Kibersigurnost institucija, tijela i agencija EU-a: razina pripravnosti općenito nije razmjerna prijetnjama
O ovom izvješću:Broj kibernapada na institucije, tijela i agencije EU-a (koji se u ovom izvješću skupno nazivaju organima EU-a) u naglom je porastu. Budući da su organi EU-a snažno međusobno povezani, slabe točke jednoga od njih mogu izložiti i druge organe sigurnosnim prijetnjama. Revizorski sud (Sud) ispitao je raspolažu li organi EU-a odgovarajućim mehanizmima za zaštitu od kiberprijetnji. Utvrdio je da, općenito gledajući, razina pripravnosti organa EU-a nije razmjerna prijetnjama i da su ti organi na vrlo različitim stupnjevima razvoja u pogledu kibersigurnosti. Sud preporučuje Komisiji da poveća pripravnost organa EU-a tako da predloži uvođenje obvezujućih kibersigurnosnih pravila i poveća resurse tima za hitne računalne intervencije (CERT-EU). Komisija bi također trebala promicati produbljivanje sinergije među organima EU-a, dok bi tim CERT-EU i Agencija Europske unije za kibersigurnost trebali usmjeriti svoju potporu na organe EU-a na nižem stupnju razvoja.
Tematsko izvješće Suda u skladu s člankom 287. stavkom 4. drugim podstavkom UFEU-a.
Sažetak
I. U Aktu EU-a o kibersigurnosti pojam kibersigurnosti označava „sve aktivnosti koje su nužne za zaštitu od kiberprijetnji mrežnih i informacijskih sustava, korisnika tih sustava i drugih osoba na koje one utječu”. Institucije, tijela i agencije EU-a (koji se u ovom izvješću skupno nazivaju organima EU-a) obrađuju osjetljive informacije i stoga su privlačne mete potencijalnih napadača, posebice skupina koje su u stanju izvršiti vrlo sofisticirane prikrivene napade radi kiberšpijunaže i u druge svrhe. Unatoč institucijskoj neovisnosti i administrativnoj autonomiji, organi EU-a tijesno su međusobno povezani. Zbog toga bi slabe točke pojedinačnih organa EU-a mogle izložiti i druge organe sigurnosnim prijetnjama.
II. S obzirom na to da se broj kibernapada na organe EU-a naglo povećava, cilj ove revizije bio je utvrditi jesu li ti organi, gledajući u cjelini, uspostavili odgovarajuće mehanizme da se zaštite od kiberprijetnji. Revizorski sud (Sud) zaključio je da organi EU-a nisu dosegnuli razinu kiberpripravnosti koja bi bila razmjerna prijetnjama.
III. Sud je utvrdio da se ponekad nisu primjenjivale ključne dobre prakse u području kibersigurnosti, uključujući određene osnovne kontrole, kao i da niz organa EU-a očito ne ulaže dovoljno sredstava u kibersigurnost. U pojedinim organima EU-a još nije uspostavljena pouzdana upravljačka struktura za kibersigurnost: u mnogim slučajevima strategije IT sigurnosti nedostaju ili za njih ne postoji podrška višeg rukovodstva, sigurnosne politike ponekad nisu formalizirane, a procjenama rizika nije obuhvaćeno cijelo IT okruženje. Pojedini organi EU-a ne traže da se u pogledu kibersigurnosti provodi redoviti postupak dobivanja neovisnog jamstva.
IV. Osposobljavanje u području kibersigurnosti nije uvijek sustavno. Tek nešto više od polovice organa EU-a nudi kontinuirano osposobljavanje u području kibersigurnosti za IT osoblje i stručnjake za IT sigurnost. Malo je organa EU-a koji osiguravaju obvezno osposobljavanje u području kibersigurnosti za rukovoditelje odgovorne za IT sustave koji sadržavaju osjetljive informacije. Vježbe u kojima se od osoblja pokušavaju neovlašteno pribaviti osjetljivi podatci (tzv. vježbe phishinga) važan su alat za osposobljavanje i osvještavanje osoblja, ali ih pojedini organi EU-a ne upotrebljavaju sustavno.
