EU:n toimielinten, elinten ja virastojen kyberturvallisuus: valmiustaso ei kokonaisuutena ole oikeassa suhteessa uhkiin

Tiivistelmä

I EU:n kyberturvallisuusasetuksessa kyberturvallisuudella tarkoitetaan ”toimia, joita tarvitaan verkko- ja tietojärjestelmien, tällaisten järjestelmien käyttäjien ja muiden asianosaisten henkilöiden suojaamiseksi kyberuhkilta”. EU:n toimielimet, elimet ja virastot (EU‑elimet) käsittelevät arkaluonteisia tietoja ja ovat siksi houkuttelevia kohteita mahdollisille hyökkääjille, erityisesti ryhmille, jotka pystyvät toteuttamaan pitkälle kehittyneitä piilohyökkäyksiä kybervakoilua ja muita tarkoituksia varten. Vaikka EU‑elimet ovat itsenäisiä toimielimiä ja niillä on hallinnollinen autonomia, ne ovat vahvasti sidoksissa toisiinsa. Sen vuoksi heikkoudet yksittäisissä EU‑elimissä voivat saattaa muutkin elimet alttiiksi turvallisuusuhkille.

II Koska EU‑elimiin kohdistuvien kyberhyökkäysten määrä kasvaa jyrkästi, tarkastuksen tavoitteena oli selvittää, ovatko EU‑elimet kokonaisuutena suojautuneet riittävästi kyberuhkilta. Tilintarkastustuomioistuin toteaa, että EU‑elimet eivät ole saavuttaneet sellaista kybervalmiustasoa, joka vastaisi uhkia.

III Tilintarkastustuomioistuin havaitsi, että kyberturvallisuuden keskeisiä hyviä käytäntöjä, kuten eräitä olennaisia kontrolleja, ei aina pantu täytäntöön ja että useat EU‑elimet käyttävät selvästi liian vähän varoja kyberturvallisuuteen. Kyberturvallisuuden hallinnointi ei myöskään ole vielä moitteetonta kaikissa EU‑elimissä. Niiltä puuttuu usein tietotekniikan turvallisuusstrategiat, tai ylempi johto ei tue strategioita, turvallisuusperiaatteita ei aina ole virallistettu ja riskinarvioinnit eivät kata koko tietotekniikkaympäristöä. Riippumaton taho ei varmenna kyberturvallisuutta kaikissa EU‑elimissä säännöllisesti.

IV Kyberturvallisuuskoulutus ei ole aina järjestelmällistä. Vain hieman yli puolet EU‑elimistä antaa jatkuvaa kyberturvallisuuskoulutusta tietotekniikkahenkilöstölleen ja sellaisille asiantuntijoilleen, jotka ovat erikoistuneet tietotekniikan turvallisuuteen. Vain harvat EU‑elimet tarjoavat pakollista kyberturvallisuuskoulutusta sellaiselle johtavassa asemassa olevalle henkilöstölle, joka vastaa arkaluonteisia tietoja sisältävistä tietotekniikkajärjestelmistä. Verkkourkinnan torjuntaan liittyvät harjoitukset ovat tärkeä väline henkilöstön kouluttamisessa ja tietoisuuden lisäämisessä, mutta kaikki EU‑elimet eivät toteuta niitä järjestelmällisesti.

V EU‑elimet ovat luoneet rakenteita kyberturvallisuutta koskevaa yhteistyötä ja tiedonvaihtoa varten, mutta tilintarkastustuomioistuin totesi, että mahdollisia synergioita ei hyödynnetä täysimääräisesti. EU‑elimet eivät jaa järjestelmällisesti tietoja kyberturvallisuuteen liittyvistä hankkeista, turvallisuusarvioinneista ja palvelusopimuksista. Lisäksi perusviestintävälineet, kuten salatut sähköposti- tai videoneuvotteluratkaisut, eivät ole täysin yhteensopivia. Tämä voi johtaa siihen, että tiedonvaihdon turvallisuus huononee, toimista tulee päällekkäisiä ja kustannukset kasvavat.

VI EU‑elinten tukemisesta kyberturvallisuuden alalla vastaavat pääasiassa EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmä (CERT-EU) ja Euroopan unionin kyberturvallisuusvirasto (ENISA). Koska resurssit ovat rajalliset tai muille osa-alueille on annettu etusija, kyseiset toimijat eivät ole kuitenkaan kyenneet antamaan EU‑elimille kaikkea näiden tarvitsemaa tukea. Tämä koskee erityisesti valmiuksien lisäämistä sellaisissa EU‑elimissä, joissa kyberturvallisuus on vähemmän kehittynyttä. Vaikka EU‑elimet arvostavat CERT-EU:ta suuresti, sen vaikuttavuutta heikentävät lisääntyvä työmäärä sekä epävakaa rahoitus ja henkilöstötilanne. Lisäksi joidenkin EU‑elinten yhteistyö on riittämätöntä, sillä ne eivät aina jaa viivytyksettä tietoa haavoittuvuuksista tai sellaisista merkittävistä kyberturvallisuuspoikkeamista, jotka ovat vaikuttaneet niihin tai voivat vaikuttaa muihin.

VII Näiden johtopäätösten perusteella tilintarkastustuomioistuin suosittaa, että

• komissio parantaa EU‑elinten kyberturvallisuusvalmiuksia antamalla lainsäädäntöaloitteen, jossa vahvistetaan yhteiset sitovat kyberturvallisuussäännöt kaikille EU‑elimille ja lisätään CERT-EU:n voimavaroja
• komissio pyrkii digitaalista muutosta käsittelevässä toimielinten välisessä komiteassa siihen, että EU‑elinten synergiat tietyillä valituilla osa-alueilla kasvavat
• CERT-EU ja ENISA keskittyvät EU‑elimiin, joiden kyberturvallisuus on vähemmän kehittynyttä.

Johdanto

Mitä on kyberturvallisuus?

01 EU:n kyberturvallisuusasetuksessa¹ kyberturvallisuudella tarkoitetaan ”toimia, joita tarvitaan verkko- ja tietojärjestelmien, tällaisten järjestelmien käyttäjien ja muiden asianosaisten henkilöiden suojaamiseksi kyberuhkilta”. Kyberturvallisuus perustuu tietoturvallisuuteen, joka koskee luottamuksellisuuden, eheyden ja tiedon saatavuuden säilyttämistä² fyysisessä tai sähköisessä muodossa. Lisäksi niiden verkko- ja tietojärjestelmien suojaaminen, joissa tällaisia tietoja säilytetään, tunnetaan tietotekniikan turvallisuutena (ks. kaavio 1).

02 Kyberturvallisuus kattaa kyberhäiriöiden tunnistamisen, ehkäisemisen ja havaitsemisen sekä häiriöihin reagoimisen ja niistä palautumisen. Häiriöt voivat vaihdella esimerkiksi tahattomasta tietojen luovuttamisesta hyökkäyksiin, joilla pyritään vaarantamaan kriittinen infrastruktuuri, sekä identiteettien ja henkilötietojen varastamiseen³.

03 Kyberturvallisuuskehys koostuu monista osatekijöistä, kuten verkko- ja tietojärjestelmien turvallisuutta koskevista vaatimuksista ja teknisistä kontrolleista sekä tarkoituksenmukaisista hallinnointijärjestelyistä ja henkilöstön kybertietoisuuden parantamiseen tähtäävistä ohjelmista.

Kyberturvallisuus EU:n toimielimissä, elimissä ja virastoissa

04 EU:n toimielimet, elimet ja virastot (EU‑elimet) käsittelevät arkaluonteisia tietoja ja ovat siksi houkuttelevia kohteita mahdollisille hyökkääjille, erityisesti ryhmille, jotka pystyvät toteuttamaan pitkälle kehittyneitä piilohyökkäyksiä (edistyneitä pitkäkestoisia uhkia) kybervakoilua ja muita tarkoituksia varten⁴. Onnistuneilla kyberhyökkäyksillä EU‑elimiä vastaan voi olla merkittäviä poliittisia vaikutuksia, ne voivat vahingoittaa EU:n yleistä mainetta ja heikentää luottamusta sen toimielimiin.

05 Covid-19-pandemia on pakottanut EU‑elimet – samalla tavoin kuin monet muut organisaatiot ympäri maailmaa – vauhdittamaan jyrkästi digitaalista muutosta ja siirtymään etätyöhön. Tämä on lisännyt hyökkääjien mahdollisten sisäänpääsypaikkojen määrää (ns. hyökkäyspinta-alaa) ja laajentanut organisaatioiden toimintapiirin internet-yhteydellä varustettuihin koteihin ja mobiililaitteisiin, joissa voidaan hyödyntää uusia haavoittuvuuksia. Etäkäyttöpalvelut ovat yksi yleisimmistä reiteistä, joilla EU‑elimiin toimiaan kohdistavat ryhmät saavat edistyneillä pitkäkestoisilla uhkilla ensimmäisen pääsyn verkkoon⁵.

06 Kyberhäiriöiden määrä on kasvussa, ja erityisen huolestuttava suuntaus on EU‑elimiin vaikuttavien merkittävien poikkeamien voimakas lisääntyminen⁶ tavalla, joka tekee vuodesta 2021 ennätyksellisen. Merkittävät poikkeamat ovat tapahtumia, jotka eivät ole toistuvia eivätkä perustasoisia. Niissä käytetään tyypillisesti uusia menetelmiä ja teknologioita, ja niiden tutkimiseen ja niistä palautumiseen voi mennä viikkoja ellei kuukausia. Merkittävien poikkeamien määrä yli kymmenkertaistui vuosina 2018–2021⁷. Vähintään 22 yksittäistä EU‑elintä on kärsinyt merkittävistä poikkeamista pelkästään kahden viime vuoden aikana. Yksi tuore esimerkki oli Euroopan lääkevirastoon kohdistunut kyberhyökkäys. Viraston arkaluonteisia tietoja paljastui, ja niitä manipuloitiin tavalla, jonka tarkoituksena oli heikentää luottamusta rokotteisiin⁸.

07 EU‑elimet ovat hyvin heterogeeninen ryhmä, johon kuuluu toimielimiä, virastoja ja useita erityyppisiä elimiä. EU:n seitsemän toimielintä on perustettu perussopimuksilla. EU:n hajautetut virastot ja muut elimet on puolestaan perustettu johdetulla lainsäädännöllä, ja ne ovat kukin erillisiä oikeushenkilöitä. Virastot voidaan jaotella oikeudellisen asemansa perusteella kuuteen komission toimeenpanovirastoon ja 37:ään EU:n hajautettuun virastoon⁹. EU‑elimiin kuuluvat myös EU:n toimistot, diplomaattikunta (Euroopan ulkosuhdehallinto), yhteisyritykset ja eräät muut elimet. EU‑elimet vastaavat kukin omien kyberturvallisuusvaatimuksiensa määrittelystä ja omien turvallisuustoimenpiteidensä toteuttamisesta.

08 EU‑elinten kyberturvallisuuden vahvistamiseksi komissio vakiinnutti vuonna 2012 EU‑elinten tietotekniikan kriisiryhmän (CERT-EU) pysyväksi työryhmäksi. CERT-EU toimii keskuksena, joka koordinoi EU‑elinten kyberturvallisuustietojen vaihtoa ja reagoimista kyberturvallisuushäiriöihin. Lisäksi CERT-EU tekee yhteistyötä jäsenvaltioissa toimivien muiden tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (CSIRT) kanssa samoin kuin erikoistuneiden tietotekniikkaturvallisuusyritysten kanssa. Nykyisin CERT-EU:n organisaatioon ja toimintaan sovelletaan vuonna 2018 laadittua toimielintenvälistä järjestelyä¹⁰. CERT-EU:n palveluja hyödyntäviä EU‑elimiä kutsutaan tässä yhteydessä osallistujiksi. Tällä hetkellä osallistujia on 87.

09 Toinen EU‑elimiä tukeva keskeinen toimija on Euroopan unionin kyberturvallisuusvirasto (ENISA), joka pyrkii siihen, että kaikkialla EU:ssa saavutetaan korkea yhteisen kyberturvallisuuden taso. Vuonna 2004 perustetun ENISAn tehtävä on seuraava: parantaa tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen luotettavuutta kyberturvallisuuden sertifiointijärjestelmien avulla sekä tehdä yhteistyötä EU‑elinten ja jäsenvaltioiden kanssa ja auttaa niitä varautumaan kyberuhkiin. ENISA avustaa EU‑elimiä valmiuksien kehittämisessä ja operatiivisessa yhteistyössä.

10 Institutionaalisesta riippumattomuudestaan huolimatta EU‑elimet ovat vahvasti sidoksissa toisiinsa. Ne vaihtavat tietoja päivittäin ja jakavat useita yhteisiä järjestelmiä ja verkkoja. Yksittäisten EU‑elinten heikkoudet voisivat altistaa muut turvallisuusuhkille, koska monissa verkkohyökkäyksissä toteutetaan useita vaiheita tavoitteen tai lopullisen päämäärän saavuttamiseksi¹¹. Onnistunutta hyökkäystä heikompaa EU‑elintä vastaan voidaan käyttää välineenä kohdistettaessa hyökkäyksiä muihin. EU‑elimet ovat sidoksissa myös jäsenvaltioiden julkisiin ja yksityisiin organisaatioihin, ja jos EU‑elinten kyberturvallisuusvalmiudet eivät ole riittäviä, ne voivat saattaa myös jäsenvaltioiden toimijat alttiiksi kyberuhkille.

11 Tällä hetkellä EU‑elimillä ei ole oikeudellista kehystä, joka koskisi tietoturvaa ja kyberturvallisuutta. Niihin ei sovelleta EU:n laajinta kyberturvallisuutta koskevaa lainsäädäntöä, vuoden 2016 NIS-direktiiviä¹², eikä sen ehdotettua tarkistettua versiota, NIS2-direktiiviä¹³. EU‑elinten kyberturvallisuuteen käyttämien varojen määrästä ei myöskään ole saatavilla kattavaa tietoa.

