELi asutuste jaoks pakkus ENISA vaid kahte iseõppekoolitust. ENISA pakub oma veebisaidil muu hulgas veebipõhist koolitusmaterjali, millele pääsevad juurde ka ELi asutused, kuid seni on need olnud peamiselt CSIRTi tehnilistele ekspertidele mõeldud kursused ning seega ei ole need enamiku ELi asutuste jaoks kasulikud.

72 Lisaks koolitusele saab ENISA ELi asutusi toetada küberturvalisuse õppuste kaudu. 2020. aasta oktoobris aitas ENISA koostöös CERT-EUga korraldada küberturvalisuse õppust ICTACi jaoks. Tegu on ainsa õppusega, mille ENISA on korraldanud spetsiaalselt ELi asutuste töötajatele. Lisaks sellele on ENISA aidanud korraldada mitmeid õppusi mõne ELi asutuse taotlusel (nt eu-LISA, EMSA, Euroopa Parlament ja Europol), peamiselt nende sidusrühmade jaoks liikmesriikide ametiasutustes, ning neil on osalenud ka mõned ELi asutuste töötajad.

73 Küberturvalisuse määrusega sai ENISA ka uue rolli – aidata selleks soovi avaldanud ELi asutusi nende nõrkuste avalikustamise alases tegevuses. ENISA-l ei ole siiski ikka veel ülevaadet üksikute ELi asutuste küberturvanõrkuste avalikustamise poliitikast ning ta ei aita neid nende kehtestamisel ja elluviimisel.

CERT-EU on oma liikmete seas kõrgelt hinnatud, kuid tema vahenditest ei piisa praeguste küberturvalisusega seotud ülesannete täitmiseks

74 Pärast mitut algatust (vt joonis 7) loodi 2012. aasta septembris komisjoni otsusega33 ELi asutuste alalise töörühmana ELi institutsioonide ja ametite infoturbeintsidentidega tegelev rühm (CERT-EU) (vt punkt 08).

Joonis 7. CERT-EU taust

Allikas: Euroopa Kontrollikoda.

75 Kuigi CERT-EU on oma tegevuses sõltumatu, on ta endiselt töökond, kes ei ole juriidiline isik. Halduslikult asub ta Euroopa Komisjoni informaatika peadirektoraadis, kust ta saab logistilist ja haldustuge. CERT-EU eesmärk on muuta ELi asutuste IKT-taristu turvalisemaks, suurendades selle suutlikkust tulla toime küberohtude ja nõrkade kohtadega ning ennetada ja avastada küberründeid ning neile reageerida. CERT-EU-l on ligikaudu 40 spetsialistide rühmadesse jaotatud töötajat, kes keskenduvad näiteks küberohtude luurele, digitaalsele kohtuekspertiisile ja intsidentidele reageerimisele.

CERT-EU on hinnatud partner, kelle töökoormus suureneb

76 CERT-EU küsib oma liikmetelt tagasisidet ja ettepanekuid kord kvartalis toimuvate seminaride ning iga-aastaste kahepoolsete kohtumiste ja rahulolu-uuringute kaudu. Rahulolu-uuringute ja meie enda küsitluse kohaselt on liikmed CERT-EU pakutavate teenustega suures osas rahul. CERT-EU teenuste kataloogi muutumine annab tunnistust tema jõupingutustest kohaneda ELi asutuste vajadustega.

77 Kuigi suured ELi asutused, kellel on märkimisväärne asutusesisene suutlikkus, kasutavad CERT-EU-d peamiselt teabejagamiskeskusena ja ohuteabe allikana, siis väiksemad ELi asutused toetuvad CERT-EU-le suurema hulga teenuste puhul, nagu logide jälgimine, läbistustestid, punaste tiimide õppused ja intsidentidele reageerimise toetamine. CERT-EU teenused on eriti väärtuslikud väiksemate ELi asutuste jaoks, kuna neil on organisatsiooni sees vähem teadmisi ning puudub mastaabisääst (vt punktid 31 ja 33).

78 CERT-EU on viimastel aastatel tugevdanud oma suutlikkust ja menetlusi seoses ohtude ja intsidentide arvu järsu suurenemisega. CERT-EU teabetoodete, eelkõige ohuhoiatuste ja märgukirjade arv on pidevalt kasvanud (joonis 8). 2020. aastal väljastas CERT-EU 171 ohumemo ja 53 -hoiatust (oluliselt rohkem kui 80 memo ja 40 hoiatust, mille ta algselt pidi väljastama).

Joonis 8. Ohuteadmustoodete arvu suurendamine

Allikas: Euroopa Kontrollikoda CERT-EU andmete põhjal.

79 CERT-EU toetab ka ELi asutusi küberintsidentide käsitlemisel. Kui 52%-l ELi asutustest on sisemine reageerimisrühm või vähemalt intsidendikoordinaator, siis ülejäänud 48% tugineb intsidendi korral CERT-EU-le ja/või muudele välistele teenuseosutajatele. Siiski võivad isegi suured ELi asutused, kellel on asutusesisene reageerimisvõime, taotleda CERT-EU-lt toetust keerukate intsidentidega tegelemisel.

80 CERT-EU käsitletud juhtumite koguarv suurenes 561-lt 2019. aastal 884-le 2020. aastal. Eelkõige on suurenenud oluliste intsidentide arv – 2018. aastal oli neid vaid üks, 2020. aastal aga juba 13. 2021. aastal registreeriti 17 olulist intsidenti – rohkem kui seni rekordilisel 2020. aastal, kui registreeriti 13 juhtumit. Olulisi intsidente põhjustavad üldiselt väga keerulised ohud. Need võivad mõjutada mitut ELi asutust, nendega võivad kaasneda kontaktid ametiasutustega, ning rünnatud pooltel ja CERT-EU-l kulub intsidentide likvideerimiseks tavaliselt mitu nädalat või isegi kuud.

81 CERT-EU on ka peamine ELi asutuste küberkaitsesüsteemide ennetava hindamise ja testimise pakkuja. Kokkuvõte CERT-EU tegevusest selles valdkonnas on esitatud joonisel 9. Lisaks pakub CERT-EU alates 2020. aastast ka välisvõrkude skaneerimist.