V. Iako su organi EU-a uspostavili strukture za suradnju i razmjenu informacija u području kibersigurnosti, Sud je utvrdio da se potencijalna sinergija ne iskorištava u potpunosti. Organi EU-a međusobno ne razmjenjuju na sustavan način informacije o projektima povezanima s kibersigurnošću, sigurnosnim procjenama i ugovorima o pružanju usluga. Nadalje, osnovni komunikacijski alati kao što su šifrirane e-poruke ili videokonferencijska rješenja nisu u potpunosti interoperabilni. To može dovesti do manje sigurne razmjene informacija, ulaganja dvostrukih napora i povećanja troškova.
VI. Tim za hitne računalne intervencije organa EU-a (CERT-EU) i Agencija Europske unije za kibersigurnost (ENISA) dva su glavna subjekta zadužena za pružanje podrške organima EU-a u pogledu kibersigurnosti. Međutim, zbog ograničenih resursa ili davanja prednosti drugim područjima navedeni tim i agencija nisu mogli pružiti organima EU-a svu potrebnu podršku, posebice u pogledu izgradnje kapaciteta za organe EU-a koji su na nižem stupnju razvoja u pogledu kibersigurnosti. Iako organi EU-a iznimno cijene rad tima CERT-EU, njegova je djelotvornost dovedena u pitanje zbog sve većeg radnog opterećenja, nestabilnog financiranja i kadrovske situacije te nedovoljne suradnje pojedinih organa EU-a, koji ponekad ne razmjenjuju na vrijeme informacije o slabim točkama i ozbiljnim kiberincidentima kojima su bili izloženi ili koji bi mogli utjecati na druge.
VII. Na temelju tih zaključaka Sud je iznio sljedeće preporuke:
- Komisija bi trebala povećati kiberpripravnost organa EU-a tako da predstavi zakonodavni prijedlog o uvođenju zajedničkih obvezujućih kibersigurnosnih pravila za sve organe EU-a i poveća resurse tima CERT-EU;
- Komisija bi u kontekstu Međuinstitucijskog odbora za digitalnu transformaciju trebala promicati još veću sinergiju među organima EU-a u odabranim područjima;
- CERT-EU i ENISA trebali bi se više usmjeriti na organe EU-a koji su na nižem stupnju razvoja u pogledu kibersigurnosti.
Uvod
Što je kibersigurnost?
01. U Aktu EU-a o kibersigurnosti1 pojam kibersigurnosti označava „sve aktivnosti koje su nužne za zaštitu od kiberprijetnji mrežnih i informacijskih sustava, korisnika tih sustava i drugih osoba na koje one utječu”. Kibersigurnost počiva na informacijskoj sigurnosti, odnosno na očuvanju povjerljivosti, cjelovitosti i dostupnosti informacija2, u fizičkom ili elektroničkom obliku. Osim toga, zaštita mrežnih i informacijskih sustava u kojima se takve informacije pohranjuju poznata je pod pojmom sigurnosti informacijske tehnologije (tj. IT sigurnosti) (vidjeti sliku 1.).
02. Kibersigurnost kao disciplina obuhvaća prepoznavanje, sprječavanje i otkrivanje kiberincidenata, pružanje odgovora na njih i oporavak od njih. Incidenti mogu biti različitog oblika, počevši, primjerice, od slučajnog otkrivanja informacija, preko napada kojima se ugrožava ključna infrastruktura, do krađe identiteta i osobnih podataka3.
03. Okvir za kibersigurnost obuhvaća mnoge elemente, uključujući zahtjeve i tehničke kontrole za sigurnost mrežnih i informacijskih sustava, kao i odgovarajuće upravljačke strukture te programe za osvještavanje osoblja o kibersigurnosti.