12 Komissio julkaisi heinäkuussa 2020 tiedonannon EU:n turvallisuusunionistrategiasta¹⁴ kaudelle 2020–2025. Sen keskeisiä toimia on laatia ”yhteiset tietoturvallisuutta ja kyberturvallisuutta koskevat säännöt kaikille EU:n toimielimille, elimille ja virastoille”. Tällä uudella kehyksellä pyritään tukemaan vahvaa ja tehokasta operationaalista yhteistyötä, joka keskittyy CERT-EU:n tehtävän ympärille. Komissio ilmoitti joulukuussa 2020 julkaistussa digitaalista vuosikymmentä koskevassa EU:n kyberturvallisuusstrategiassa¹⁵ ehdottavansa asetusta kaikkien EU‑elinten yhteisistä kyberturvallisuussäännöistä. Komissio ehdotti myös, että CERT-EU:lle vahvistetaan uusi oikeusperusta, jossa kriisiryhmän toimivaltuuksia ja rahoitusta lujitetaan.

Tarkastuksen laajuus ja tarkastustapa

13 Kyberhyökkäysten määrä kasvaa jyrkästi ja heikkoudet yhdessä EU‑elimessä altistavat muita turvallisuusuhkille. Siksi tarkastuksen tavoitteena oli määrittää, ovatko EU‑elimet kokonaisuutena suojautuneet riittävästi kyberuhkilta. Tähän tarkastuksen pääkysymykseen haettiin vastausta kolmella alakysymyksellä.

1. Onko kaikissa EU‑elimissä hyväksytty keskeiset kyberturvallisuuskäytännöt?
2. Tehdäänkö EU‑elinten välillä kyberturvallisuutta koskevaa tehokasta yhteistyötä?
3. Antavatko ENISA ja CERT-EU EU‑elimille riittävästi tukea kyberturvallisuuden alalla?

14 Tarkastuksen ajoituksessa on otettu huomioon EU:n turvallisuusunionistrategia. Arvioimalla EU‑elinten nykyisiä kyberturvallisuusjärjestelyjä tilintarkastustuomioistuin pyrkii määrittämään parannuskohteita, jotka komissio voi ottaa huomioon laatiessaan lainsäädäntöehdotustaan kaikkien EU‑elinten yhteisistä sitovista kyberturvallisuussäännöistä.

15 Tarkastuksessa käsiteltiin kyberturvallisuuden alan kehitystä ja aloitteita tammikuusta 2018 (jolloin toimielinten välinen CERT-EU‑järjestely perustettiin) lokakuuhun 2021.

16 Tarkastus rajoitettiin kyberuhkien sietokykyyn ja turvallisuusluokittelemattomiin järjestelmiin. Siinä keskityttiin tiettyihin varautumisen näkökohtiin (tunnistamiseen, suojaamiseen ja havaitsemiseen). Uhkiin reagoiminen ja häiriöistä palautuminen eivät kuuluneet tarkastuksen piiriin. Tarkastajat tutkivat kuitenkin joitakin häiriöihin reagoimisen organisatorisia näkökulmia. Lisäksi tietosuojaan, lainvalvontaan, kyberpuolustukseen ja kyberdiplomatiaan liittyvät näkökohdat jäävät tarkastuksen ulkopuolelle (ks. kaavio 2).

17 Tarkastushavaintojen perustana on käytettävissä olevan dokumentaation laaja analyysi, jota täydennettiin haastatteluilla. Tarkastajat toteuttivat EU‑elinten itsearviointiin perustuvan tutkimuksen, johon osallistui 65 elintä, ja keräsivät siten tietoja kyberturvallisuusjärjestelyistä ja toimielinten välistä yhteistyötä koskevista näkemyksistä. Tilintarkastustuomioistuin osoitti kyselyn kaikille EU‑elimille, jotka kuuluvat tilintarkastustuomioistuimen tarkastusoikeuksien piiriin ja jotka hallinnoivat omaa IT-infrastruktuuriaan, ja myös tilintarkastustuomioistuimen edustajat vastasivat kyselyyn. Kysely kohdistettiin muun muassa toimielimille, hajautetuille virastoille, yhteisyrityksille ja eri elimille. Lisäksi kysely lähetettiin siviilioperaatioille, jotka ovat EU:n talousarviosta rahoitettuja ja tietotekniikan näkökulmasta riippumattomia väliaikaisia itsenäisiä yksiköitä. Liitteessä I on kattava luettelo tarkastetuista EU‑elimistä. Euroopan oikeusasiamies ja Euroopan tietosuojavaltuutettu eivät kuuluneet tämän tarkastuksen piiriin.

18 Kyselyn vastausprosentti oli sata, ja se toimi lähtökohtana jatkoanalyysille. Lisäksi tarkastajat poimivat seitsemän EU‑elimen otoksen, joka edustaa erilaisia EU‑elimiä, ja täydensivät niiden vastauksia haastatteluilla ja asiakirjapyynnöillä. Poimintakriteereihin sisältyivät oikeusperusta, koko (henkilöstö ja talousarvio) ja toiminnanala. EU‑elimistä poimittu otos koostui Euroopan komissiosta, Euroopan parlamentista, EU:n kyberturvallisuusvirastosta (ENISA), Euroopan pankkiviranomaisesta (EPV), Euroopan meriturvallisuusvirastosta (EMSA), Ukrainassa toteutettavasta EU:n neuvontaoperaatiosta (EUAM Ukraina) ja yhteisyrityksestä innovatiivisia lääkkeitä koskevan yhteisen teknologia-aloitteen toteuttamiseksi (IMI-yhteisyritys).

19 Tarkastajat järjestivät myös videokokouksia CERT-EU‑verkoston, virastojen tieto- ja viestintätekniikan neuvoa-antavan komitean (ICTAC), digitaalista muutosta käsittelevän toimielinten välisen komitean (ICDT) ja muiden sidosryhmien kanssa.

Huomautukset

Kyberturvallisuuden kehittyneisyyden taso on eri EU‑elimillä hyvin erilainen, eivätkä EU‑elimet aina noudata hyviä käytäntöjä

20 Tässä osiossa perehdytään EU‑elinten yksittäisiin järjestelyihin ja kyberturvallisuuskehyksiin. Tilintarkastustuomioistuin arvioi, lähestyvätkö elimet kyberturvallisuutta johdonmukaisesti ja tarkoituksenmukaisesti. Tarkastajat tutkivat tietotekniikan turvallisuuden hallinnointia, riskinhallintaa, resurssien kohdentamista, koulutusta, kontrolleja ja riippumatonta varmennusta.

Tietotekniikan turvallisuuden hallinnointi EU‑elimissä ei useinkaan ole pitkälle kehittynyttä, eivätkä riskinarvioinnit ole kattavia

Tietotekniikan turvallisuuden hallinnointi on puutteellista monissa EU‑elimissä

21 Hyvä hallinnointi on keskeinen osa sellaista tietojärjestelmien ja tietoteknisten järjestelmien turvallisuuskehystä, joka on vaikuttava. Hyvässä hallinnoinnissa määritetään organisaation tavoitteet ja viitoitetaan sen suunta priorisoinnin ja päätöksenteon kautta. ISACAn (Information Systems Audit and Control Association)¹⁶ mukaan tietotekniikan turvallisuuden hallinnointijärjestelmän olisi yleensä sisällettävä useita osatekijöitä. Näitä ovat

• kattava turvallisuusstrategia, joka liittyy olennaisesti toiminnan tavoitteisiin
• hallinnoinnin turvallisuusperiaatteet, joissa käsitellään kaikkia strategian, kontrollien ja sääntelyn näkökohtia
• kutakin periaatetta koskevat kattavat standardit, joissa kuvataan sen soveltamisen edellyttämät toimintavaiheet
• institutionaaliset seurantaprosessit, joilla varmistetaan säännösten noudattaminen ja annetaan palautetta vaikuttavuudesta
• vaikuttava organisaatiorakenne, jossa ei ole eturistiriitoja.

22 Tarkastajat havaitsivat, että monet EU‑elimet hallinnoivat tietotekniikan turvallisuutta puutteellisesti. Vain 58 prosentilla EU‑elimistä (38:lla 65:stä) on tietotekniikkaa koskeva turvallisuusstrategia tai vähintään tietotekniikan turvallisuussuunnitelma, joka on hyväksytty johtokunnassa tai ylemmän johdon tasolla. EU‑elinten tyypittäinen erittely osoittaa, että siviilioperaatioiden ja hajautettujen virastojen (joiden osuus tutkituista EU‑elimistä on yhteensä 71 prosenttia) kohdalla nämä prosenttiosuudet ovat pienimmät (ks. taulukko 1). Jos tietotekniikkaa koskevaa turvallisuusstrategiaa tai ‑suunnitelmaa ei ole hyväksytty ylemmän johdon tasolla, on vaarana, että ylempi johto ei ole tietoinen tietotekniseen turvallisuuteen liittyvistä kysymyksistä tai ei ole riittävästi priorisoinut niitä.

23 Tilintarkastustuomioistuin tutki tietotekniikkaa koskevat turvallisuusstrategiat tai ‑suunnitelmat, jotka seitsemän otokseen poimittua EU‑elintä olivat toimittaneet (ks. kohta 18). Se havaitsi, että EU‑elinten strategiat liittyvät kohtuullisen hyvin niiden toimintatavoitteisiin. Esimerkiksi komission tietotekniikan turvallisuutta koskeva strategia kattaa Euroopan komission digitaalistrategian¹⁷ tietotekniikan turvallisuutta koskevan ulottuvuuden ja on suunniteltu tukemaan sen etenemissuunnitelmaa ja tavoitteita. Otokseen sisältyi kuitenkin vain kolme EU‑elintä, jotka olivat sisällyttäneet tietotekniikan turvallisuutta koskevaan strategiaansa/suunnitelmaansa konkreettisia tavoitteita ja näiden saavuttamisaikataulun.

24 Turvallisuusperiaatteissa määritetään säännöt ja menettelyt, joita tieto- ja tietotekniikkaresurssien käyttäjien on noudatettava. Ne auttavat lieventämään kyberturvallisuusriskejä ja kertovat, mitä häiriötilanteissa on tehtävä. Tilintarkastustuomioistuin havaitsi, että 78 prosentilla EU‑elimistä on virallinen tietoturvapolitiikka, mutta vain 60 prosentilla on viralliset tietotekniikkaa koskevat turvallisuusperiaatteet (ks. tietoturvan ja tietotekniikan turvallisuuden määritelmät kaaviosta 1). Tilintarkastustuomioistuin havaitsi myös, että otokseen poimituista seitsemästä EU‑elimestä neljällä on tietotekniikan turvallisuutta koskevan strategiansa mukaiset turvallisuusperiaatteet. Kolmessa näistä neljästä EU‑elimestä tietotekniikan turvallisuusperiaatteita on kuitenkin vain osittain täydennetty ajantasaisilla yksityiskohtaisilla turvallisuusstandardeilla, joissa kuvataan periaatteiden soveltamisvaiheet. Virallisten turvallisuusstandardien puuttuminen lisää riskiä, että tietotekniikan turvallisuusongelmia ei käsitellä EU‑elimessä asianmukaisesti ja johdonmukaisesti. Lisäksi tällaisessa tilanteessa on vaikeampi mitata, missä määrin organisaatio noudattaa tietotekniikan turvallisuutta koskevaa politiikkaa. Otokseen poimituista seitsemästä EU‑elimestä vain komissiolla on jäsennellyt menettelyt, joilla se valvoo tietotekniikan turvallisuusperiaatteiden ja ‑standardien noudattamista. Tosin menettelyjä käyttää vain vähäinen määrä pääosastoja (ks. laatikko 1).

25 Toinen tärkeä tekijä kyberturvallisuuden hyvässä hallinnoinnissa on tietoturvavastaavan nimittäminen. Vaikka ISO 27000 ‑standardiperhe¹⁸ ei nimenomaisesti edellytä sitä, tietoturvavastaavan (tai muun senkaltaisen) tehtävän olemassaolosta on tullut yleinen käytäntö kaikissa organisaatioissa, ja se on osa ISACAn suuntaviivoja. Tyypillisesti tietoturvavastaavalla on kokonaisvastuu organisaation tietoturvaohjelmista ja tietotekniikan turvallisuusohjelmista. Eturistiriitojen välttämiseksi tietoturvavastaavan olisi oltava tietyssä määrin riippumaton tietotekniikkatoiminnosta/-osastosta¹⁹.

26 Kyselystä ilmeni, että 60 prosenttia EU‑elimistä ei ole perustanut riippumatonta tietoturvavastaavan tehtävää (tai muuta senkaltaista tehtävää). Siinäkin tapauksessa, että tietoturvavastaava (tai muu senkaltainen toimija) on nimitetty, tämän tehtävä vaihtelee suuresti ja tehtävät ymmärretään eri tavoin eri EU‑elimissä. Erityisesti pienissä ja keskisuurissa EU‑elimissä tietoturvavastaavilla on yleensä enemmän operatiivisia tehtäviä, eivätkä he ole toiminnallisesti riippumattomia tietotekniikkaosastosta. Tämä voi rajoittaa tietoturvavastaavan riippumattomuutta turvallisuusprioriteettien täytäntöönpanossa. ENISA kehittää parhaillaan EU:n kyberturvallisuuden osaamiskehystä, jolla pyritään muun muassa luomaan yhteinen käsitys kunkin tahon tehtävistä, pätevyydestä ja taidoista.

Tietotekniikan turvallisuusriskien arvioinnit EU‑elimissä eivät yleensä kata koko tietotekniikkaympäristöä

27 Kaikissa kansainvälisissä tietotekniikan turvallisuutta koskevissa standardeissa korostetaan, että on tärkeää ottaa käyttöön sopiva menetelmä tietojärjestelmiin ja niiden sisältämiin tietoihin kohdistuvien turvallisuusriskien arvioimiseksi ja käsittelemiseksi. Riskinarviointi tulee tehdä säännöllisesti organisaation tietoturvavaatimusten muutosten ja sen kohtaamien riskien huomioon ottamiseksi²⁰. Arviointien jälkeen olisi tehtävä riskinhallintasuunnitelma (tai tietotekniikan turvallisuussuunnitelma).

28 Useimmat kyselyyn osallistuneet EU‑elimet (58 elintä 65:stä) ilmoittivat arvioivansa tietotekniikkajärjestelmiinsä kohdistuvat riskit tietyn kehyksen tai menetelmän avulla. Kaikille EU‑elimille yhteistä menetelmää ei kuitenkaan ole olemassa. Ainakin 26 EU‑elintä käyttää osittain tai kokonaan komission kehittämiä menetelmiä, ja 31 prosenttia EU‑elimistä käytti vuoden 2018 tietotekniikan turvallisuutta koskevien riskien hallintamenetelmää (ITSRM2). Muut noudattavat alan tunnettuihin standardeihin perustuvia menetelmiä. Tällaisia ovat esimerkiksi ISO 27001, ISO 27005,National Institute of Standards and Technology cybersecurity Framework (NIST-CSF)- tai Center for Internet Security (CIS) ‑kontrollit. Lisäksi käytetään sisäisiä menetelmiä.