Joonis 9. CERT-EU tehtud testid ja hindamised

Allikas: Euroopa Kontrollikoda CERT-EU andmete põhjal.

Osalised ei jaga CERT-EU-ga õigeaegselt asjakohast teavet

82 Institutsioonidevahelises kokkuleppes34 on sätestatud, et osalised peaksid CERT-EUd olulistest küberturvalisuse intsidentidest teavitama. Praktikas ei ole see aga alati nii olnud. Institutsioonidevahelises kokkuleppes ei ole ette nähtud mehhanismi, mille abil tagada, et CERT-EU liikmed kohustuksid õigeaegselt olulistest intsidentidest teatama. Institutsioonidevahelises kokkuleppes sisalduva „oluliste intsidentide“ üldine määratlus jätab intsidendist teatamise võimaluse ELi asutuste otsustada. CERT-EU juhtkonna sõnul ei ole mõned osalised jaganud õigeaegselt teavet oluliste intsidentide kohta, mis takistab CERT-EU-l tegutseda kõigi ELi asutuste küberturvalisuse alase teabevahetuse ja intsidentidele reageerimise koordineerimiskeskusena. Näiteks üks väga keeruka ohuga silmitsi seisev osaline ei teavitanud CERT-EUd ega küsinud temalt tuge. See takistas CERT-EU-l koguda selle küberohu kohta teavet, mis oleks olnud kasulik teiste sama ohuga silmitsi seisvate osaliste toetamisel. Rünne mõjutas vähemalt kuut ELi asutust.

83 Samuti ei ole osalised CERT-EU-ga aktiivselt jaganud õigeaegset teavet neid mõjutavate küberturvalisuse ohtude ja nõrkuste kohta, kuigi institutsioonidevahelises kokkuleppes35 seda nõutakse. CERT-EU digikriminalistika ja intsidentidele reageerimise rühm ei ole saanud teateid nõrkadest kohtadest ega puudustest kontrollides, mis on avastatud väljaspool intsidentide konteksti, mida ta aktiivselt uurib. Osalised ei jaga ennetavalt sise- või välisauditite asjakohaseid leide.

84 Lisaks ei kohusta institutsioonidevaheline kokkulepe ELi asutusi teatama CERT-EU-le olulistest muudatustest oma IT-keskkonnas ning seetõttu ei ole osalised CERT-EUd asjaomastest muudatustest süstemaatiliselt teavitanud. Näiteks ei teavita ELi asutused CERT-EU-d alati kõikidest muutustest oma IP-aadresside vahemikes (st nende taristu internetiaadresside loetelus). CERT-EU vajab ajakohastatud IP-aadresside vahemikke, et seal näiteks suurte nõrkade kohtade avastamise korral võimalikke haavatavusi otsida. Kui ELi asutused ei teavita CERT-EU-d sellistest muudatustest, mõjutab see rühma võimet neid toetada. Kui CERT-EUd ei teavitata, mõjutab see ka tema suutlikkust süsteeme jälgida ja raskendab seirevahendites sisalduvate ebatäpsete andmete parandamist. CERT-EU juhtkonna sõnul avastab rühm mõnikord intsidendiga tegelemisel varem tundmatu IT-taristu. Lisaks konkreetsetele juhtumitele puudub CERT-EU-l praegu põhjalik ülevaade ELi asutuste IT-süsteemidest ja -võrkudest.

85 Kuna institutsioonidevahelises kokkuleppes puudub jõustamismehhanism, jääb ELi asutuste teadete (mis on CERT-EU-le toetuva ELi asutuste kübervalmiduse küsimustega tegeleva kogukonna loomise oluline element) esitamine CERT-EU-le mittesüsteemseks.

CERT-EU-le ressursside eraldamine on kõikuv ega vasta praegusele ohutasemele

86 Institutsioonidevahelises kokkuleppes36 märgitakse, et „CERT-EU-le tuleks tagada jätkusuutlik rahastamine ja personal, kindlustades samas kulutõhususe ja asjakohase alaliste töötajate tuumiku“. CERT-EU kõige olulisem vara on tema kõrgelt koolitatud ja spetsialiseerunud töötajad. Joonisel 10 on näidatud CERT-EU töötajate arvu muutumine alates selle loomisest 2011. aastal kuni tänaseni.

87 Rohkem kui kahel kolmandikul CERT-EU töötajatest on tähtajalised töölepingud. Nende palk ei ole küberturvalisuse ekspertide turul eriti konkurentsivõimeline ning CERT-EU juhtkonna sõnul on nende palkamine ja tööl hoidmine muutunud üha raskemaks. Kui palgad ei ole kõrgematele ametikohtadele kandideerijatele piisavalt atraktiivsed, peab CERT-EU palkama madalama palgaastme töötajaid ja investeerima aega nende koolitamisse. Lisaks on lepingute maksimaalne kestus kuus aastat, mis tähendab, et CERT-EU-l ei ole muud võimalust kui lõpetada lepinguliste töötajate töölepingud just siis, kui nad on saavutanud oma teadmiste haripunkti. Tööjõu voolavus oli eriti suur 2020. aastal: CERT-EUst lahkus 21% töötajatest ja neid kõiki ei olnud võimalik uute töötajatega asendada. 2019. aastal lahkus 9% ja 2018. aastal 13% töötajatest.

Joonis 10. CERT-EU ressursid ja ülesanded

Allikas: Euroopa Kontrollikoda CERT-EU andmete põhjal.

88 CERT-EU juhtkond on rõhutanud, et CERT-EU intsidentide lahendamise meeskond on sageli ülekoormatud ja ka keskuse teised meeskonnad ei suuda nõudlusega sammu pidada. Selle tulemusena on CERT-EU olnud sunnitud tegevust vähendama. Näiteks ei hinda keskus praegu ressursside puudumise tõttu oma osaliste küpsust. CERT-EU teenus „Hoiatused kahtlase tegevuse kohta“ võeti kasutusele oodatust hiljem, jällegi ressursside nappuse tõttu. Lisaks märkis mitu küsitletud osalist, et nad pidid CERT-EU teenustele juurdepääsu kaua ootama.