Kibersigurnost u institucijama, tijelima i agencijama EU-a
04. Institucije, tijela i agencije EU-a (koji se u ovom izvješću skupno nazivaju organima EU-a) obrađuju osjetljive informacije i stoga su privlačne mete potencijalnih napadača, posebice skupina koje su u stanju izvršiti vrlo sofisticirane prikrivene napade („napredne trajne prijetnje”) radi kiberšpijunaže i u druge svrhe4. Uspješni kibernapadi na organe EU-a mogu imati ozbiljne političke posljedice, naštetiti općem ugledu EU-a i narušiti povjerenje u njegove institucije.
05. Pandemija bolesti COVID-19 prisilila je organe EU-a i druge organizacije diljem svijeta da naglo ubrzaju digitalnu transformaciju i prihvate rad na daljinu. Time se znatno povećao broj potencijalnih pristupnih točaka za napadače (tzv. „površina napada”) jer se područje djelovanja svake organizacije proširilo na domove s priključkom na internet i mobilne uređaje, preko kojih su se mogle iskoristiti nove slabe točke. Usluge daljinskog pristupa jedan su od najčešćih načina na koji skupine koje izlažu organe EU-a naprednim trajnim prijetnjama dobivaju početni pristup njihovim mrežama5.
06. Broj je kiberincidenata u porastu, a posebno zabrinjava trend drastičnog porasta ozbiljnih incidenata na štetu organa EU-a6, po čemu je 2021. godina postala rekordna. Ozbiljni incidenti nisu ni jednoobrazni ni jednostavni. Obično uključuju primjenu novih metoda i tehnologija te za istragu nad njima i oporavak od njih mogu biti potrebni tjedni, ako ne i mjeseci. U razdoblju 2018. – 2021. broj ozbiljnih incidenata više se nego udeseterostručio7. Samo u posljednje dvije godine najmanje 22 zasebna organa EU-a bila su metom ozbiljnih incidenata. Jedan od novijih primjera bio je kibernapad na Europsku agenciju za lijekove, zbog kojeg su procurili osjetljivi podatci kojima se manipuliralo na način da se poljulja povjerenje u cjepiva8.
07. Organi EU-a vrlo su heterogena skupina koja obuhvaća institucije, agencije i niz različitih tijela. Sedam institucija EU-a osnovano je ugovorima EU-a. S druge strane, decentralizirane agencije i druga tijela EU-a osnovana su aktima sekundarnog zakonodavstva te je svako od njih zaseban pravni subjekt. Postoje različiti pravni oblici agencija: šest izvršnih agencija Komisije i 37 decentraliziranih agencija EU-a9. Organi EU-a obuhvaćaju i urede EU-a, diplomatsko tijelo Unije (Europsku službu za vanjsko djelovanje), zajednička poduzeća i druga tijela. Svaki od tih organa odgovoran je za utvrđivanje vlastitih kibersigurnosnih zahtjeva i provedbu vlastitih sigurnosnih mjera.
08. Kako bi povećala kibersigurnost organa EU-a, Komisija je 2012. osnovala tim za hitne računalne intervencije organa EU-a (CERT-EU) kao stalnu radnu skupinu. CERT-EU djeluje kao središte za razmjenu informacija o kibersigurnosti i koordinaciju odgovora na incidente za potrebe organa EU-a te surađuje s drugim timovima za odgovor na računalne sigurnosne incidente u državama članicama i specijaliziranim poduzećima za IT sigurnost. Organizacija i djelovanje tima CERT-EU trenutačno su uređeni međuinstitucijskim dogovorom10 iz 2018. koji su postigli organi EU-a za koje taj tim radi i koji su poznati i kao njegove „sastavnice”. Trenutačno je 87 sastavnica.