29 Otokseen poimituista seitsemästä EU‑elimestä vain kaksi tekee laajoja riskinarviointeja, jotka kattavat niiden koko tietotekniikkaympäristön (eli kaikki niiden tietojärjestelmät). Useimmat tekevät yksittäisiä riskinarviointeja vain tärkeimpien tietotekniikkajärjestelmiensä osalta. Tilintarkastustuomioistuin havaitsi useita esimerkkejä riskinarvioinneista, jotka oli tehty ennen uusien järjestelmien käyttöönottoa. Tilintarkastustuomioistuin ei kuitenkaan löytänyt näyttöä myöhemmistä riskienarvioinneista, jotka olisivat liittyneet esimerkiksi järjestelmien/infrastruktuurin myöhempiin muutoksiin.

EU‑elimet eivät lähesty kyberturvallisuutta johdonmukaisesti, eivätkä olennaiset kontrollit aina ole käytössä

Resurssien kohdentaminen kyberturvallisuuteen vaihtelee suuresti EU‑elimestä toiseen

30 Tilintarkastustuomioistuimen kyselyssä pyydettiin EU‑elimiä ilmoittamaan tietotekniikkamenojensa kokonaismäärä vuodelta 2020 ja arvioimaan kyberturvallisuuteen käytetty määrä. Tilintarkastustuomioistuimen tiedoista ilmenee, että kyberturvallisuuden prosenttiosuus eri EU‑elinten tietotekniikkamenoista vaihtelee merkittävästi. Tämä pätee myös henkilöstömäärän osalta samankokoisiin EU‑elimiin. Kuten kaaviosta 3 käy ilmi, erot ovat yleensä erityisen suuria EU‑elimissä, joissa on vähemmän henkilöstöä.

31 Kyberturvallisuusmenojen optimaalista tasoa on vaikea arvioida absoluuttisesti. Se riippuu monista tekijöistä, kuten organisaation hyökkäyspinta-alasta, organisaation käsittelemien tietojen arkaluonteisuudesta, sen riskiprofiilista ja riskinottohalusta sekä alakohtaisista oikeudellisista vaatimuksista ja sääntelyvaatimuksista. Tilintarkastustuomioistuimen tiedoista ilmenee, että erot ovat kuitenkin merkittäviä, eivätkä syyt aina ole ilmeisiä. Jotkin EU‑elimet käyttävät olennaisesti vähemmän varoja kyberturvallisuuteen kuin niiden kanssa samaa kokoluokkaa olevat muut EU‑elimet. Jos uhkat ja riskit ovat kuitenkin samanlaisia, varainkäytön määrä voi kertoa liian vähäisestä panostuksesta.

32 Useimmat EU‑elimet ovat pieniä tai keskisuuria sekä henkilöstön että tietotekniikkamenojen osalta. Kahdessa kolmasosassa EU‑elimistä on alle 350 työntekijää; pienimmällä EU‑elimellä on vain 15 työntekijää. Kyberturvallisuuden hallinta on haastavampaa ja resurssivaltaisempaa pienissä EU‑elimissä. Useimmissa tapauksissa ne eivät voi hyötyä mittakaavaeduista, eikä niillä ole riittävästi sisäistä asiantuntemusta kyberalalta. Tilintarkastustuomioistuimen kyselyissä ja haastatteluissa tuli esiin, että suurimmilla toimielimillä, kuten komissiolla ja Euroopan parlamentilla, on asiantuntijatiimit, jotka hallinnoivat kyberturvallisuutta päätoimisesti. Pienimmissä EU‑elimissä, joissa henkilöstöä ja resursseja on erityisen vähän, ei kuitenkaan ole lainkaan alan asiantuntijoita, vaan kyberturvallisuutta hallinnoivat osa-aikaisesti sellaiset henkilöstön jäsenet, joilla on kokemusta IT-alalta. Tämä kasvattaa riskejä, koska EU‑elimet ovat vahvasti kytköksissä toisiinsa (ks. myös kohta 10).

33 Tilintarkastustuomioistuimen kyselyssä EU‑elimiltä tiedusteltiin, mitkä olivat suurimmat haasteet vaikuttavien kyberturvallisuusperiaatteiden soveltamisessa niiden organisaatioissa (ks. kaavio 4). Suurimmaksi haasteeksi osoittautui, että kyberturvallisuuden asiantuntijat ovat niukka resurssi. Monilla EU‑elimillä on vaikeuksia houkutella heitä palvelukseensa, sillä ne joutuvat kilpailemaan sekä yksityisen sektorin että muiden EU‑elinten kanssa. Toistuvia ongelmia ovat muun muassa pitkälliset rekrytointimenettelyt, kilpailukyvyttömät sopimusehdot ja houkuttelevien uranäkymien vähäisyys. Erikoistuneen henkilöstön puute synnyttää merkittävän riskin siitä, ettei kyberturvallisuudesta huolehdita vaikuttavasti.

Useimmat EU‑elimet tarjoavat jonkinlaista kyberturvallisuuskoulutusta, mutta koulutus ei ole järjestelmällistä eikä hyvin kohdennettua

34 Järjestelmien ja laitteiden haavoittuvuuksien hyödyntäminen ei ole ainoa tapa, jolla mahdolliset hyökkääjät voivat aiheuttaa vahinkoa. Ne voivat myös saada käyttäjät paljastamaan arkaluonteisia tietoja tai lataamaan haittaohjelmia esimerkiksi verkkourkintahuijausten avulla tai manipuloimalla käyttäjiä. Henkilöstö on osa jokaisen organisaation ensimmäistä puolustuslinjaa. Siksi kybertietoisuus ja alan koulutusohjelmat muodostavat vaikuttavassa kyberturvallisuuskehyksessä keskeisen osatekijän.

35 Valtaosa kyselyyn vastanneista EU‑elimistä (95 prosenttia) tarjoaa jonkinlaista yleistä kybertietoisuuskoulutusta koko henkilöstölle. Tästä poikkeuksen muodostaa kolme EU‑elintä. Kuitenkin vain 41 prosenttia EU‑elimistä järjestää erityisiä koulutus- tai tiedotustilaisuuksia johtohenkilöstölle ja vain 29 prosenttia järjestää pakollista kyberturvallisuuskoulutusta sellaisille johtavassa asemassa oleville henkilöille, jotka vastaavat arkaluonteisia tietoja sisältävistä tietotekniikkajärjestelmistä. Johdon kybertietoisuus ja sitoutuminen ovat ratkaisevan tärkeitä kyberturvallisuuden vaikuttavan hallinnoinnin kannalta. Niistä yhdestätoista EU‑elimestä, joissa mainittiin, että johdon tuen puute oli haaste vaikuttavan kyberturvallisuuden kannalta, vain kolme järjesti johdolleen kybertietoisuuskoulutusta. EU‑elimistä 58 prosenttia antaa jatkuvaa kyberturvallisuuskoulutusta tietotekniikkahenkilöstölleen ja 51 prosenttia antaa tällaista koulutusta sellaisille asiantuntijoilleen, jotka ovat erikoistuneet tietotekniikan turvallisuuteen.

36 Kaikilla EU‑elimillä ei ole mekanismeja, joilla seurattaisiin henkilöstön osallistumista kyberturvallisuuskoulutukseen ja sen jälkeistä tietoisuuden ja käyttäytymisen muutosta. Erityisesti pienemmissä organisaatioissa kybertietoisuutta voidaan käsitellä epävirallisten henkilöstökokousten yhteydessä. Organisaatioiden tärkein tapa mitata henkilöstön tietoisuutta on testata säännöllisesti heidän käyttäytymistään muun muassa kypsyyskyselyillä tai verkkourkintaharjoituksilla. Viiden viime vuoden aikana 55 prosenttia EU‑elimistä on kohdistanut henkilöstöönsä yhden tai useamman simuloidun verkkourkintakampanjan (tai vastaavia harjoituksia). Koska verkkourkinta on yksi merkittävimmistä julkishallinnon henkilöstöön kohdistuvista uhkista²¹, nämä harjoitukset ovat tärkeä keino kouluttaa henkilöstöä ja lisätä kybertietoisuutta. Tilintarkastustuomioistuin havaitsi, että kybertietoisuutta koskevat komission toimet muodostavat hyvän käytännön ja ovat muiden kiinnostuneiden EU‑elinten saatavilla (ks. laatikko 2).

Olennaisia kontrolleja ei aina toteuteta tai niitä ei virallisteta standardeihin

37 Tilintarkastustuomioistuin pyysi EU‑elimiä arvioimaan itse tiettyjen olennaisten kontrollien toteuttamista²². Tarkastajat valitsivat joukon parhaita käytäntöjä, joita pienikin organisaatio voisi kohtuudella toteuttaa²³. Tulokset esitetään yhteenvetona kaaviossa 5. Useimmat kyselyyn vastanneet EU‑elimet ovat ottaneet käyttöön tietyt olennaiset kontrollit. Kontrollit näyttävät kuitenkin olevan osittain puutteellisia tai rajoitettuja vähintään 20 prosentissa EU‑elimistä.

38 Tilintarkastustuomioistuin pyysi otokseen poimituilta seitsemältä EU‑elimeltä todentavia asiakirjoja ja standardeja/periaatteita kunkin sellaisen kontrollin osalta, jonka ne ilmoittivat panneensa täytäntöön. Tarkastajat saivat pyytämänsä asiakirjat 62 prosentista kontrolleja. Kuten haastatteluissa tuli selväksi, useissa tapauksissa oli käytössä teknisiä kontrolleja, joita ei kuitenkaan ollut virallistettu ajantasaisiksi standardeiksi tai periaatteiksi. Tämä lisää riskiä, että tietotekniikan turvallisuuteen liittyviä kysymyksiä ei käsitellä johdonmukaisesti kunkin EU‑elimen sisällä (ks. myös kohta 24).

Useissa EU‑elimissä riippumaton taho ei varmenna säännöllisesti kyberturvallisuusjärjestelyjä

39 ISACA-järjestön²⁴ mukaan sisäinen tarkastus on yksi organisaation kolmesta keskeisestä puolustuslinjasta; kaksi muuta ovat johtaminen ja riskienhallinta. Sisäiset tarkastukset parantavat osaltaan tietoturvallisuuden ja tietotekniikan turvallisuuden hallinnointia. Tilintarkastustuomioistuin tutki, kuinka usein EU‑elimet hyödyntävät sisäisiä tai ulkoisia tarkastuksia ja kyberpuolustukseen kohdistuvia ennakoivia testauksia hankkiakseen riippumattoman varmennuksen tietotekniikan turvallisuuskehyksensä toiminnasta.

40 Komission sisäisen tarkastuksen toimiala (IAS) vastaa muun muassa komission sekä hajautettujen virastojen, yhteisyritysten ja EUH:n tietojärjestelmien tarkastuksista. IAS:n tarkastusvaltuudet kattavat 46 EU‑elintä (70 prosenttia) niistä 65:stä, jotka vastasivat tilintarkastustuomioistuimen kyselyyn. IAS on viiden viime vuoden aikana suorittanut tietotekniikan turvallisuuteen liittyviä tarkastuksia kuudessa EU‑elimessä. Lisäksi HR-pääosasto on toimivaltainen suorittamaan tietotekniikan turvallisuustarkastuksia, jotka kattavat teknisiä tietoturvanäkökohtia²⁵. Jäljelle jäävistä EU‑elimistä seitsemän ilmoitti, että niillä oli oma sisäisen tarkastuksen toiminto, joka kattoi tietotekniset näkökohdat, kun taas 12 EU‑elimeltä saadut vastaukset eivät riittäneet määrittämään, onko niillä tällaisia sisäisen tarkastuksen valmiuksia.

41 Riippumattomien organisaatioiden suorittamat ulkoiset tietotekniikan turvallisuustarkastukset ovat toinen tapa toteuttaa riippumaton varmennus. Nopeasti muuttuvasta kybertoimintaympäristöstä huolimatta vuoden 2015 alun ja vuoden 2021 ensimmäisen neljänneksen välillä 34 prosenttia EU‑elimistä ei ollut teettänyt sisäistä tai ulkoista tietotekniikan turvallisuustarkastusta. Tämän prosenttiluvun jaottelu EU‑elimen tyypin mukaan osoittaa, että 75 prosenttia elimistä, 66 prosenttia yhteisyrityksistä ja 45 prosenttia siviilioperaatioista ei ole suorittanut vuoden 2015 jälkeen sisäistä tai ulkoista tietotekniikan turvallisuuden tarkastusta.

42 Sisäisten ja ulkoisten tarkastusten lisäksi organisaatiot voivat varmentaa tietotekniikan turvallisuuskehyksensä testaamalla ennakoivasti kybersuojauksiaan haavoittuvuuksien tunnistamiseksi. Yhden keinon muodostavat tunkeutumistestaukset (eettinen hakkerointi), jotka koostuvat hyväksytyistä simuloiduista kyberhyökkäyksistä yksittäisiin tietokonejärjestelmiin. Tilintarkastustuomioistuimen kyselyyn vastanneista EU‑elimistä 69 prosenttia ilmoitti suorittaneensa vähintään yhden tunkeutumistestauksen viiden viime vuoden aikana. CERT-EU suoritti 45 prosenttia näistä tunkeutumistestauksista.

43 Red Team ‑harjoitukset ovat toinen tapa testata kyberpuolustusta. Harjoituksissa tehdään simuloituja hyökkäyksiä tekniikoilla, joita on hiljattain käytetty todellisissa hyökkäyksissä. Ne ovat monimutkaisempia ja kattavampia kuin tunkeutumistestaukset, koska ne koskevat useita järjestelmiä ja mahdollisia hyökkäysväyliä. EU‑elimet suorittavat niitä harvemmin: 46 prosenttia EU‑elimistä raportoi vähintään yhdestä Red Team ‑harjoituksesta viiden viime vuoden aikana. CERT-EU suoritti 75 prosenttia näistä harjoituksista. Red Team ‑harjoitusten valmistelu ja toteuttaminen edellyttävät huomattavaa määrää työtä, ja CERT-EU pystyy tällä hetkellä suorittamaan enintään 5–6 harjoitusta vuodessa.