89 Ressursside piiratus on seni sundinud keskust keskenduma eelkõige tavapärase n-ö hoonepõhise IT-taristu kaitsmisele suurte ohtude eest (tavaliselt teatavate riikide toetatud) rühmade poolt, kes kujutavad endast kõrgetasemelisi püsivaid ohte. CERT-EU juhtkonna sõnul vajab ELi asutuste laiendatud IT-keskkond (mis hõlmab nüüd pilvandmetöötlust, mobiilseadmeid ja kaugtöövahendeid) tõhustatud seiret ja kaitset ning samuti tuleb pöörata rohkem tähelepanu madalama tasandi ohtudele (nagu küberkuritegevus ja lunavara).

90 Institutsioonidevahelise kokkuleppega ei ole ette nähtud, et CERT-EU peaks olema võimeline toimima 24 tundi ööpäevas ja seitse päeva nädalas. CERT-EU-l ei ole praegu ei vahendeid ega asjakohast personaliraamistikku, et töötada pidevalt ja struktureeritult väljaspool tööaega. Küberründed võivad aga toimuda mistahes ajal. 65-st uuritud ELi asutusest on ainult 35-l olemas IT-ametnik, kes peab olema kättesaadav väljaspool tööaega.

91 CERT-EU tegevuse rahastamiseks kiitis juhtnõukogu 2012. aastal heaks teenustaseme kokkuleppe mudeli. Kõik osalised saavad põhiteenuseid tasuta ja võivad osta laiendatud teenuseid, allkirjastades selleks teenustaseme kokkuleppe. CERT-EU 2020. aasta eelarve oli 3 745 000 eurot, millest 6% rahastati ELi eelarvest ja 94% teenustaseme kokkulepetest. Osalised on aga väga erinevad ning mõnel neist on väljakujunenud IT-turvalisuse nõuded, samas kui teistel on tagasihoidlik IT-eelarve ja väga madal küberturvalisuse alane küpsus. Seetõttu on teenustaseme kokkuleppe arutelude tulemuseks see, et mõningad ELi asutused kehtestavad kõrged turvalisusnõuded ning teised pigem kas ei soovi või ei suuda anda oma panust.

92 Lisaks tuleb teenustaseme kokkuleppeid igal aastal eraldi uuendada. Lisaks halduskoormusele tekitab see probleeme rahavoogudega, kuna kõigist teenustaseme kokkulepetest saadav tulu ei laeku CERT-EU-le ühel ajal. Lisaks võivad asutused teenustaseme kokkulepped igal ajal lõpetada. See võib tekitada surnud ringi, kus CERT-EU peab saamata jäänud tulu tõttu vähendama oma teenuste mahtu ja ei suuda nõudlusega sammu pidada, sundides omakorda teisi ELi asutusi oma teenustaseme kokkuleppeid lõpetama ja sõlmima lepingud erasektori teenuseosutajatega. Neid kaalutlusi silmas pidades ei ole praegune rahastamismudel stabiilse ja optimaalse teenuste taseme tagamiseks ideaalne.

93 Seistes silmitsi erinevate kiiresti muutuvata küberohtudega (vt punktid 06 ja 80), kiitis CERT-EU juhtnõukogu oma 19. veebruari 2020. aasta koosolekul heaks CERT-EU strateegilise ettepaneku laiendada keskuse küberturvalisuse teenuseid ja arendada välja täielik operatiivsuutlikkus. Ettepanekule oli lisatud CERT-EU personali- ja rahastamisvajaduste analüüs. Selles jõuti järeldusele, et CERT-EU vajab 14 täiendavat alalist administraatori ametikohta, mis lisataks järk-järgult ajavahemikul 2021–2023. Seejärel tegutseks CERT-EU alates 2023. aastast täisvõimsusel. Selle ettepaneku kohaselt peaks CERT-EU suurendama ajavahemikul 2021–2023 oma eelarvet 7,6 miljoni euro võrra, et jõuda 2024. aastaks 11,3 miljoni euroni.

94 Vaatamata sellele, et kiideti heaks strateegiline ettepanek CERT-EU-le lisavahendite eraldamise kohta, ei ole ELi asutused veel jõudnud kokkuleppele praktilises korras – esiteks vaheperioodiks 2021–2023 ja teiseks pikaajaliseks perioodiks pärast tulevase küberturvalisuse määruse jõustumist (vt punkt 12).

Järeldused ja soovitused

95 Järeldame, et ELi institutsioonid, organid ja asutused (ELi asutused) ei ole saavutanud ohtudele vastavat küberturvalisuse alast valmisolekut. Meie töö näitab, et ELi asutuste küberturvalisuse alane küpsus on erinev, ning kuna nad on sageli seotud nii omavahel kui ka liikmesriikide avaliku ja erasektori organisatsioonidega, võivad ühe ELi asutuse nõrgad kohad tekitada küberohte ka teistele organisatsioonidele.

96 Leidsime, et küberturvalisuse peamisi häid tavasid, sealhulgas mõningaid olulisi kontrolle, ei olnud alati rakendatud. Asjatundlik küberturvalisuse juhtimine on oluline info- ja IT-süsteemide turvalisuse tagamiseks, kuid mõnes ELi asutuses ei ole seda veel tehtud: IT-turbe strateegiad ja -kavad on paljudel juhtudel puudulikud või ei ole kõrgem juhtkond neid heaks kiitnud, turbepoliitika ei ole alati ametlikult vormistatud ning riskihindamised ei hõlma kogu IT-keskkonda. Kulutused küberturvalisusele on ebaühtlased – mõne ELi asutuse puhul on need võrreldes muude sama suurte asutustega ilmselgelt liiga väikesed (vt punktid 2133 ja 3738).