09. Među ključnim akterima koji pružaju podršku organima EU-a nalazi se i Agencija Europske unije za kibersigurnost (ENISA), kojoj je cilj postići visoku opću razinu kibersigurnosti diljem EU-a. ENISA, koja je osnovana 2004., ima za misiju povećati pouzdanost proizvoda, procesa i usluga informacijske i komunikacijske tehnologije (IKT) s pomoću programa kibersigurnosne certifikacije, surađivati s organima EU-a i državama članicama te im pomoći da se pripreme za kiberprijetnje. ENISA pomaže organima EU-a u izgradnji kapaciteta i operativnoj suradnji.
10. Unatoč institucijskoj neovisnosti, organi EU-a tijesno su međusobno povezani. Svakodnevno razmjenjuju informacije i dijele niz zajedničkih sustava i mreža. Slabe točke pojedinačnih organa EU-a mogle bi izložiti i druge organe sigurnosnim prijetnjama jer mnogi kibernapadi uključuju više od jednog koraka kako bi se ostvario njihov cilj odnosno došlo do konačne mete11. Uspješan napad na neki od slabijih organa EU-a može poslužiti kao odskočna daska za napad na ostale. Organi EU-a također su povezani s javnim i privatnim organizacijama u državama članicama i ako nisu dovoljno pripravni za kibernapade, mogu isto tako izložiti te organizacije kiberprijetnjama.
11. U organima EU-a trenutačno ne postoji pravni okvir za informacijsku sigurnost i kibersigurnost. Na njih se trenutačno ne primjenjuje najšire zakonodavstvo EU-a o kibersigurnosti, Direktiva NIS iz 2016.12 niti predložena izmijenjena inačica, Direktiva NIS 213. Ne postoje ni iscrpne informacije o iznosu sredstava koji su organi EU-a potrošili na kibersigurnost.
12. Komisija je u srpnju 2020. objavila komunikaciju o strategiji EU-a za sigurnosnu uniju14 za razdoblje 2020. – 2025. Među ključnim mjerama te strategije nalaze se i „zajednička pravila o informacijskoj sigurnosti i kibersigurnosti za sve za sve institucije, tijela i agencije EU-a”. Taj bi novi okvir trebao poslužiti kao osnova za snažnu i učinkovitu operativnu suradnju koja bi se temeljila na ulozi tima CERT-EU. U Strategiji EU-a za kibersigurnost za digitalno desetljeće15 objavljenoj u prosincu 2020. Komisija se obvezala predložiti uredbu o zajedničkim kibersigurnosnim pravilima za sve organe EU-a. Predložila je i uspostavu nove pravne osnove za tim CERT-EU radi jačanja njegovih ovlasti i financiranja.
Opseg revizije i revizijski pristup
13. S obzirom na to da se broj kibernapada naglo povećava i da bi slabe točke jednog od organa EU-a mogle izložiti i druge organe sigurnosnim prijetnjama, cilj ove revizije bio je utvrditi jesu li ti organi, gledajući u cjelini, uspostavili odgovarajuće mehanizme da se zaštite od kiberprijetnji. Kako bi odgovorio na to glavno revizijsko pitanje, Sud se usredotočio na tri potpitanja:
- Jesu li ključne kibersigurnosne prakse u primjeni u svim organima EU-a?
- Je li suradnja organa EU-a u području kibersigurnosti učinkovita?
- Pružaju li ENISA i CERT-EU odgovarajuću podršku organima EU-a u području kibersigurnosti?
14. Revizija je provedena u razdoblju obuhvaćenom Strategijom EU-a za sigurnosnu uniju. Procjenom postojećih kibersigurnosnih mehanizama u organima EU-a Sud je nastojao utvrditi područja u kojima su potrebna poboljšanja koja Komisija može razmotriti pri izradi zakonodavnog prijedloga o zajedničkim obvezujućim kibersigurnosnim pravilima za sve organe EU-a.
15. Revizijom su obuhvaćene razvojne promjene i inicijative u području kibersigurnosti od siječnja 2018. (kada je sklopljen međuinstitucijski dogovor o timu CERT-EU) do listopada 2021.