44 Lukuun ottamatta kahta äskettäin perustettua EU‑elintä 16 (25 prosenttia) tutkituista EU‑elimistä ei ollut suorittanut tunkeutumistestauksia tai Red Team ‑harjoituksia viiden viime vuoden aikana. Kaiken kaikkiaan seitsemän EU‑elimen (10 prosenttia) tietotekniikkaturvallisuusjärjestelyjä ei ole lainkaan varmennettu riippumattomasti (yksi yhteisyritys, yksi hajautettu virasto ja viisi siviilioperaatiota).

EU‑elimet ovat perustaneet yhteistyömekanismeja, joissa kuitenkin on puutteita

45 Tässä osiossa perehdytään toimijoihin ja komiteoihin, jotka on perustettu edistämään EU‑elinten yhteistyötä kyberturvallisuuden alalla, sekä toimielinten välisiin hallinnointi- ja koordinointijärjestelyihin. Tilintarkastustuomioistuin tutki erityisesti kahta toimielintenvälistä toimijaa, ENISAa ja CERT-EU:ta sekä kahta toimielintenvälistä komiteaa, digitaalista muutosta käsittelevää toimielinten välistä komiteaa (ICDT) ja erityisesti sen kyberturvallisuuden alaryhmää (CSSG) sekä tieto- ja viestintätekniikan neuvoa-antavaa komiteaa (ICTAC). Tilintarkastustuomioistuin arvioi myös, missä määrin ne ovat tuottaneet synergiaa EU‑elinten kyberturvallisuusvalmiuksien lisäämiseksi.

EU‑elimillä on virallinen rakenne, jonka avulla ne koordinoivat toimintojaan, joskin sen hallinnoinnissa on joitakin ongelmia

46 Etenkin ICDT ja ICTAC edistävät tietotekniikkayhteistyötä EU‑elinten välillä. ICDT on EU:n toimielinten ja elinten tietotekniikan vastuuhenkilöiden foorumi, joka edistää tietojenvaihtoa ja yhteistyötä. Sillä on kyberturvallisuuden alaryhmä (ICDT CSSG), joka raportoi ICDT:lle ja voi suositella päätösten tekemistä tietyistä kysymyksistä. ICTAC puolestaan on EU:n virastojen verkoston (EUAN) alaryhmä. EUAN on EU:n virastojen johdon perustama epävirallinen verkosto, joka keskittyy virastojen ja yhteisyritysten yhteistyöhön. Sekä ICDT-komitealla että ICTAC-komitealla on selkeästi määritellyt, toisiaan täydentävät tehtävät: ICTAC kattaa hajautetut virastot ja yhteisyritykset ja ICDT toimielimet ja elimet. ICDT ja ICTAC ovat luonteeltaan melko epävirallisia neuvoa-antavia ryhmiä ja foorumeita, joissa voidaan vaihtaa tietoja ja tiedottaa parhaista käytännöistä. Lisätietoja näistä toimielinten välisistä komiteoista on liitteessä II.

EU‑elinten edustus asiaankuuluvilla foorumeilla ei aina ole riittävää

47 Edustusrakenteet ovat selkeät, mutta kaikki EU‑elimet eivät pidä todellista edustustaan niissä riittävänä. Tilintarkastustuomioistuimen kyselyssä 42 prosenttia EU‑elimistä vastasi olevansa eri mieltä väitteestä, jonka mukaan kyseisen elimen tarpeet olisi otettu riittävällä tavalla huomioon toimielinten välisissä foorumeissa ja sillä olisi riittävä edustus päätöksentekoelimissä. Osa pienimmistä EU‑elimistä katsoi, että niillä ei ollut riittävästi resursseja osallistua aktiivisesti toimielinten välisiin foorumeihin.

48 Johtokunta, joka on CERT-EU:n tärkein päätöksentekoelin, ei myöskään edusta kaikkia osallistujia. CERT-EU tarjoaa palveluja 87 EU‑elimelle ja kolmelle muulle elimelle, jotka eivät ole EU‑elimiä. Sen johtokuntaan kuuluvat kuitenkin vain toimielinten välisen järjestelyn 11 allekirjoittajan (seitsemän EU:n toimielintä sekä EUH, talous- ja sosiaalikomitea, alueiden komitea ja Euroopan investointipankki) edustajat ja ENISAn edustaja. Kullakin allekirjoittajalla ja ENISAlla on yksi ääni²⁶.

49 Yli puolet CERT-EU:n osallistujista on EU:n hajautettuja virastoja ja yhteisyrityksiä, joissa työskentelee yhteensä noin 12 000 henkilöstön jäsentä. Periaatteessa niiden etuja CERT-EU:n johtokunnassa edustaa ENISA. ENISAn valtuudet edustaa EU:n virastoja ja yhteisyrityksiä ovat kuitenkin puutteelliset, koska nämä eivät ole suoraan nimittäneet tai valinneet sitä tähän tehtävään. Hajautettujen virastojen ja yhteisyritysten näkemykset esittää johtokunnan kokouksissa käytännössä ICTAC:n edustaja, jolla on lupa avustaa ENISAa virastojen edustamisessa. ICTAC:n edustaja tuo esiin 48 EU‑elimen näkemykset ja edut, mutta se ei nykyisin ole virallisesti johtokunnan jäsen eikä sillä kokouksissa äänioikeutta. ICTAC lähetti huhtikuussa 2021 CERT-EU:n johtokunnan puheenjohtajalle virallisen pyynnön saada äänioikeus johtokunnassa. Pyyntöön ei ollut suostuttu tämän asiakirjan laatimishetkeen mennessä. Yhteenveto EU‑elinten edustuksesta päätöksentekoelimissä ja komiteoissa esitetään kaaviossa 6.

50 EU‑elinten välinen kyberturvallisuuden hallinnointi on sirpaleista, eikä millään yksittäisellä taholla ole tällä hetkellä kattavaa yleisnäkemystä EU‑elinten kyberturvallisuuden kehittyneisyydestä taikka valtuuksia ottaa asiassa johtoasema tai valvoa yhteisten sitovien sääntöjen soveltamista. Sekä ENISA että CERT-EU voivat ainoastaan ”tukea” ja ”avustaa” EU‑elimiä. Asianomaisilla komiteoilla ei ole päätösvaltaa, ja ne voivat vain antaa suosituksia EU‑elimille. Lisäksi viidennekselle kyselyyn vastanneista EU‑elimistä ei ole selvää, minkä tahon puoleen tietyn palvelun, välineen tai ratkaisun osalta pitäisi kääntyä.

Keskeiset toimijat ovat laatineet yhteisymmärryspöytäkirjoja, mikä ei toistaiseksi ole tuottanut konkreettisia tuloksia

51 ENISA, CERT-EU, Europolin Euroopan kyberrikostorjuntakeskus (EC3) ja Euroopan puolustusvirasto (EDA) allekirjoittivat yhteisymmärryspöytäkirjan toukokuussa 2018. Siinä keskityttiin viiteen yhteistyöalaan: tiedonvaihtoon, koulutukseen, kyberharjoituksiin, tekniseen yhteistyöhön sekä strategisiin ja hallinnollisiin kysymyksiin. Yhteisymmärryspöytäkirja saattaa auttaa välttämään päällekkäisyyksiä yhteisen työohjelman avulla, mutta tilintarkastustuomioistuin ei saanut näyttöä siitä, että yhteisymmärryspöytäkirja olisi tuottanut konkreettisia suoritteita ja yhteisiä toimia.

52 Kesäkuussa 2019 voimaan tulleessa kyberturvallisuusasetuksessa suunniteltiin, että CERT-EU ja ENISA sopivat uudesta erityisestä yhteistyöjärjestelystä. On huomionarvoista, että yhteisymmärryspöytäkirja allekirjoitettiin lopulta yli puolitoista vuotta myöhemmin helmikuussa 2021. Yhteisymmärryspöytäkirjalla pyritään luomaan jäsenneltyä yhteistyötä CERT-EU:n ja ENISAn välille. Siinä määritellään näiden kahden toimijan yhteistyöalat (valmiuksien kehittäminen, operatiivinen yhteistyö sekä osaaminen ja tieto) ja luonnostellaan niiden välistä tehtävänjakoa: CERT-EU ottaa EU‑elinten avustamisessa pääroolin, ja ENISA tukee sitä tässä tehtävässä. Yhteisymmärryspöytäkirjassa ei määritellä käytännön järjestelyjä, sillä ne on jäsennelty vuotuisessa yhteistyösuunnitelmassa. ENISAn johtokunta hyväksyi ensimmäisen vuotuisen yhteistyösuunnitelman vuodelle 2021 heinäkuussa 2021 ja CERT-EU:n johtokunta syyskuussa 2021. Tässä tilintarkastustuomioistuimen tarkastuksessa on siksi liian aikaista arvioida, onko suunnitelman perusteella saatu aikaan konkreettisia tuloksia.

53 Koska molemmilla kohdissa 51 ja 52 mainituilla yhteisymmärryspöytäkirjoilla on samoja tavoitteita ja yhteistyöaloja, kuten koulutus, harjoitukset tai tietojenvaihto, on olemassa päällekkäisyyksien ja tarpeettomien toimintojen vaara.

Yhteistyön mahdollistamia synergioita ei vielä hyödynnetä täysimääräisesti

Synergioiden saavuttamiseksi on toteutettu myönteisiä toimia

54 ICTAC-komitean ja ICDT-komitean CSSG-alaryhmän työohjelmissa yksilöidään aiheita, joissa voidaan saavuttaa tehokkuushyötyjä yhteistyön avulla. Käytännön esimerkkejä aloitteista, jotka ovat antaneet EU‑elimille mahdollisuuden hyötyä synergioista, ovat muun muassa seuraavat:

• toimielinten väliset puitesopimukset
• Euroopan unionin teollisoikeuksien virasto (EUIPO) on vuodesta 2019 alkaen pitänyt yllä tietoteknisistä häiriötilanteista palautumiseen tarkoitettua yhteistä keskusta; tämä keskus, joka tarjoaa palveluja hajautetuille virastoille, mahdollistaa vähintään 20 prosentin kustannussäästön markkinahintoihin verrattuna; yhdeksän virastoa on ottanut käyttöön tämän palautumisratkaisun
• kuuden samassa rakennuksessa sijaitsevan yhteisyrityksen väliset sopimukset yhteisen infrastruktuurin ja yhteisen tietotekniikan turvallisuuskehyksen jakamisesta (vuodesta 2014).

55 Toinen merkillepantava esimerkki on GovSec-järjestelmä, joka auttaa EU‑elimiä tekemään riskinarviointeja pilvipalveluratkaisujen käyttöönottoa varten. Tilintarkastustuomioistuimen kyselyn mukaan 75 prosenttia EU‑elimistä käyttää jo joitakin julkisia pilvipalvelualustoja, ja monet lopuistakin suunnittelee siirtymistä pilvipalvelujen käyttöön. Komissio on vuodesta 2019 lähtien asettanut etusijalle sellaisen pilvipalveluihin perustuvan lähestymistavan, jossa pyritään turvalliseen monen pilvitarjoajan hybridimalliin²⁷. Komissio myös välittää pilvipalveluja kaikille EU‑elimille pilvipalveluja koskevan Cloud II -puitesopimuksen nojalla. Tietotekniikan turvallisuusriskien ja tietosuojariskien hallinta pilvipalvelualustoilla edellyttää uusia taitoja ja erilaista lähestymistapaa verrattuna perinteiseen paikan päällä sijaitsevaan tietotekniikan infrastruktuuriin. Vaikuttava tietoturvariskien hallinta pilvipalveluissa on EU‑elimille yhteinen haaste, ja GovSec on esimerkki ratkaisusta, joka voi vastata useiden, ellei kaikkien, EU‑elinten tarpeisiin.

Yhteistyö ja käytäntöjen jakaminen EU‑elinten kesken ei ole vieläkään optimaalista

56 Toimielinten välisten komiteoiden olemassaolo ei automaattisesti johda synergiavaikutuksiin, eivätkä EU‑elimet aina jaa parhaita käytäntöjä, asiantuntemusta, menetelmiä ja kokemuksia. Lisäksi jokainen EU‑elin päättää itse, missä määrin se osallistuu ICDT-komitean CSSG-alaryhmän työhön. Vaikka kyseisen alaryhmän jäsenet osallistuvat alaryhmän kokouksiin, he voivat edistää toimia vain siinä määrin kuin heidän säännölliset tehtävänsä EU‑elimissä sallivat. Tämä on jo hidastanut joissakin työryhmissä sovittujen toimien toteuttamista.

57 Tilintarkastustuomioistuin havaitsi tiettyjä aloja, joilla EU‑elimillä ei ole järjestelyjä kokemusten ja aloitteiden jakamiseksi. EU‑elimet voivat esimerkiksi verkon puolustuskykyä koskevan Network Defence Capability (NDC) ‑puitesopimuksen mukaisesti pyytää sellaisen selvityksen tekemistä, jonka tavoitteena on kyberturvallisuusvaatimusten konsolidointi ja kyberturvallisuusratkaisujen etsiminen. Eri EU‑elinten suorittamista tai pyytämistä selvityksistä ei kuitenkaan ole rekisteriä, joten EU‑elimet saattavat pyytää selvitystä samasta aiheesta useita kertoja. EU‑elimet eivät myöskään ilmoita järjestelmällisesti toisilleen, että niillä on sopimussuhde tiettyihin toimittajiin tai että ne käyttävät tiettyä ohjelmistoratkaisua. Tämä tietovaje voi aiheuttaa lisäkustannuksia, ja sen vuoksi saatetaan menettää synergiamahdollisuuksia.

58 EU‑elimet eivät myöskään jaa järjestelmällisesti keskenään tietoja toteuttamistaan kyberturvallisuushankkeista, eivät edes silloin, kun näillä voisi olla toimielinten välisiä vaikutuksia. ICDT-komitean CSSG-alaryhmän toimeksiantoon sisältyy säännös, jonka mukaan EU‑elimet voivat jakaa tietoja uusista hankkeista, jotka saattavat vaikuttaa muiden EU‑elinten kyberturvallisuuteen ja/tai niistä peräisin olevien tietojen suojaamiseen. Alaryhmälle ei kuitenkaan anneta tietoa tällaisista hankkeista.