97 Küberturvalisuse alane teadlikkus ja koolitusprogrammid on tõhusa küberturvalisuse raamistiku oluline osa. Kuid ainult 29% ELi asutustest pakub tundlikku teavet sisaldavate IT-süsteemide eest vastutavatele juhtidele kohustuslikku küberturvalisuse alast koolitust ning pakutav koolitus on sageli mitteametlik. Viimase viie aasta jooksul on 55% ELi asutustest korraldanud ühe või mitu matkitud andmepüügikampaaniat (või samalaadseid õppusi). Need õppused on oluline vahend töötajate koolitamiseks ja teadlikkuse suurendamiseks, kuid mitte kõik ELi asutused ei korralda neid süstemaatiliselt (vt punktid 3436). Pealegi ei lase mitte kõik ELi asutused oma küberturvalisuse taset korrapäraselt hinnata sõltumatutel ekspertidel (vt punktid 3944).

98 CERT-EU teenuseid kasutavad ELi asutused hindavad CERT-EUd kõrgelt, kuid tema suutlikkus on ülekoormatud. CERT-EU töökoormus seoses ohuteabe ja intsidentide käsitlemisega on alates 2018. aastast kiiresti kasvanud. Oluliste küberintsidentide arv on suurenenud rohkem kui kümme korda. Samal ajal ei jaga ELi asutused alati õigeaegselt teavet oluliste intsidentide, nõrkade kohtade ja oluliste muutuste kohta oma IT-taristus. See pärsib CERT-EU tõhusust, takistades tal hoiatamast teisi potentsiaalselt ohustatud ELi asutusi, mis võib omakorda põhjustada oluliste intsidentide avastamata jäämist. Lisaks on CERT-EU ressursid ebastabiilsed ega vasta praegusele ohutasemele ja ELi asutuste vajadustele. 2020. aastal kiitis CERT-EU juhtnõukogu heaks strateegilise ettepaneku CERT-EU-le vajalike lisavahendite eraldamise kohta, kuid osalised ei ole veel jõudnud kokkuleppele nende vahendite eraldamise praktilises korras. Selle tulemusena ei suuda CERT-EU töötajad nõudlust rahuldada ning on sunnitud keskuse tegevust vähendama (vt punktid 7493).

1. soovitus. Parandada kõigi ELi asutuste valmisolekut, kehtestades siduvad küberturvalisuse alased eeskirjad ja suurendades CERT-EU ressursse

Komisjon peaks lisama oma tulevasse määruse ettepanekusse, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kõigis ELi asutustes:

  1. kõrgem juhtkond peaks vastutama küberturvalisuse juhtimise eest, kiites heaks küberturvalisuse strateegiad ja peamised turvapõhimõtted ning nimetades ametisse sõltumatu infoturbe juhi (või looma samaväärse ametikoha);
  2. ELi asutustel peaks olema kogu nende IT-taristut hõlmav IT-turvalisuse riskijuhtimise raamistik ja nad peaksid tegema korrapäraseid riskihindamisi;
  3. ELi asutused peaksid pakkuma süstemaatilisi teadlikkuse suurendamise koolitusi kõigile töötajatele, sealhulgas juhtkonnale;
  4. ELi asutused peaksid oma küberkaitset korrapäraselt auditeerima ja testima. Auditite käigus tuleks kontrollida ka küberturvalisuse jaoks ette nähtud vahendite piisavust;
  5. ELi asutused peaksid teavitama CERT-EUd viivitamata aru olulistest küberturvalisuse intsidentidest ning oma IT-taristuga seotud asjakohastest muutustest ja nõrkadest kohtadest;
  6. ELi asutused peaksid oma eelarvetes suurendama ja sihtotstarbeliselt määratlema CERT-EU-le eraldatud vahendeid kooskõlas CERT-EU juhtnõukogu heakskiidetud strateegilise ettepanekuga;
  7. määrusega tuleks kindlaks määrata üksus, mis esindaks kõiki ELi asutusi ja millel oleks asjakohane mandaat ja vahendid, et kontrollida kõigi ELi asutuste vastavust ühistele küberturvalisuse eeskirjadele ning avaldada suuniseid, soovitusi ja nõuda meetmete võtmist.

Soovituse täitmise tähtaeg: 2023. aasta 1. kvartal

99 ELi asutused on loonud küberturvalisuse valdkonna koostöömehhanismid, kuid täheldasime, et võimalikku koostoimet ei kasutata täielikult ära. Teabevahetuseks on olemas ametlik struktuur, kus osalistel ja komiteedel on üksteist täiendavad rollid. Väiksemate ELi asutuste osalemist institutsioonidevahelistel foorumitel takistavad aga piiratud ressursid ning detsentraliseeritud asutuste ja ühisettevõtete esindatus CERT-EU juhtnõukogus ei ole optimaalne. Leidsime veel, et ELi asutused ei jaga omavahel süstemaatiliselt teavet küberturvalisusega seotud projektide, turvalisuse hindamiste ja muude teenuslepingute kohta. Sellega võivad kaasneda nii jõupingutuste dubleerimine kui ka suuremad kulud. Täheldasime tegevusraskusi tundliku salastamata teabe vahetamisel krüpteeritud e-posti või videokonverentsirakenduste teel, mis on tingitud IT-lahenduste koostalitlusvõime puudumisest, vastuolulistest suunistest nende lubatud kasutamise kohta ning ühiste teabemärgistuse ja käitlemiseeskirjade puudumisest (vt punktid 4563).

2. soovitus. Toetada ELi asutuste vahelist täiendavat koostoimet valitud valdkondades

Komisjon peaks digitaalse ümberkujundamise institutsioonidevahelise komitee raames edendama ELi asutuste seas järgmisi meetmeid:

  1. võtta kasutusele lahendused, mis võimaldavad turvaliste sidekanalite koostalitlusvõimet alates krüpteeritud e-postist kuni videokonverentsideni, ning püüda jõuda kokkuleppele tundliku salastamata teabe ühistes märgistes ja käitlemiseeskirjades;
  2. jagada süstemaatiliselt teavet potentsiaalselt institutsioonidevahelise mõjuga küberturvalisusega seotud projektide, tarkvara turvalisuse hindamiste ja välistarnijatega kehtivate lepingute kohta, ning
  3. määrata kindlaks tehnilised kirjeldused küberturvalisuse teenuste ühiste hanke- ja raamlepingute jaoks, milles kõik ELi asutused saavad mastaabisäästu saavutamiseks osaleda.

Soovituse täitmise tähtaeg: 2023. aasta 4. kvartal

100 Euroopa Liidu Küberturvalisuse Amet (ENISA) ja CERT-EU on kaks peamist üksust, mille ülesanne on toetada ELi asutusi küberturvalisuse valdkonnas. Ressursside piiratuse ja muude valdkondade eelistamise tõttu ei ole nad siiski suutnud pakkuda ELi asutustele kogu vajalikku tuge, eelkõige suutlikkuse suurendamist selliste ELi asutuste jaoks, kes on küberturvalisuse valdkonnas nõrgemad (vt punktid 6493).

3. soovitus. CERT-EU ja ENISA peaksid rohkem keskenduma küberturvalisuse valdkonnas vähem arenenud ELi asutustele

CERT-EU ja ENISA peaksid

  1. tegema kindlaks prioriteetsed valdkonnad, kus ELi asutused vajavad kõige rohkem tuge, näiteks nende küpsuse hindamise kaudu; ning
  2. rakendama suutlikkuse suurendamise meetmeid kooskõlas oma vastastikuse mõistmise memorandumiga.

Soovituse täitmise tähtaeg: 2022. aasta 4. kvartal

III auditikoda, mida juhib kontrollikoja liige Bettina Jakobsen, võttis käesoleva aruande vastu 22. veebruaril 2022 Luxembourgis.

 

Kontrollikoja nimel

president
Klaus-Heiner Lehne

Lisad

I lisa. Küsitluses osalenud ELi asutuste nimekiri

ELi asutuse nimi Liik
Euroopa Parlament (EP) Institutsioon (ELi lepingu artikli 13 lõige 1)
Euroopa Liidu Nõukogu ja Euroopa Ülemkogu Institutsioon (ELi lepingu artikli 13 lõige 1)
Euroopa Komisjon Institutsioon (ELi lepingu artikli 13 lõige 1)
Euroopa Liidu Kohus Institutsioon (ELi lepingu artikli 13 lõige 1)
Euroopa Keskpank Institutsioon (ELi lepingu artikli 13 lõige 1)
Euroopa Kontrollikoda Institutsioon (ELi lepingu artikli 13 lõige 1)
Euroopa Liidu välisteenistus Organ (ELi lepingu artikli 27 lõige 3)
Euroopa Majandus- ja Sotsiaalkomitee ning Euroopa Regioonide Komitee37 Organid (ELi lepingu artikli 13 lõige 4)
Euroopa Investeerimispank (EIP) Organ (ELTLi lepingu artikkel 308)
Euroopa Tööjõuamet (ELA) Detsentraliseeritud asutus
Euroopa Liidu Energeetikasektorit Reguleerivate Asutuste Koostöö Amet (ACER) Detsentraliseeritud asutus
BERECi Büroo Detsentraliseeritud asutus
Ühenduse Sordiamet (CPVO) Detsentraliseeritud asutus
Euroopa Tööohutuse ja Töötervishoiu Amet (EU-OSHA) Detsentraliseeritud asutus
Euroopa Piiri- ja Rannikuvalve Amet (Frontex/EBCGA) Detsentraliseeritud asutus
Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Liidu Amet (eu-LISA) Detsentraliseeritud asutus
Euroopa Liidu Varjupaigaamet (EUAA) Detsentraliseeritud asutus
Euroopa Liidu Lennundusohutusamet (EASA) Detsentraliseeritud asutus
Euroopa Pangandusjärelevalve (EBA) Detsentraliseeritud asutus
Haiguste Ennetamise ja Tõrje Euroopa Keskus (ECDC) Detsentraliseeritud asutus
Euroopa Kutseõppe Arenduskeskus (Cedefop) Detsentraliseeritud asutus
Euroopa Kemikaaliamet (ECHA) Detsentraliseeritud asutus
Euroopa Keskkonnaamet (EEA) Detsentraliseeritud asutus
Euroopa Kalanduskontrolli Amet (EFCA) Detsentraliseeritud asutus
Euroopa Toiduohutusamet (EFSA) Detsentraliseeritud asutus
Euroopa Elu- ja Töötingimuste Parandamise Fond (Eurofound) Detsentraliseeritud asutus
Euroopa Liidu Kosmoseprogrammi Amet (EUSPA) Detsentraliseeritud asutus
Euroopa Soolise Võrdõiguslikkuse Instituut (EIGE) Detsentraliseeritud asutus
Euroopa Kindlustus- ja Tööandjapensionide Järelevalve (EIOPA) Detsentraliseeritud asutus
Euroopa Meresõiduohutuse Amet (EMSA) Detsentraliseeritud asutus
Euroopa Ravimiamet (EMA) Detsentraliseeritud asutus
Euroopa Narkootikumide ja Narkomaania Seirekeskus (EMCDDA) Detsentraliseeritud asutus
Euroopa Liidu Küberturvalisuse Amet (ENISA) Detsentraliseeritud asutus
Euroopa Liidu Õiguskaitsekoolituse Amet (CEPOL) Detsentraliseeritud asutus
Euroopa Politseiamet (Europol) Detsentraliseeritud asutus
Euroopa Liidu Raudteeamet (ERA) Detsentraliseeritud asutus
Euroopa Väärtpaberiturujärelevalve (ESMA) Detsentraliseeritud asutus
Euroopa Koolitusfond (ETF) Detsentraliseeritud asutus
Euroopa Liidu Põhiõiguste Amet (FRA) Detsentraliseeritud asutus
Euroopa Liidu Intellektuaalomandi Amet [kuni 23. märtsini 2016 kandis nimetust Siseturu Ühtlustamise Amet] (EUIPO) Detsentraliseeritud asutus
Ühtne Kriisilahendusnõukogu (SRB) Detsentraliseeritud asutus
Euroopa Liidu Kriminaalõigusalase Koostöö Amet (Eurojust) Detsentraliseeritud asutus
Euroopa Liidu Asutuste Tõlkekeskus (CdT) Detsentraliseeritud asutus
Euroopa Prokuratuur (EPPO) Detsentraliseeritud asutus
Euroopa Innovatsiooni- ja Tehnoloogiainstituut (EIT) Teadusuuringute ja innovatsiooni raames loodud asutus
Ühisettevõte Euroopa lennuliikluse uue põlvkonna juhtimissüsteemi (SESAR) väljaarendamiseks Euroopa Liidu toimimise lepingu alusel loodud ühisettevõte
Ühisettevõte ECSEL – Euroopa juhtpositsiooni tugevdamine elektroonikakomponentide ja -süsteemide toel Euroopa Liidu toimimise lepingu alusel loodud ühisettevõte
Kütuseelementide ja vesiniku valdkonna teine ühisettevõte (FCH2) Euroopa Liidu toimimise lepingu alusel loodud ühisettevõte
Innovatiivsete ravimite algatuse (IMI) 2. ühisettevõte Euroopa Liidu toimimise lepingu alusel loodud ühisettevõte
Ühisettevõte Clean Sky 2 (CleanSky 2) Euroopa Liidu toimimise lepingu alusel loodud ühisettevõte
Biotoorainel põhinevate tööstusharude ühisettevõte (BPT) Euroopa Liidu toimimise lepingu alusel loodud ühisettevõte
Shift2Rail ühise tehnoloogiaalgatuse ühisettevõte (S2R) Euroopa Liidu toimimise lepingu alusel loodud ühisettevõte
Euroopa kõrgjõudlusega andmetöötluse ühisettevõte (EuroHPC) Euroopa Liidu toimimise lepingu alusel loodud ühisettevõte
ITERi ja tuumasünteesienergeetika arendamise Euroopa ühisettevõte (F4E) Euroopa Liidu toimimise lepingu alusel loodud ühisettevõte
Euroopa Liidu nõuandemissioon Ukrainas (EUAM Ukraine) ÜJKP tsiviilmissioon
ELi piirinõuandemissioon Liibüas (EUBAM Libya) ÜJKP tsiviilmissioon
ELi suutlikkuse suurendamise missioon Nigeris (EUCAP Sahel Niger) ÜJKP tsiviilmissioon
ELi järelevalvemissioon Gruusias (EUMM Georgia) ÜJKP tsiviilmissioon
Palestiina politseid toetav ELi koordinatsioonibüroo (EUPOL COPPS) ÜJKP tsiviilmissioon
ELi nõuandemissioon Kesk-Aafrika Vabariigis (EUAM Kesk-Aafrika Vabariik) ÜJKP tsiviilmissioon
ELi nõuandemissioon Iraagis (EUAM Iraq) ÜJKP tsiviilmissioon
ELi piirihaldamise abimissioon Rafah piiriületuspunktis (EUBAM Rafah) ÜJKP tsiviilmissioon
ELi suutlikkuse suurendamise missioon Malis (EUCAP Sahel Mali) ÜJKP tsiviilmissioon
ELi suutlikkuse suurendamise missioon Somaalias (EUCAP Somalia) ÜJKP tsiviilmissioon
ELi õigusriigimissioon Kosovos (EULEX Kosovo) ÜJKP tsiviilmissioon