59 Kun uusi virasto perustetaan, sen on rakennettava tietotekniikkainfrastruktuurinsa ja tietotekniikan turvallisuuskehyksensä alusta alkaen. Uusille virastoille ei ole palveluluetteloa, työkalupakkia tai selkeitä ohjeita/vaatimuksia. Tuloksena on se, että EU‑elinten tietotekniikkaympäristöjen kirjo on huomattavan laaja. Kukin organisaatio voi hankkia itsenäisesti ohjelmistoja, laitteistoja, infrastruktuuria ja palveluita. Sama pätee tietotekniikan turvallisuuskehykseen, koska yhteisiä vaatimuksia ja standardeja ei ole. Tämä saattaa johtaa toimien päällekkäisyyteen ja EU:n varojen tehottomaan käyttöön. Lisäksi CERT-EU:n on kyettävä tarjoamaan tukea yhä monimutkaisemmissa tilanteissa.

Arkaluonteisten tietojen vaihdossa on käytännön puutteita

60 Joillakin EU‑elimillä ei vieläkään ole sopivia ratkaisuja turvallisuusluokittelemattomien arkaluonteisten tietojen vaihtoon. Ne EU‑elimet, jotka hyödyntävät tällaisia ratkaisuja, ovat yleensä ottaneet käyttöön erilaisia omia tuotteitaan ja järjestelmiään, joten yhteentoimivuudessa on ongelmia. Yhteisiä suojattuja alustoja on olemassa vain tiettyjä tarkoituksia varten. Esimerkkinä tästä ovat CERT-EU:n tarjoamat alustat, joiden avulla kaikki osallistujat voivat vaihtaa häiriöihin, uhkiin ja haavoittuvuuksiin liittyviä arkaluonteisia tietoja.

61 Yli 20 prosentilla EU‑elimistä ei esimerkiksi ole salattua sähköpostipalvelua. Salattujen sähköpostipalvelujen käyttäjillä puolestaan on usein yhteentoimivuusongelmia, eikä sertifiointeja tunnusteta vastavuoroisesti. ICTAC ja ICDT ovat keskustelleet skaalautuvista ja yhteentoimivista ratkaisuvaihtoehdoista jo vuosia, ja vuonna 2018 toteutettiin pilottihanke. Ongelmaa ei kuitenkaan ole vielä ratkaistu.

62 Toinen ongelma on, että turvallisuusluokittelemattomia arkaluonteisia tietoja varten ei ole yhteistä merkitsemistapaa. Merkinnöillä tarkoitetaan luokituksia, jotka ilmoittavat tietojen haltijoille kyseisten tietojen erityiset suojausvaatimukset. Merkinnät ovat erilaiset eri EU‑elimissä, mikä vaikeuttaa tietojen vaihtoa ja asianmukaista käsittelyä.

63 Vuonna 2020 covid-19-pandemia pakotti EU‑elimet toiminnan jatkuvuuden varmistamiseksi ottamaan laaja-alaisesti käyttöön viestintä- ja videoneuvotteluvälineitä. Tarkastajat havaitsivat EU‑elinten käyttävän vähintään 15:tä erilaista videoneuvotteluohjelmistoa. Silloinkin, kun eri EU‑elimet käyttävät samaa ratkaisua/alustaa, yhteentoimivuus on usein puutteellista siitä huolimatta, että kaikki osapuolet käyttävät samaa ohjelmistoratkaisua. Lisäksi ohjeet siitä, mitä (arkaluonteisia) tietoja voidaan jakaa tai mistä niistä voidaan keskustella tietyllä foorumilla, olivat erilaiset eri EU‑elimissä. Tällaisista tilanteista seuraa taloudellista ja toiminnallista tehottomuutta ja potentiaalisia turvallisuusongelmia.

ENISA ja CERT-EU eivät ole vielä antaneet EU‑elimille kaikkea niiden tarvitsemaa tukea

64 Tässä osiossa tutkittiin kahta keskeistä toimijaa, joiden tehtävänä on tukea EU‑elimiä kyberturvallisuuden alalla: ENISAa ja CERT-EU:ta. Tilintarkastustuomioistuin arvioi, ovatko EU‑elimet saaneet tukea näiltä kahdelta toimijalta ja onko tuki vastannut niiden tarpeisiin. Tilintarkastustuomioistuin tuo lisäksi esiin havaittujen puutteiden taustalla olevia syitä.

ENISA on keskeinen toimija EU:n kyberturvallisuusympäristössä, mutta sen tukea on toistaiseksi saanut hyvin harva EU‑elin

65 Kesäkuussa 2019 tuli voimaan kyberturvallisuusasetus²⁸, jolla korvattiin ENISAn aiempi oikeusperusta²⁹, ja asetus antoi virastolle vahvemmat toimivaltuudet. Siinä säädetään erityisesti, että ENISAn olisi aktiivisesti tuettava sekä jäsenvaltioita että EU‑elimiä kyberturvallisuuden parantamisessa kehittämällä valmiuksia, tehostamalla operatiivista yhteistyötä ja luomalla synergioita. Valmiuksien kehittämisen alalla ENISAlla on nyt tehtävänä avustaa EU‑elimiä ”niiden pyrkiessä parantamaan kyberuhkien ja poikkeamien ennaltaehkäisyä, havaitsemista ja analysointia sekä valmiuksiaan reagoida näihin uhkiin ja poikkeamiin erityisesti antamalla CERT-EU:lle asianmukaista tukea”³⁰. ENISAn olisi lisäksi autettava EU:n toimielimiä kehittämään ja tarkistamaan EU:n kyberturvallisuusstrategioita sekä edistämään niiden levittämistä ja seuraamaan niiden täytäntöönpanon edistymistä.

66 Vaikka kyberturvallisuusasetuksessa todetaan selvästi, että ENISAn olisi tuettava EU‑elimiä kyberturvallisuuden parantamisessa, virasto ei ole vielä vienyt päätökseen ainuttakaan toimintasuunnitelmaa, joka liittyisi sen tavoitteeseen lisätä EU‑elinten valmiuksia (ks. laatikko 3).

67 ENISAn tärkein päätöksentekoelin on johtokunta, joka koostuu yhdestä kunkin 27 jäsenvaltion nimittämästä jäsenestä ja kahdesta komission nimittämästä jäsenestä³¹ (ks. kaavio 6). Jokaisella jäsenellä on yksi ääni, ja päätökset tehdään enemmistöllä³². Näin ollen jäsenvaltioihin kohdistuvilla toimilla voi olla korkeampi prioriteetti kuin EU‑elimiä koskevilla toimilla. Koska resurssit olivat riittämättömät, ENISAn johtokunta esimerkiksi päätti priorisoida vuoden 2018 työohjelmassa tiettyjä toimia ja poistaa kolme tointa. Yhdessä poistetuista toimista oli määrä tukea verkko- ja tietoturvaa koskevien nykyisten periaatteiden, menettelyjen ja käytäntöjen arviointia EU:n toimielimissä. Toimen tarkoituksena oli antaa ENISAlle mahdollisuus saada tulevien kohdennettujen toimien pohjaksi yleiskuva EU‑elinten käytännöistä ja alustavasta kyberturvallisuuden kehittyneisyystasosta.

68 Niinpä ENISAn strategisissa tavoitteissa ilmaistu pyrkimys, jonka mukaan viraston olisi annettava EU‑elimille ennakoivaa apua, ei ole muuttunut toiminnallisiksi tavoitteiksi eikä konkreettisiksi toimiksi. Valmiuksien kehittämistä ja operatiivista yhteistyötä on tähän mennessä tuettu vain joissakin yksittäisissä EU‑elimissä (näiden pyynnöstä).

69 Kyberturvallisuusasetuksen mukaan ENISAn olisi myös annettava asianmukaista tukea CERT-EU:lle, jotta EU‑elimiä voidaan avustaa valmiuksien kehittämisessä. Tarkastuksen ajankohtaan mennessä tämä tuki oli jäänyt muutamaan erityistoimeen. ENISA esimerkiksi teki vuonna 2019 vertaisarvioinnin CERT-EU:sta. Toimi liittyi jäsenyyteen verkko- ja tietoturvadirektiivillä perustetussa EU:n CSIRT-verkostossa.

70 Tilintarkastustuomioistuimen kyselyyn saatujen vastausten mukaan ENISA julkaisee korkealaatuisia kyberturvallisuuteen liittyviä raportteja ja ohjeita, joista osaa EU‑elimet hyödyntävät. EU‑elimiä ja niiden toimintaympäristöä ja tarpeita koskevia erityisiä suuntaviivoja ei kuitenkaan ole laadittu. EU‑elimet, ja erityisesti kyberturvallisuuden alalla vähemmän edistyneet EU‑elimet, tarvitsevat käytännön ohjeita siitä, mitä niiden on tehtävä ja miten. Tähän mennessä ENISA ja CERT-EU ovat antaneet tämän tyyppistä tukea vähän ja epäjärjestelmällisesti.

71 ENISA on järjestänyt jonkin verran kyberturvallisuuskursseja. Kurssit on pääasiassa suunnattu jäsenvaltioiden viranomaisille, mutta myös EU‑elimistä on ollut pieni määrä osallistujia. ENISA on järjestänyt vain kaksi nimenomaan EU‑elimille suunnattua kurssia (kumpikin itseoppimiskursseja). ENISA tarjoaa lisäksi verkkokoulutusmateriaaleja sivustollaan, ja EU‑elimet voivat käyttää niitä, mutta tähän mennessä kyse on ollut pääasiassa CSIRT-asiantuntijoille suunnatuista kursseista, joista ei ole ollut hyötyä useimmille EU‑elimille.

72 ENISA voi koulutuksen ohella tukea EU‑elimiä myös järjestämällä kyberturvallisuusharjoituksia. Lokakuussa 2020 ENISA auttoi yhdessä CERT-EU:n kanssa viemään läpi ICTACin kyberturvallisuusharjoituksen. Se on ainoa harjoitus, jonka ENISA on järjestänyt erityisesti EU‑elinten osallistujille. Tämän lisäksi ENISA on auttanut järjestämään muutamia harjoituksia joidenkin EU‑elinten pyynnöstä. Harjoitukset on järjestetty pääasiassa kyseisten elinten (esimerkiksi eu-LISAn, EMSAn, Euroopan parlamentin ja Europolin) sidosryhmille, jotka ovat olleet jäsenvaltioiden viranomaisia. Myös jotkut EU‑elinten henkilöstön jäsenet ovat osallistuneet harjoituksiin.

73 Kyberturvallisuusasetuksessa ENISAlle annettiin lisäksi uusi tehtävä, jossa virasto auttaa vapaaehtoisuuden pohjalta EU‑elimiä laatimaan haavoittuvuuksien julkistamisen hallintapolitiikkoja. ENISAlla ei kuitenkaan edelleenkään ole kokonaiskuvaa yksittäisten EU‑elinten haavoittuvuuksien julkistamisen hallintapolitiikoista, eikä se auta niitä kyseisten politiikkojen laatimisessa ja täytäntöönpanossa.

CERT-EU:n osallistujat arvostavat kriisiryhmää, mutta ryhmän resurssit eivät vastaa nykyisiä kyberturvallisuushaasteita

74 Syyskuussa 2012 komission päätöksellä³³ perustettiin – useiden aloitteiden jälkeen (ks. kaavio 7) – pysyvä EU‑elinten tietotekniikan kriisiryhmä CERT-EU (ks. kohta 08).

75 Vaikka CERT-EU toimii riippumattomasti, se on edelleen työryhmä, jolla ei ole oikeushenkilöllisyyttä. Se on hallinnollisesti sijoitettu Euroopan komissioon (DIGIT-pääosastoon), josta se saa logistista ja hallinnollista tukea. CERT-EU:n tavoitteena on parantaa EU‑elinten tieto- ja viestintätekniikan infrastruktuurin turvallisuutta edistämällä niiden valmiuksia käsitellä kyberuhkia ja haavoittuvuuksia sekä ehkäistä ja havaita kyberhyökkäyksiä ja reagoida niihin. CERT-EU:ssa työskentelee noin 40 henkilöä, jotka on sijoitettu asiantuntijaryhmiin. He keskittyvät työssään esimerkiksi kyberuhkatiedusteluun, digitaaliseen forensiikkaan ja siihen, miten häiriöihin reagoidaan.

CERT-EU on arvostettu kumppani, jonka työmäärä kasvaa

76 CERT-EU pyytää osallistujiltaan palautetta ja ehdotuksia neljännesvuosittaisten työpajojen ja vuosittaisten kahdenvälisten kokousten yhteydessä ja tyytyväisyyskyselyjen avulla. Tyytyväisyyskyselyjen ja tilintarkastustuomioistuimen kyselytutkimuksen mukaan osallistujat ovat suurelta osin tyytyväisiä CERT-EU:n tarjoamiin palveluihin. CERT-EU‑palvelutarjonnan kehitys osoittaa, että se pyrkii mukautumaan EU‑elinten tarpeisiin.

77 Suuret EU‑elimet, joilla on merkittävät sisäiset valmiudet, käyttävät CERT-EU:ta pääasiassa tiedonjakokeskuksena ja uhkatiedustelutietojen lähteenä. Pienemmät EU‑elimet puolestaan turvautuvat CERT-EU:n eri palveluihin laajemmin (mm. seurantalokit, tunkeutumistestaukset, Red Team ‑harjoitukset ja häiriöihin reagoiminen). CERT-EU‑palvelut ovat erityisen arvokkaita pienille EU‑elimille, koska niissä kyberalaa koskeva sisäinen asiantuntemus on vähäistä ja mittakaavaedut puuttuvat (ks. kohdat 31 ja 33).

78 CERT-EU on viime vuosina vahvistanut valmiuksiaan ja menettelyjään uhkien ja häiriöiden dramaattisen lisääntymisen vuoksi. CERT-EU:n tietotuotteiden, erityisesti uhkavaroitusten ja ‑muistioiden, määrä on kasvanut jatkuvasti (kaavio 8). Vuonna 2020 CERT-EU julkaisi 171 uhkamuistiota ja 53 uhkavaroitusta (huomattavasti enemmän kuin alun perin odotetut 80 muistiota ja 40 varoitusta).