II lisa. Lisateave peamiste institutsioonidevaheliste komiteede kohta

Institutsioonidevaheline digitaalse ümberkujundamise komitee (ICDT)

ICDT on foorum, kus vahetatakse teavet ja edendatakse koostööd IT valdkonnas. See loodi 2020. aasta mais institutsioonidevahelise IT-komitee (CII) asemele. ICDT koosneb ELi asutuste IT-osakondade juhtidest. ICDT-l on küberturvalisuse allrühm (ICDT CSSG), kelle ülesanne on edendada koostööd küberturvalisuse valdkonnas ELi asutuste vahel ja toimida teabe vahetamise foorumina.

ICDT otsustuspädevus piirdub küsimustega, mis ei mõjuta seda, kuidas krediidiasutused ja investeerimisühingud oma ülesandeid täidavad, ega mõjuta institutsioonide juhtimist. ICDT võib anda soovitusi ELi institutsioonide ja organite peasekretäride kolleegiumile otsuste tegemiseks, mis ei kuulu tema pädevusse.

ICDT mandaadi kohaselt on selle liikmed iga ELi institutsiooni ja organi esindajad ning üks ELi asutuste (ICTAC) määratud esindaja. Praegu juhib ICDTd nõukogu peasekretariaat.

ICDT küberturvalisuse alarühm (ICDT CSSG)

ICDT CSSG loodi oma praeguses koosseisus 2020. aasta septembris, asendades endise CII alalise julgeoleku allrühma. Võrreldes oma eelkäijaga on ICDT CSSG-l struktureeritum, ambitsioonikam ja tulemustele orienteeritud lähenemisviis. Selle tegevust viivad läbi töökonnad (TK), kes kohtuvad korrapäraselt ja keskenduvad peamistele ühistele teemadele:

  • TK1 „Ühised standardid, võrdlusuuringud ja küpsus“
  • TK2 „Jagamisplatvormi meetodid ja vahendid ning lepingud“
  • TK3 „Pilvandmetöötluse turvalisus“
  • TK4 „Küberoskused annete arendamiseks“
  • TK5 „Küberturvalisuse alane teadlikkus“
  • TK6 „Videokonverentside turvalisus“

Vastavalt küberturvalisuse allrühma volitustele vastutab tema sekretariaat töökondade tegevuse edenemise korrapärase järelevalve ja aruandluse eest. Ta esitab ICDT küberturvalisuse allrühma esimehele ja aseesimehele korrapäraseid aruandeid, kogudes korrapäraselt töökonna koordinaatoritelt saadud teavet. Iga aasta lõpus peab küberturvalisuse allrühm esitama ka kokkuvõtva tegevusaruande.

Praegu juhib ICDT CSSGd komisjon ning aseesimeheks on ICTACi esindaja. Kuigi CSSG-l ei ole otsustusõigust, võib ta ICDT-le asjakohastes küsimustes otsustamiseks nõu anda.

Asutuste võrgustik

ELi asutuste võrgustik (EUAN) on mitteametlik võrgustik, mille ELi asutuste juhid lõid 2012. aastal. EUAN koosneb praegu 48 detsentraliseeritud ELi asutusest ja ühisettevõttest. Selle eesmärk on luua platvorm teabevahetuseks ja koostööks võrgustiku liikmetele ühist huvi pakkuvates valdkondades. IKT nõuandekomitee (ICTAC) on EUANi alarühm, mis vastutab koostöö edendamise eest IKT, sealhulgas küberturvalisuse valdkonnas.

Info- ja kommunikatsioonitehnoloogia nõuandekomitee (ICTAC)

ICTAC edendab info- ja kommunikatsioonitehnoloogia valdkonna asutuste ja ühisettevõtete vahelist koostööd. Selle eesmärk on leida elujõulised ja majanduslikud lahendused ühistele probleemidele, vahetada teavet ja võtta vajaduse korral vastu ühised seisukohad. ICTACi pädevuse kohaselt toimuvad üldkoosolekud, millel osalevad kõik selle liikmed, kaks korda aastas. Samuti toimuvad korrapäraselt igakuised kohtumised ICTACi esindajate vahel CSSG töökondades, ICTACi esindajaga CSSGs ja ICTACi kolmikuga. Kolmik koosneb ICTACi praegustest, endistest ja tulevastest eesistujatest (iga eesistuja ametiaeg on üks aasta). Kolmiku ülesanne on toetada praegust eesistujat kõigis küsimustes, mis on seotud tema rolliga, sealhulgas tema asendamisega, kui see vajalikuks osutub.

Lühendid

APT: kinnisründeoht

CERT-EU: ELi asutuste infoturbeintsidentidega tegelev rühm

CSIRT: küberturbe intsidentide lahendamise üksus

DG DIGIT: informaatika peadirektoraat

DG HR: personalihalduse ja julgeoleku peadirektoraat

ELi asutused: Euroopa Liidu institutsioonid, organid ja asutused

ENISA: Euroopa Liidu Küberturvalisuse Amet

EUAN: Euroopa Liidu asutuste võrgustik

eu-LISA: Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Liidu Amet

ICDT CSSG: digitaalse ümberkujundamise institutsioonidevahelise komitee küberturvalisuse allrühm

ICDT: institutsioonidevaheline digitaalse ümberkujundamise komitee

ICTAC: info- ja kommunikatsioonitehnoloogia nõuandekomitee

IKT: info- ja kommunikatsioonitehnoloogia

ISACA: Infosüsteemide Auditi ja Kontrolli Assotsiatsioon

ITCB: Infotehnoloogia ja küberturvalisuse nõukogu

TTE: täistööaja ekvivalent

Sõnastik

Andmepüük: e-kirjade saatmine, milles püütakse jätta pettuse abil mulje, et need on pärit usaldusväärsest allikast, et veenda saajaid klõpsama pahatahtlikel linkidel või jagama isikuandmeid.

ELi asutuste infoturbeintsidentidega tegelev rühm: teabevahetuse ja infoturbeintsidentidele reageerimise koordineerimiskeskus, mille kliendid (neid nimetatakse ka osalisteks) on ELi institutsioonid, organid ja asutused.

Kinnisründeoht: rünne, mille käigus loata kasutaja pääseb ligi süsteemile või võrgule, et varastada tundlikke andmeid, ja jääb sinna pikaks ajaks.

Küberruum: ülemaailmne veebikeskkond, kus inimesed, tarkvara ja teenused suhtlevad arvutivõrkude ja muude ühendatud seadmete kaudu.

Küberspionaaž: saladuste ja teabe saamine internetist, võrkudest või üksikarvutitest ilma teabe valdaja loata ja teadmata.

Küberturvalisus: meetmed IT-võrkude ja -taristu ning neis sisalduva teabe kaitsmiseks välise ohu eest.

Läbistustestimine: meetod IT-süsteemi turvalisuse hindamiseks, püüdes tungida läbi selle turvameetmete vahendite ja tehnikatega, mida tavaliselt kasutavad vastased.

Punaste tiimide kasutamine: realistlik simulatsioon küberrünnetest, kasutades seejuures üllatuse elementi ja tehnikaid, mida on hiljuti täheldatud reaalses maailmas, keskendudes mitme ründe kaudu konkreetsetele eesmärkidele.

Sotsiaalne manipulatsioon: infoturbe tähenduses on tegu psühholoogilise manipuleerimisega, et veenda inimesi pettuse abil midagi tegema või konfidentsiaalset teavet avaldama.

Järelmärkused

1 Määrus (EL) 2019/881.

2 ISO/IEC 27 000:2018.

3 Euroopa Kontrollikoja ülevaade nr 2/2019: ELi küberturvalisuse poliitika tõhusust mõjutavad probleemid (infodokument).

4 CERT-EU, Threat Landscape Report, juuni 2021.

5 Samas.

6 Samas.

7 Samas.

8 Cyberattack on EMA – update 6, 25.1.2021.

9 Euroopa Kontrollikoja eriaruanne nr 22/2020: „ELi asutuste tulevik – võimalus suuremaks paindlikkuseks ja koostööks”, punkt 01.

10 ELT L C 12, 13.1.2018, lk 1.

11 ENISA, Threat Landscape 2020, sektori-/teemapõhine ohuanalüüs.

12 Direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus.

13 Ettepanek võtta vastu direktiiv, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus.

14 COM(2020) 605 final.

15 JOIN(2020) 18 final.

16 ISACA, Certified Information System Auditor review manual, 2019.

17 Teatis komisjonile, „European Commission Digital Strategy: A digitally transformed, user-focused and data-driven Commission“, C(2018) 7118 final, 21.11.2018.

18 ISO/IEC standard 27 000:2018, 5. peatükk.

19 COBIT 5 (infoturvalisus), punkt 4.2.

20 Vt nt ISO/IEC 27 000:2018, punkt 4.5.

21 ENISA, Thread Landscape 2020, Sectoral/Thematic threat analysis.

22 Kontrollide kogum, mis on tuletatud CISi kontrollidest (versioon 7.1), mis on interneti turvalisuse keskuse (CIS, Center for Internet Security) hallatav parimate tavade raamistik.