79 CERT-EU tukee EU‑elimiä myös kyberhäiriöiden käsittelyssä. Vaikka 52 prosentilla EU‑elimistä on sisäinen toimintaryhmä tai vähintään häiriökoordinaattori, loput 48 prosenttia tukeutuu häiriötilanteessa CERT-EU:hun ja/tai muihin ulkopuolisiin palveluntarjoajiin. Jopa suuret EU‑elimet, joilla on oma valmius reagoida, voivat kuitenkin pyytää CERT-EU:lta tukea monimutkaisten häiriötilanteiden käsittelyyn.

80 CERT-EU:n käsittelemien häiriöiden kokonaismäärä kasvoi 561:stä vuonna 2019 jopa 884:ään vuonna 2020. Erityisesti merkittävät poikkeamat ovat lisääntyneet vuoden 2018 yhdestä tapauksesta 13 tapaukseen vuonna 2020. Vuonna 2021 merkittäviä poikkeamia oli 17, eli määrä kasvoi niistä 13 poikkeamasta, jotka toteutuivat vuonna 2020 (sekin itsessään ennätysvuosi). Merkittävät poikkeamat johtuvat yleensä erittäin pitkälle kehittyneistä uhkista. Ne voivat vaikuttaa useisiin EU‑elimiin, ja ne voivat vaatia viranomaisten välistä yhteydenpitoa. Lisäksi on tavallista, että häiriötilanteen tutkiminen ja poistaminen voi viedä poikkeamien kohteeksi joutuneilta tahoilta ja CERT-EU:lta viikkoja tai kuukausia.

81 Lisäksi CERT-EU on pääasiallinen taho, joka tarjoaa EU‑elimille kyberpuolustukseen liittyviä ennakoivia arviointeja ja testejä. Tiivistelmä CERT-EU:n toiminnasta tällä alalla esitetään kaaviossa 9. CERT-EU on vuodesta 2020 lähtien tehnyt myös ulkoisia verkkoskannauksia.

Osallistujat eivät jaa olennaisia tietoja CERT-EU:n kanssa hyvissä ajoin

82 Toimielinten välisessä järjestelyssä³⁴ todetaan, että osallistujat ilmoittavat CERT-EU:lle merkittävistä kyberturvallisuuspoikkeamista. Käytännössä näin ei kuitenkaan ole aina tapahtunut. Toimielinten välisessä järjestelyssä ei määrätä mekanismista, jonka avulla valvottaisiin, että CERT-EU:n osallistujat huolehtivat merkittävien poikkeamien pakollisesta raportoinnista viipymättä. Toimielinten välisessä järjestelyssä annetaan merkittävistä poikkeamista vain yleisluontoinen määritelmä, mikä jättää kunkin EU‑elimen harkittavaksi, ilmoittaako se häiriöstä. CERT-EU:n johdon mukaan eräät osallistujat eivät ole jakaneet tietoja merkittävistä poikkeamista oikea-aikaisesti. Tämä on vaikeuttanut CERT-EU:n toimintaa keskuksena, jonka kautta kaikki EU‑elimet voivat vaihtaa kyberturvallisuustietojaan ja koordinoida häiriötilanteitaan. Esimerkiksi eräs osallistuja, joka kohtasi erittäin pitkälle kehittyneen uhan, ei ilmoittanut siitä CERT-EU:lle eikä pyytänyt sen apua. Tämän vuoksi CERT-EU ei voinut kerätä kyberuhkatietoa, jota virasto olisi voinut käyttää antaessaan tukea saman uhkan kohteeksi joutuneille muille osallistujille. Hyökkäys vaikutti ainakin kuuteen EU‑elimeen.

83 Osallistujat eivät myöskään ole aktiivisesti jakaneet CERT-EU:lle oikea-aikaista tietoa kyberturvallisuusuhkista ja osallistujiin vaikuttavista haavoittuvuuksista, vaikka toimielinten välinen järjestely³⁵ sitä edellyttää. CERT-EU:n ryhmä, joka vastaa digitaalisesta forensiikasta ja kyberturvallisuushäiriöihin reagoimisesta (Digital Forensics and Incident Response Team), ei ole saanut ilmoituksia sellaisista haavoittuvuuksista tai kontrollien puutteista, jotka on havaittu sen aktiivisesti tutkimien häiriöiden ulkopuolella. Osallistujat eivät jaa sisäisissä tai ulkoisissa tietoturvatarkastuksissa tehtyjä olennaisia havaintoja ennakoivasti.

84 Lisäksi toimielinten välisessä järjestelyssä ei velvoiteta EU‑elimiä ilmoittamaan CERT-EU:lle merkittävistä muutoksista tietotekniikkaympäristössään, eivätkä osallistujat olekaan ilmoittaneet niistä järjestelmällisesti. EU‑elimet eivät esimerkiksi aina ilmoita CERT-EU:lle muutoksista, jotka koskevat niiden IP-osoitteita (eli niiden tietotekniikkainfrastruktuurin internet-osoitteiden luetteloa). CERT-EU tarvitsee päivitetyt IP-osoitteet, jotta se voi esimerkiksi suorittaa skannauksia, kun merkittäviä haavoittuvuuksia havaitaan. Jos EU‑elimet eivät ilmoita CERT-EU:lle muutoksista, sen on vaikeampi tukea elimiä. Se, että CERT-EU:lle ei tehdä ilmoituksia, vaikuttaa myös kriisiryhmän kykyyn valvoa järjestelmiä. Lisäksi se johtaa siihen, että seurantavälineiden puutteellisten tietojen korjaaminen vaatii enemmän työtä. CERT-EU:n johdon mukaan CERT-EU saattaa häiriöitä käsitellessään havaita aiemmin tuntemattoman infrastruktuurin. Tiettyjä tapauksia lukuun ottamatta CERT-EU:lla ei ole tällä hetkellä kattavaa yleiskuvaa EU‑elinten tietojärjestelmistä ja ‑verkoista.

85 Niin kauan kuin toimielinten välisessä järjestelyssä ei ole valvontamekanismia, EU‑elimistä lähetetään CERT-EU:lle ilmoituksia epäjärjestelmällisesti. Ilmoitukset ovat olennainen tekijä, kun pyritään luomaan sellainen kybervarautumiseen tähtäävä EU‑elinten yhteisö, jonka perustana on CERT-EU.

CERT-EU:n resurssit ovat epävakaat eivätkä vastaa nykyistä uhkatasoa

86 Toimielinten välisessä järjestelyssä³⁶ todetaan, että ”CERT-EU:n tulisi saada kestävä rahoitus ja henkilöstö, sen toiminnan tuloksellisuus tulisi varmistaa ja sillä olisi oltava riittävä keskeinen pysyvä henkilöstö, mutta sen hallintokulut olisi pidettävä mahdollisimman pieninä”. CERT-EU:n tärkein voimavara on korkeasti koulutettu ja erikoistunut henkilöstö. Kaaviossa 10 esitetään CERT-EU:n henkilöstömäärän muutos sen perustamisesta vuonna 2011 nykypäivään.

87 Yli kahdella kolmasosalla CERT-EU:n henkilöstön jäsenistä on määräaikainen työsopimus. Heidän palkkansa ei ole kovin kilpailukykyinen verrattuna kyberturvallisuusalan markkinoilla maksettuihin palkkoihin, ja CERT-EU:n johdon mukaan tällaisia asiantuntijoita on yhä vaikeampi palkata ja pitää palveluksessa. Kun palkat eivät ole riittävän houkuttelevia korkeamman osaamistason hakijoille, CERT-EU:n on turvauduttava kokemattomampien työntekijöiden palkkaamiseen ja käytettävä aikaa heidän kouluttamiseensa. Lisäksi sopimusten kesto on enintään kuusi vuotta, mikä tarkoittaa, että CERT-EU:lla ei ole muuta vaihtoehtoa kuin luopua sopimussuhteisista toimihenkilöistä juuri, kun nämä ovat asiantuntemuksensa huipulla. Henkilöstön vaihtuvuus oli erityisen suurta vuonna 2020. Silloin 21 prosenttia henkilöstöstä lähti CERT-EU:sta, eikä kaikkia saatu korvattua. Vuonna 2019 henkilöstöstä lähti yhdeksän prosenttia, ja vuonna 2018 lähtijöitä oli 13 prosenttia.

88 CERT-EU:n johto on korostanut, että CERT-EU:n digitaalisesta forensiikasta ja kyberturvallisuushäiriöihin reagoimisesta vastaava ryhmä (Digital Forensics and Incident Response Team) on nykyisin usein ylikuormittunut eivätkä sen muut ryhmät kykene vastaamaan kysyntään. Tämän seurauksena CERT-EU on joutunut supistamaan toimintaansa. CERT-EU ei tällä hetkellä tee resurssien puutteen vuoksi esimerkiksi kehittyneisyysarvioita osallistujistaan. CERT-EU:n palvelu, joka varoittaa epäilyttävästä toiminnasta, otettiin käyttöön odotettua myöhemmin resurssipulan takia. Lisäksi useat haastatelluista osallistujista totesivat, että heidän oli odotettava kauan ennen kuin he pääsivät asioimaan CERT-EU:n kanssa.

89 Resurssirajoitteet ovat tähän mennessä pakottaneet CERT-EU:n keskittymään erityisesti siihen, että se suojaa perinteistä paikan päällä sijaitsevaa tietotekniikkainfrastruktuuria suurilta uhkilta. Näiden uhkien takana on (yleensä valtioiden tukemia) ryhmiä, joiden aiheuttamat uhkat ovat edistyneitä ja pitkäkestoisia. CERT-EU:n johdon mukaan EU‑elinten tietoteknisen toiminta-alueen laajentaminen (mukaan lukien pilvipalvelut, mobiililaitteet ja etätyövälineet) edellyttää kuitenkin valvonnan ja suojan parantamista, ja myös alemman tason uhkiin (kuten tietoverkkorikollisuuteen ja kiristysohjelmiin) on kiinnitettävä enemmän huomiota.

90 Toimielinten välisessä järjestelyssä ei määrätä, että CERT-EU:n olisi oltava toimintavalmiina 24 tuntia vuorokaudessa ja seitsemän päivää viikossa. Vaikka kyberturvallisuushyökkäykset eivät noudata toimistoaikoja, CERT-EU:lla ei tällä hetkellä ole resursseja eikä riittävää henkilöstöä, jotta se voisi toimia pysyvästi ja järjestelmällisesti myös työajan ulkopuolella. Niistä 65 EU‑elimestä, jotka vastasivat tilintarkastustuomioistuimen kyselyyn, vain 35:llä on it-henkilö tavoitettavissa työajan ulkopuolella.

91 CERT-EU:n toimien rahoittamiseksi johtokunta hyväksyi vuonna 2012 palvelusopimusmallin. Kaikki osallistujat saavat ydinpalvelut ilmaiseksi ja voivat hankkia maksullisia lisäpalveluita tehtyään palvelutasosopimuksen. CERT-EU:n vuoden 2020 talousarvio oli 3 745 000 euroa, josta kuusi prosenttia rahoitettiin EU:n talousarviosta ja 94 prosenttia palvelutasosopimusten avulla. Osallistujat ovat kuitenkin hyvin erilaisia keskenään: joidenkin tietotekniikan turvallisuusvaatimukset ovat pitkälle kehittyneitä, kun taas toisilla on vähän varoja käytettäväksi tietotekniikkaan ja varsin kehittymätön kyberturvallisuuden taso. Tämän vuoksi palvelutasosopimusta koskevat neuvottelut johtavat siihen, että joidenkin EU‑elinten turvallisuusvaatimukset ovat korkeat ja toiset eivät ole erityisen halukkaita tai kykeneviä osallistumaan.

92 Lisäksi palvelutasosopimukset on uudistettava vuosittain yksitellen. Hallinnollisen taakan lisäksi tämä aiheuttaa kassavirtaongelmia, koska CERT-EU ei saa kaikkien palvelutasosopimusten perusteella varoja samaan aikaan. Lisäksi virastot voivat päättää palvelutasosopimukset milloin tahansa. Tämä uhkaa käynnistää noidankehän, jossa CERT-EU:n on tulonmenetysten vuoksi kutistettava palvelujaan, eikä se voi pysyä kysynnän tasalla. Tämä puolestaan voi johtaa siihen, että muutkin EU‑elimet lopettavat palvelutasosopimuksensa ja siirtyvät käyttämään yksityisiä palveluntarjoajia. Näistä syistä nykyinen rahoitusmalli ei ole paras mahdollinen tapa varmistaa vakaa ja optimaalinen palvelutaso.

93 CERT-EU:n johtokunta hyväksyi kokouksessaan 19. helmikuuta 2020 strategisen ehdotuksen, jonka mukaan CERT-EU laajentaa kyberturvallisuuspalvelujaan ja kehittää ns. täyden toimintavalmiuden. Tähän ryhdyttiin, koska kyberturvallisuuden uhkaympäristö on muuttunut nopeasti (ks. kohdat 06 ja 80). Ehdotukseen liittyi analyysi CERT-EU:n henkilöstö- ja rahoitustarpeista. Analyysissä todettiin, että CERT-EU tarvitsisi 14 uutta pysyvää hallintovirkamiehen virkaa, jotka otettaisiin käyttöön asteittain vuosina 2021–2023. CERT-EU toimisi tällöin täydellä kapasiteetilla vuodesta 2023 alkaen. Ehdotuksen mukaan CERT-EU:n olisi kasvatettava talousarviotaan 7,6 miljoonalla eurolla vuosina 2021–2023 siten, että talousarvio olisi 11,3 miljoonaa euroa vuoteen 2024 mennessä.

94 Vaikka EU‑elimet ovat hyväksyneet strategisen ehdotuksen CERT-EU:lle myönnettävistä lisäresursseista, ne eivät ole vielä päässeet sopimukseen käytännön järjestelyistä. Tämä koskee ensinnäkin siirtymäkautta vuosina 2021–2023 ja toiseksi pitkän aikavälin järjestelyjä kyberturvallisuusasetuksen tultua voimaan (ks. kohta 12).