23 CISi kontrollide 1. rakendusrühm.

24 ISACA, Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.

25 Otsus 2017/46 Euroopa Komisjoni side- ja infosüsteemide turvalisuse kohta.

26 20.12.2017 allkirjastatud institutsioonidevahelise kokkuleppe artikkel 7.

27 Euroopa Komisjon, Euroopa Komisjoni pilvandmetöötluse strateegia, 2019.

28 ENISA ülesanded on loetletud määruse (EL) 2019/881 II peatükis (artiklid 5–12).

29 Euroopa Parlamendi ja nõukogu määrus (EL) nr 526/2013, selles määruses sätestatud ENISA ülesanded vt artikkel 3.

30 Määruse (EL) 2019/881 artikkel 6.

31 Küberturvalisuse määruse artikkel 14.

32 Küberturvalisuse määruse artikkel 18.

33 Euroopa Komisjoni pressiteade: „Cyber security strengthened at EU institutions following successful pilot scheme”.

34 20.12.2017 allkirjastatud institutsioonidevahelise kokkuleppe artikli 3 lõige 3.

35 Institutsioonidevahelise kokkuleppe https://eur-lex.europa.eu/legal-content/ET/TXT/HTML/?uri=CELEX:32018Q0113(01)&from=ET artikli 3 lõige 2.

36 Institutsioonidevahelise kokkuleppe põhjendus 7.

37 Euroopa Majandus- ja Sotsiaalkomitee ning Regioonide Komitee loetakse üheks ELi asutuseks.

Kontakt

EUROOPA KONTROLLIKODA
12, rue Alcide De Gasperi
1615 Luxembourg
LUKSEMBURG

Tel +352 4398-1
Päringud: eca.europa.eu/et/Pages/ContactForm.aspx
Veebisait: eca.europa.eu
Twitter: @EUAuditors

Lisateavet Euroopa Liidu kohta saab internetist Euroopa serverist (https://europa.eu).

Luxembourg: Euroopa Liidu Väljaannete Talitus, 2022

PDF ISBN 978-92-847-7597-2 ISSN 1977-5652 doi:10.2865/035293 QJ-AB-22-003-ET-N
HTML ISBN 978-92-847-7594-1 ISSN 1977-5652 doi:10.2865/897698 QJ-AB-22-003-ET-Q

AUTORIÕIGUS

© Euroopa Liit, 2022

Euroopa Kontrollikoja taaskasutamispoliitikat on sätestatud Euroopa Kontrollikoja otsuses nr 6-2019 avatud andmete poliitika ja dokumentide taaskasutamise kohta.

Kui ei ole märgitud teisiti (nt eraldiseisvates autoriõiguse märgetes), on ELile kuuluv kontrollikoja sisu litsentsitud vastavalt litsentsile Creative Commons Attribution 4.0 International (CC BY 4.0). Reeglina on taaskasutamine on lubatud, kui autoriõigustele on viidatud ja muudatused on ära märgitud. Kontrollikojale kuuluva sisu taaskasutajad ei tohi moonutada algset tähendust ega sõnumit. Kontrollikoda ei vastuta taaskasutamise tagajärgede eest.

Kui konkreetses sisus, näiteks kontrollikoja töötajatest tehtud fotodel, on kujutatud tuvastatavaid eraisikuid, või kui see sisaldab kolmandate isikute teoseid, tuleb teil taotleda täiendavaid õigusi.

Kui luba on saadud, tühistab ja asendab see eespool nimetatud üldise loa ja osutab selgelt mis tahes kasutuspiirangutele.

On võimalik, et ELile mittekuuluva sisu kasutamiseks või taasesitamiseks tuleb küsida luba otse autoriõiguse omajatelt.

Tööstusomandi õigustega hõlmatud tarkvara või dokumendid, nagu patendid, kaubamärgid, registreeritud disainilahendused, logod ja nimed, ei kuulu kontrollikoja taaskasutamispoliitika alla.

Domeeni europa.eu alla koondatud Euroopa Liidu institutsioonide veebisaitidel leidub linke, mis viivad muudele veebisaitidele. Kontrollikoda ei vastuta nende sisu eest ja soovitab teil seetõttu tutvuda nende veebisaitide isikuandmete ja autoriõiguse kaitse põhimõtetega.

Kontrollikoja logo kasutamine

Kontrollikoja logo ei tohi kasutada ilma kontrollikoja eelneva nõusolekuta.

Võta ühendust ELiga

Isiklikult
Kõikjal Euroopa Liidus on sadu Europe Directi teabekeskusi. Teile lähima keskuse aadressi leiate: https://europa.eu/european-union/contact_et

Telefoni või e-postiga
Europe Direct on teenus, mis vastab Teie küsimustele Euroopa Liidu kohta. Teenusega saate ühendust võtta:

  • helistades tasuta numbril: 00 800 6 7 8 9 10 11 (mõni operaator võib nende kõnede eest tasu võtta),
  • helistades järgmisel tavanumbril: +32 22999696 või
  • e-posti teel: https://europa.eu/european-union/contact_et

ELi käsitleva teabe leidmine

Veebis
Euroopa Liitu käsitlev teave on kõigis ELi ametlikes keeltes kättesaadav Euroopa veebisaidil: https://europa.eu/european-union/index_et

ELi väljaanded
Tasuta ja tasulisi ELi väljaandeid saab alla laadida või tellida järgmisel aadressil: https://op.europa.eu/et/publications Suuremas koguses tasuta väljaannete saamiseks võtke ühendust talitusega Europe Direct või oma kohaliku teabekeskusega (vt https://europa.eu/european-union/contact_et).

ELi õigus ja seonduvad dokumendid
ELi käsitleva õigusteabe, sealhulgas alates 1951. aastast kõigi ELi õigusaktide konsulteerimiseks kõigis ametlikes keeleversioonides vt EUR-Lex: http://eur-lex.europa.eu

ELi avatud andmed
ELi avatud andmete portaal (http://data.europa.eu/et) võimaldab juurdepääsu ELi andmekogudele. Andmeid saab tasuta alla laadida ja taaskasutada nii ärilisel kui ka mitteärilisel eesmärgil.