Johtopäätökset ja suositukset

95 Tilintarkastustuomioistuin toteaa, että EU:n toimielimet, elimet ja virastot (EU‑elimet) eivät ole saavuttaneet kybervalmiustasoa, joka vastaisi uhkia. Tarkastus osoittaa, että kyberturvallisuuden kehittyneisyyden taso vaihtelee EU‑elimestä toiseen. Koska EU‑elimet ovat monin tavoin kytköksissä toisiinsa sekä jäsenvaltioiden julkisiin ja yksityisiin organisaatioihin, kyberturvallisuuteen liittyvät heikkoudet, jotka toteutuvat yhdessä EU‑elimessä, voivat saattaa monia muita organisaatioita alttiiksi kyberuhkille.

96 Tilintarkastustuomioistuin havaitsi, että kyberturvallisuuden kannalta keskeisiä hyviä käytäntöjä, kuten eräitä olennaisia kontrolleja, ei aina ole pantu täytäntöön. Kyberturvallisuuden moitteeton hallinnointi on olennaisen tärkeää tieto- ja tietotekniikkajärjestelmien turvallisuuden kannalta, mutta se ei vielä toteudu eräissä EU‑elimissä: tietotekniikan turvallisuusstrategiat ja ‑suunnitelmat puuttuvat usein tai ne eivät ole ylemmän johdon hyväksymiä, turvallisuusperiaatteita ei aina ole virallistettu, eivätkä riskinarvioinnit kata koko tietotekniikkaympäristöä. Kyberturvallisuusmenojen määrä vaihtelee EU‑elimestä toiseen, ja osassa elimistä menot ovat selvästi liian pienet verrattuna toisiin samankokoisiin elimiin (ks. kohdat 21–33 ja 37 ja 38).

97 Kybertietoisuutta ja alan koulutusta koskevat ohjelmat ovat vaikuttavan kyberturvallisuuskehyksen keskeisiä osatekijöitä. Kuitenkin vain 29 prosenttia EU‑elimistä tarjoaa pakollista kyberturvallisuuskoulutusta sellaiselle johtavassa asemassa olevalle henkilöstölle, joka vastaa arkaluontoisia tietoja sisältävistä tietotekniikkajärjestelmistä. Lisäksi koulutus on usein epävirallista. Viiden viime vuoden aikana 55 prosenttia EU‑elimistä on järjestänyt yhden tai useamman simuloidun verkkourkintakampanjan (tai vastaavia harjoituksia). Nämä harjoitukset ovat tärkeitä henkilöstön kouluttamisen ja valppauden lisäämisen kannalta, mutta EU‑elimet eivät tee niitä järjestelmällisesti (ks. kohdat 34–36). Kaikissa EU‑elimissä ei myöskään tehdä säännöllisesti sellaisia kyberturvallisuuden varmennuksia, joiden toteuttajana olisi riippumaton taho (ks. kohdat 39–44).

98 EU‑elimet, jotka saavat palveluja EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmältä (CERT-EU), arvostavat kriisiryhmää suuresti, mutta CERT-EU:n kapasiteetti on liian kovilla. CERT-EU:n työmäärä uhkatiedustelun ja häiriöiden käsittelyn osalta on kasvanut nopeasti vuodesta 2018 lähtien. Merkittävien kyberturvallisuuspoikkeamien määrä on enemmän kuin kymmenkertaistunut. Samalla EU‑elimet eivät aina jaa ajoissa tietoja merkittävistä poikkeamista, haavoittuvuuksista ja tietotekniikkainfrastruktuurinsa tärkeistä muutoksista. Tämä estää CERT-EU:ta toimimasta vaikuttavalla tavalla, sillä se ei voi varoittaa muita EU‑elimiä, joihin häiriöt saattavat myös vaikuttaa. Lisäksi tuloksena voi olla se, että merkittävät poikkeamat jäävät havaitsematta. CERT-EU:n resurssit eivät myöskään ole vakaalla pohjalla eivätkä tällä hetkellä vastaa nykyistä uhkatasoa tai EU‑elinten tarpeita. CERT-EU:n johtokunta hyväksyi vuonna 2020 strategisen ehdotuksen tarvittavista lisäresursseista, mutta osallistujat eivät ole vielä päässeet sopimukseen resursseihin liittyvistä käytännön järjestelyistä. Näin ollen CERT-EU:n henkilöstö ei kykene vastaamaan kysyntään, vaan joutuu supistamaan toimintaansa (ks. kohdat 74–93).

Suositus 1 – Parannetaan kaikkien EU‑elinten kyberturvallisuusvalmiuksia laatimalla yhteisiä sitovia sääntöjä ja lisäämällä CERT-EU:n voimavaroja

Komission olisi sisällytettävä seuraavat periaatteet tulevaan asetusehdotukseensa, jossa vahvistetaan toimenpiteet korkean yleisen kyberturvallisuustason saavuttamiseksi kaikissa EU‑elimissä:

1. Ylemmän johdon olisi kannettava vastuu kyberturvallisuuden hallinnoinnista hyväksymällä kyberturvallisuusstrategioita ja keskeisiä turvallisuusperiaatteita sekä nimittämällä riippumaton tietojärjestelmien turvallisuusvastaava (tai muu senkaltainen toimija).
2. EU‑elimillä olisi oltava tietotekniikan turvallisuutta koskevien riskien hallintajärjestelmä, joka kattaa koko niiden tietotekniikkainfrastruktuurin, ja elinten olisi tehtävä säännöllisiä riskinarviointeja.
3. EU‑elinten olisi tarjottava turvallisuustietoisuuteen tähtäävää järjestelmällistä koulutusta koko henkilöstölle, myös johdolle.
4. EU‑elinten olisi huolehdittava, että niiden kyberpuolustusta tarkastetaan ja testataan säännöllisesti. Tällöin olisi tarkastettava myös kyberturvallisuuteen osoitettujen resurssien riittävyys.
5. EU‑elinten olisi raportoitava viipymättä CERT-EU:lle merkittävistä kyberturvallisuuspoikkeamista sekä olennaisista tietotekniikkainfrastruktuurinsa muutoksista ja haavoittuvuuksista.
6. EU‑elinten olisi lisättävä talousarvioissaan määrärahoja, jotka on kohdennettu CERT-EU:lle. Määrärahat olisi korvamerkittävä niiden tarpeiden mukaisesti, jotka CERT-EU:n johtokunta on määritellyt strategisessa ehdotuksessaan.
7. Asetukseen olisi otettava säännöksiä sellaisen toimijan nimeämisestä, joka valvoo, että kaikki EU‑elimet noudattavat yhteisiä kyberturvallisuussääntöjä. Kyseisen toimijan olisi lisäksi annettava ohjeita, suosituksia ja kehotuksia toimenpiteisiin ryhtymisestä. Toimijalla olisi oltava tehtävänsä edellyttämät riittävät toimivaltuudet ja välineet, ja sen olisi edustettava kaikkia EU‑elimiä.

Toteuttamisen tavoiteajankohta: vuoden 2023 ensimmäinen neljännes

99 EU‑elimet ovat perustaneet mekanismeja kyberturvallisuuden alalla tehtävää yhteistyötä varten. Tilintarkastustuomioistuin totesi kuitenkin, että mahdollisia synergioita ei hyödynnetä täysimääräisesti. Tietojenvaihdolle on olemassa virallinen rakenne, jossa toimijoilla ja komiteoilla on toisiaan täydentävät tehtävänsä. Pienempien EU‑elinten osallistumista toimielinten välisille foorumeille vaikeuttavat kuitenkin rajalliset resurssit. Myöskään hajautettujen virastojen ja yhteisyritysten edustus CERT-EU:n johtokunnassa ei ole optimaalista. Tilintarkastustuomioistuin havaitsi myös, että EU‑elimet eivät jaa keskenään järjestelmällisesti tietoja kyberturvallisuuteen liittyvistä hankkeista, turvallisuusarvioinneista ja muista palvelusopimuksista. Tämä voi johtaa toimien päällekkäisyyteen ja kustannusten kasvuun. Tilintarkastustuomioistuin havaitsi operatiivisia vaikeuksia, jotka liittyivät turvaluokittelemattomien arkaluonteisten tietojen vaihtoon salattujen sähköpostiviestien kautta tai videoneuvotteluissa. Tietotekniikkaratkaisut eivät ole yhteentoimivia, niiden sallittua käyttöä koskevat ohjeet ovat epäjohdonmukaisia, ja yhteiset tietojen luokittelumerkinnät ja käsittelysäännöt puuttuvat (ks. kohdat 45–63).

Suositus 2 – Edistetään EU‑elinten välisiä lisäsynergioita tietyillä osa-alueilla

Komission olisi edistettävä digitaalista muutosta käsittelevässä toimielinten välisessä komiteassa seuraavia EU‑elinten toimia:

1. hyväksytään ratkaisuja, jotka koskevat turvallisten viestintäkanavien yhteentoimivuutta (salatuista sähköposteista videoneuvotteluihin), ja pyritään viemään eteenpäin sellaisia yhteisiä luokittelumerkintöjä ja käsittelysääntöjä, jotka koskevat turvaluokittelemattomia arkaluonteisia tietoja
2. jaetaan järjestelmällisesti tietoja kyberturvallisuuteen liittyvistä hankkeista, joilla voi olla vaikutuksia muihin toimielimiin, samoin kuin ohjelmistoja koskevista turvallisuusarvioinneista sekä ulkopuolisten palvelun- ja tavarantoimittajien kanssa tehdyistä sopimuksista
3. määritetään kyberturvallisuuspalvelujen yhteisiä hankintoja ja puitesopimuksia koskevat ehdot niin, että kaikki EU‑elimet voivat osallistua, mikä edistää mittakaavaetuja.

Toteuttamisen tavoiteajankohta: vuoden 2023 viimeinen neljännes

100 EU‑elinten tukeminen kyberturvallisuuden alalla on pääasiassa Euroopan unionin kyberturvallisuusviraston (ENISA) ja CERT-EU:n tehtävänä. Koska resurssit ovat rajalliset tai muille aloille on annettu etusija, kyseiset toimijat eivät ole kuitenkaan kyenneet antamaan EU‑elimille kaikkea näiden tarvitsemaa tukea. Tämä koskee etenkin valmiuksien kehittämistä niissä EU‑elimissä, joissa kyberturvallisuusvalmiudet ovat vähemmän kehittyneitä (ks. kohdat 64–93).

Suositus 3 – Lisätään CERT-EU:n ja ENISAn keskittymistä niihin EU‑elimiin, joissa kyberturvallisuus on vähemmän kehittynyttä

CERT-EU:n ja ENISAn olisi

1. määritettävä ensisijaiset osa-alueet, joilla EU‑elimet tarvitsevat eniten tukea, esimerkiksi kehittyneisyysarvioiden avulla
2. kehitettävä valmiuksia yhteisymmärryspöytäkirjan mukaisesti.

Toteuttamisen tavoiteajankohta: vuoden 2022 viimeinen neljännes

Tilintarkastustuomioistuimen III jaosto on tilintarkastustuomioistuimen jäsenen Bettina Jakobsenin johdolla hyväksynyt tämän kertomuksen Luxemburgissa 22. helmikuuta 2022.

Liitteet

Liite I – Luettelo kyselyn kohteena olleista EU‑elimistä

Liite II – Lisätietoja tärkeimmistä toimielinten välisistä komiteoista

Interinstitutional Committee for the Digital Transformation (ICDT; digitaalista muutosta käsittelevä toimielinten välinen komitea)

ICDT on foorumi, jolla vaihdetaan tietoja ja edistetään yhteistyötä tietotekniikan alalla. Se perustettiin toukokuussa 2020 korvaamaan alan aiempi toimielinten välinen tietotekniikkakomitea Comité Interinstitutionnel de l’Informatique (CII). ICDT koostuu EU‑elinten tietotekniikkaosastojen johdosta. ICDT-komitealla on kyberturvallisuuden alaryhmä (ICDT CSSG), jonka tehtävänä on edistää EU‑elinten yhteistyötä kyberturvallisuuden alalla ja toimia tiedonvaihdon foorumina.

ICDT:n päätöksentekovalta rajoittuu seikkoihin, jotka eivät vaikuta toimielinten tapaan toteuttaa tehtäväänsä eivätkä hallinnointiin kussakin toimielimessä. ICDT voi antaa EU:n toimielinten ja elinten pääsihteerien kollegiolle suosituksia niiden päätösten osalta, jotka eivät kuulu sen valtuuksien piiriin.

ICDT:n toimeksiannon mukaan sen jäsenistö koostuu kunkin EU:n toimielimen ja elimen edustajista ja yhdestä EU:n virastojen nimeämästä edustajasta (ICTAC). Neuvoston pääsihteeristö toimii tällä hetkellä ICDT:n puheenjohtajana.

ICDT:n kyberturvallisuuden alaryhmä (ICDT CSSG)

ICDT-komitean kyberturvallisuuden alaryhmä CSSG perustettiin nykyisessä kokoonpanossaan syyskuussa 2020 entisen CII-komitean pysyvän turvallisuusalaryhmän tilalle. Edeltäjäänsä verrattuna ICDT-komitean CSSG-ryhmällä on jäsennellympi, kunnianhimoisempi ja tuloshakuisempi lähestymistapa. Sen toimintaa toteuttavat säännöllisesti kokoontuvat työryhmät, jotka keskittyvät keskeisiin yhteisiin kysymyksiin:

• Työryhmä 1: Yhteiset standardit, vertailuanalyysi ja kehittyneisyys
• Työryhmä 2: Alustoja koskevien menetelmien, työkalujen ja sopimusten jakaminen
• Työryhmä 3: Pilvipalvelujen turvallisuus
• Työryhmä 4: Kyberosaamisen ja kyberalan kykyjen kehittäminen
• Työryhmä 5: Kybertietoisuus
• Työryhmä 6: Videoneuvottelujen turvallisuus

CSSG:n toimeksiannon mukaan sen sihteeristö vastaa työryhmän toiminnan edistymisen säännöllisestä seurannasta ja raportoinnista. Se toimittaa säännöllisesti raportteja ICDT:n kyberturvallisuuden alaryhmän puheenjohtajalle ja varapuheenjohtajalle ja kerää säännöllisesti tietoja työryhmien koordinaattoreilta. CSSG:n on esitettävä kunkin vuoden lopussa myös yhteenveto toimintakertomuksesta.

Komissio toimii parhaillaan ICDT-komitean CSSG-ryhmän puheenjohtajana, ja varapuheenjohtaja on ICTAC:n edustaja. Vaikka CSSG:llä ei ole päätösvaltaa, se voi esittää ICDT-komitealle päätöksiä koskevia suosituksia.

Virastojen verkosto

EU:n virastojen verkosto (EUAN) on EU:n virastojen ylimmän johdon vuonna 2012 perustama epävirallinen verkosto. EUAN-verkostoon kuuluu tällä hetkellä 48 hajautettua EU:n virastoa ja yhteisyritystä. Sen tavoitteena on tarjota jäsenilleen tiedonvaihto- ja yhteistyöfoorumi yhteisen edun mukaisilla aloilla. Tieto- ja viestintätekniikan neuvoa-antava komitea (ICTAC) on EUAN-verkoston alaryhmä, jonka tehtävänä on edistää yhteistyötä tieto- ja viestintätekniikan, myös kyberturvallisuuden, alalla.

Tieto- ja viestintätekniikan neuvoa-antava komitea (ICTAC)

ICTAC edistää virastojen ja yhteisyritysten keskuudessa tieto- ja viestintätekniikan alan yhteistyötä. Se pyrkii löytämään toteuttamiskelpoisia ja taloudellisesti järkeviä ratkaisuja yhteisiin ongelmiin, vaihtamaan tietoja ja hyväksymään tarvittaessa yhteisiä kantoja. ICTAC:n toimeksiannon mukaan kaikki sen jäsenet kokoontuvat yhteen kahdesti vuodessa. ICTAC-komitean edustajat CSSG-työryhmissä, ICTAC-komitean edustaja CSSG:ssä ja ICTAC-komitean ”troikka” kokoontuvat säännöllisesti kuukausittain. Troikka koostuu ICTAC:n nykyisestä, edellisestä ja tulevasta puheenjohtajasta (puheenjohtajakausi on yhden vuoden mittainen). Troikan tehtävänä on tukea kulloistakin puheenjohtajaa ja tarvittaessa hänen sijaistaan kaikissa hänen tehtäviinsä liittyvissä asioissa.

Lyhenteet

CERT-EU: EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmä (Computer Emergency Response Team)

CSIRT: Tietoturvaloukkauksiin reagoiva ja niitä tutkiva yksikkö (Computer Security Incident Response Team)

DIGIT-pääosasto: Tietotekniikan pääosasto

ENISA: Euroopan unionin kyberturvallisuusvirasto

EUAN: Euroopan unionin virastojen verkosto

eu-LISA: Vapauden, turvallisuuden ja oikeuden alan laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaava eurooppalainen virasto

HR-pääosasto: Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto

ICDT: Interinstitutional Committee for Digital Transformation (digitaalista muutosta käsittelevä toimielinten välinen komitea)

ICT: Tieto- ja viestintätekniikka

ICTAC: Information and Communications Technology Advisory Committee (tieto- ja viestintätekniikan neuvoa-antava komitea)

ISACA: Information Systems Audit and Control Association

NIS: Verkko- ja tietoturva (Network and Information Security)

Sanasto

Edistynyt pitkäkestoinen uhka: Hyökkäys, jossa luvaton käyttäjä tunkeutuu järjestelmään tai verkkoon varastaakseen arkaluonteisia tietoja ja pysyy siellä pitkään.

EU‑elinten tietotekniikan kriisiryhmä: Tiedonvaihtoa ja häiriöiden torjuntaa koordinoiva keskus, jonka asiakkaat (osallistujat) ovat EU:n toimielimiä, elimiä ja virastoja.

Kybervakoilu: Teko tai toiminta, jolla hankitaan internetistä, verkoista tai yksittäisistä tietokoneista salaisuuksia ja tietoja luvatta ja ilman, että tietojen haltija on siitä tietoinen.

Kyberavaruus: Verkkoympäristökokonaisuus, jossa ihmiset, ohjelmistot ja palvelut kommunikoivat tietokoneiden ja muiden liitettyjen laitteiden verkkojen kautta.

Kyberturvallisuus: Toimenpiteet tietoteknisten verkkojen ja infrastruktuurin sekä niiden sisältämien tietojen suojaamiseksi ulkopuolisilta uhkilta.

Tunkeutumistestaus: Menetelmä, jolla arvioidaan tietotekniikkajärjestelmän turvallisuutta yrittämällä rikkoa sen suojaukset vastapuolten tavallisesti käyttämien työkalujen ja tekniikoiden avulla.

Verkkourkinta: Sähköpostiviestien lähettäminen muka luotettavasta lähteestä, jotta vastaanottajat voidaan huijata avaamaan haitallisia linkkejä tai jakamaan henkilökohtaisia tietoja.

Red Team ‑harjoitus: Kyberhyökkäysten realistinen simulointi, jossa pyritään yllätyksellisyyteen ja käytetään todellisuudessa äskettäin havaittuja tekniikoita ja keskitytään erityisiin tavoitteisiin hyödyntäen useita eri hyökkäysväyliä.

Käyttäjän manipulointi: Tietoturvallisuuden yhteydessä psykologinen manipulaatio, jonka tarkoituksena on erehdyttää henkilö tekemään jotakin tai paljastamaan luottamuksellisia tietoja.

Komission vastaukset

https://www.eca.europa.eu/fi/Pages/DocItem.aspx?did=60922

CERT-EU:n ja ENISAn vastaukset

https://www.eca.europa.eu/fi/Pages/DocItem.aspx?did=60922

Tarkastuksen eteneminen

https://www.eca.europa.eu/fi/Pages/DocItem.aspx?did=60922

Loppuviitteet

¹ Asetus (EU) 2019/881.

² ISO/IEC 27 000:2018.

³ Euroopan tilintarkastustuomioistuimen katsaus nro 02/2019 EU:n kyberturvallisuuspolitiikan vaikuttavuuteen liittyvät haasteet (aihekohtainen katsaus).

⁴ CERT-EU, Threat Landscape Report, kesäkuu 2021.

⁵ Ks. edellinen alaviite.

⁶ Ks. edellinen alaviite.

⁷ Ks. edellinen alaviite.

⁸ Cyberattack on EMA – update 6, 25.1.2021.

⁹ Euroopan tilintarkastustuomioistuimen erityiskertomus 22/2020 EU:n virastojen tulevaisuus – joustavuutta ja yhteistyötä voidaan vielä lisätä, kohta 01.

¹⁰ EUVL C 12, 13.1.2018, s. 1.

¹¹ ENISA, Threat Landscape 2020, Sectoral/thematic threat analysis.

¹² Direktiivi (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa.

¹³ Ehdotus direktiiviksi toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa.

¹⁴ COM(2020) 605 final.

¹⁵ JOIN(2020) 18 final.

¹⁶ ISACA, Certified Information System Auditor review manual, 2019.

¹⁷ Communication to the Commission, European Commission digital Strategy: A digitally transformed, user-focused and data-driven Commission, C(2018) 7118 final, 21.11.2018.

¹⁸ ISO/IEC standard 27000:2018, luku 5.

¹⁹ COBIT 5 for Information Security, kohta 4.2.

²⁰ Ks. esimerkiksi ISO/IEC 27000:2018, osio 4.5.

²¹ ENISA, Threat Landscape 2020, Sectoral/Thematic threat analysis.

²² Kontrollit on johdettu CIS Controls 7.1 – toimintaohjeista (Centre for Internet Security ‑keskuksen valitsemista parhaista käytännöistä koostuva viitekehys).

²³ CIS Controls, täytäntöönpanoluokka 1 (IG1).

²⁴ ISACA, Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.

²⁵ Päätös (EU, Euratom) 2017/46 viestintä- ja tietojärjestelmien turvallisuudesta Euroopan komissiossa.

²⁶ Toimielinten välinen järjestely (allekirjoitettu 20.12.2017), 7 artikla.

²⁷ Euroopan komissio, The European Commission Cloud Strategy, 2019.

²⁸ ENISAn tehtävät on lueteltu asetuksen (EU) 2019/881 II luvussa (5–12 artikla).

²⁹ Euroopan parlamentin ja neuvoston asetus (EU) N:o 526/2013; ENISAn tehtävistä tämän asetuksen nojalla, ks. 3 artikla.

³⁰ Asetus (EU) 2019/881, 6 artikla.

³¹ Kyberturvallisuusasetus,14 artikla.

³² Kyberturvallisuusasetus, 18 artikla.

³³ Euroopan komission lehdistötiedote: EU:n toimielinten verkkoturvallisuus paranee onnistuneen kokeiluhankkeen jälkeen.

³⁴ Toimielinten välinen järjestely (allekirjoitettu 20.12.2017), 3 artiklan 3 kohta.

³⁵ Toimielinten välinen järjestely, 3 artiklan 2 kohta.

³⁶ Toimielinten välinen järjestely, johdanto-osan 7 kappale.

³⁷ ETSK ja AK katsotaan yhdeksi elimeksi.

Yhteystiedot

EUROOPAN TILINTARKASTUSTUOMIOISTUIN
12, rue Alcide De Gasperi
1615 Luxemburg
LUXEMBURG

Puh. +352 4398-1
Tiedustelut: eca.europa.eu/fi/Pages/ContactForm.aspx
Verkkosivut: eca.europa.eu
Twitter: @EUAuditors

Suuri määrä muuta tietoa Euroopan unionista on käytettävissä internetissä Europa-palvelimen kautta (https://europa.eu).

Luxemburg: Euroopan unionin julkaisutoimisto, 2022

PDF	ISBN 978-92-847-7595-8	ISSN 1977-5792	doi:10.2865/127052	QJ-AB-22-003-FI-N
HTML	ISBN 978-92-847-7611-5	ISSN 1977-5792	doi:10.2865/273261	QJ-AB-22-003-FI-Q

TEKIJÄNOIKEUDET

© Euroopan unioni, 2022

Datan ja asiakirjojen uudelleenkäyttöä koskevat Euroopan tilintarkastustuomioistuimen periaatteet pannaan täytäntöön avoimen datan politiikkaa ja asiakirjojen uudelleen käyttämistä koskevalla Euroopan tilintarkastustuomioistuimen päätöksellä 6-2019.

Ellei toisin ilmoiteta (esimerkiksi yksittäisissä tekijänoikeusilmoituksissa), Euroopan tilintarkastustuomioistuimen sisältöihin, jotka EU omistaa, myönnetään käyttöoikeudet Creative Commons Attribution 4.0 International (CC BY 4.0) licence ‑käyttöoikeuden nojalla. Yleissääntö siis on, että uudelleenkäyttö on sallittua, jos sisällön tuottaja mainitaan asianmukaisesti ja kaikista sisältöön tehdyistä muutoksista ilmoitetaan. Euroopan tilintarkastustuomioistuimelle kuuluvan sisällön udelleenkäyttäjä ei saa vääristää asiakirjojen alkuperäistä merkitystä tai sanomaa. Euroopan tilintarkastustuomioistuin ei vastaa mistään seurauksista, jotka johtuvat uudelleenkäytöstä.

Tarvittavat lisäoikeudet on hankittava, jos tietyssä sisällössä (esimerkiksi Euroopan tilintarkastustuomioistuimen henkilöstöstä otetuissa valokuvissa) esitetään tunnistettavissa olevia henkilöitä tai jos sisällössä on mukana kolmansien tahojen töitä.

Jos tällainen lisäoikeus saadaan, se kumoaa ja korvaa yllä mainittu yleisen käyttöoikeuden. Lisäoikeutta koskevassa luvassa on selvästi ilmoitettava käyttöoikeuden rajoitukset.

Jos sisällöt eivät ole EU:n omaisuutta, voi olla, että lupa niiden käyttöön tai jäljentämiseen on pyydettävä suoraan asianomaisilta tekijänoikeuksien haltijoilta.

Tietokoneohjelmistot tai asiakirjat, joihin kohdistuu teollisoikeuksia, kuten patentteja, tavaramerkkejä, rekisteröityjä malleja, logoja ja nimiä, eivät kuulu Euroopan tilintarkastustuomioistuimen uudelleenkäyttöperiaatteiden piiriin.

EU:n toimielinten verkkosivuilla (joiden verkkotunnuksen loppuosa on europa.eu) on linkkejä ulkopuolisille Internet-sivustoille. Koska Euroopan tilintarkastustuomioistuin ei vastaa näistä sivustoista, on suositeltavaa, että tutustutte niiden tietosuoja- ja tekijänoikeusperiaatteisiin.

Tilintarkastustuomioistuimen logon käyttö

Euroopan tilintarkastustuomioistuimen logoa ei saa käyttää ilman tilintarkastustuomioistuimen ennakkosuostumusta.

Yhteydenotot EU:hun

Käynti tiedotuspisteessä
Euroopan unionin alueella toimii yhteensä satoja Europe Direct -tiedotuspisteitä. Lähimmän tiedotuspisteen osoite löytyy verkosta: https://europa.eu/european-union/contact_fi

Yhteydenotot puhelimitse tai sähköpostitse
Europe Direct -palvelu vastaa Euroopan unionia koskeviin kysymyksiin. Palveluun voi ottaa yhteyttä

• soittamalla maksuttomaan palvelunumeroon 00 800 6 7 8 9 10 11 (jotkin operaattorit voivat periä puhelumaksun),
• soittamalla puhelinnumeroon +32 22999696 tai
• sähköpostitse: https://europa.eu/european-union/contact_fi

Tietoa EU:sta

Verkkosivut
Tietoa Euroopan unionista on saatavilla kaikilla EU:n virallisilla kielillä Europa-sivustolla, https://europa.eu/european-union/index_fi

EU:n julkaisut
EU:n ilmaisia ja maksullisia julkaisuja voi ladata tai tilata osoitteesta https://op.europa.eu/fi/publications. Ilmaisia julkaisuja on mahdollista saada usean kappaleen erinä ottamalla yhteyttä Europe Direct -palveluun tai paikalliseen tiedotuspisteeseen (ks. https://europa.eu/european-union/contact_fi).

EU:n lainsäädäntö ja siihen liittyvät asiakirjat
EU:n koko lainsäädäntö vuodesta 1951 ja muuta tietoa EU:n oikeudesta on saatavilla kaikilla virallisilla kielillä EUR-Lex-tietokannassa osoitteessa http://eur-lex.europa.eu

EU:n avoin data
EU:n avoimen datan portaalin (http://data.europa.eu/fi) kautta on saatavilla EU:n data-aineistoja. Data on ilmaiseksi ladattavissa ja uudelleenkäytettävissä sekä kaupallista että ei-kaupallista käyttöä varten.