16. Sud je ograničio opseg revizije na kiberotpornost i sustave koji nisu zaštićeni odgovarajućom oznakom tajnosti. Usredotočio se na aspekte pripravnosti (odnosno aktivnosti koje odgovaraju „prepoznavanju, zaštiti i otkrivanju”). „Pružanje odgovora” i „oporavak” bili su izvan područja revizije. Međutim, Sud je ispitao određene organizacijske elemente pružanja odgovora na incidente. Osim toga, izvan opsega revizije ostavljeni su i aspekti zaštite podataka, kaznenog progona, kiberobrane i kiberdiplomacije (vidjeti sliku 2.).
17. Nalazi provedene revizije temelje se na opsežnoj analizi dostupne dokumentacije dopunjenoj razgovorima. Sud je među 65 organa EU-a proveo anketu za samoprocjenu kako bi prikupio informacije o njihovim kibersigurnosnim mehanizmima i stajalištima o međuinstitucijskoj suradnji. Anketa je provedena među svim organima EU-a koji su obuhvaćeni revizijskim ovlastima Suda i koji upravljaju vlastitom IT infrastrukturom, a provedena je i na razini samoga Suda. Anketom su obuhvaćene institucije, decentralizirane agencije, zajednička poduzeća i tijela. Sud je također proveo anketu među civilnim misijama, koje su privremeni autonomni subjekti koji se financiraju iz proračuna EU-a i koji su iz IT perspektive neovisni. U Prilogu I. nalazi se cjelovit popis anketiranih organa EU-a. Europski ombudsman i Europski nadzornik za zaštitu podataka nisu bili obuhvaćeni opsegom ove revizije.
18. Anketu je ispunilo 100 % onih kojima je upućena te je ona poslužila kao polazište za daljnju analizu. Osim toga, Sud je odabrao uzorak od sedam organa EU-a koji su reprezentativni u pogledu heterogenosti tih organa te je, polazeći od njihovih odgovora u anketi, s njihovim predstavnicima obavio razgovore i zatražio relevantnu dokumentaciju. Kriteriji odabira koje je Sud razmatrao uključivali su pravnu osnovu, veličinu (u pogledu broja osoblja i proračuna) i sektor. U uzorak organa EU-a odabrani su Europska komisija, Europski parlament, Agencija EU-a za kibersigurnost (ENISA), Europsko nadzorno tijelo za bankarstvo (EBA), Europska agencija za pomorsku sigurnost (EMSA), savjetodavna misija EU-a u Ukrajini i Zajedničko poduzeće za inicijativu za inovativne lijekove (Zajedničko poduzeće IMI).
19. Sud je održao i videosastanke s predstavnicima tima CERT-EU, savjetodavnog odbora za IKT mreže agencija, Međuinstitucijskog odbora za digitalnu transformaciju i drugih relevantnih dionika.
Opažanja
Organi EU-a na vrlo su različitim stupnjevima razvoja u pogledu kibersigurnosti i ne pridržavaju se uvijek dobre prakse
20. U ovom se odjeljku donosi analiza pojedinačnih mehanizama organa EU-a i njihovih okvira za kibersigurnost. Sud je procijenio jesu li organi EU-a imali dosljedan i primjeren pristup prema problematici kibersigurnosti, i to iz kuta upravljačke strukture za IT sigurnost, upravljanja rizicima, raspodjele resursa, osposobljavanja u svrhu osvještavanja, kontrola i postupka dobivanja neovisnog jamstva.
Upravljačka struktura za IT sigurnost u organima EU-a često nije kvalitetno razrađena, a procjene rizika nisu iscrpne
U mnogim organima EU-a postoje nedostatci u upravljačkoj strukturi za IT sigurnost
21. Kvalitetna upravljačka struktura ima ključnu ulogu za djelotvoran okvir za sigurnost informacija i IT sustava jer se njome utvrđuju ciljevi organizacije i određuje smjer djelovanja u vidu postavljanja prioriteta i odluka koje se donose. Udruga za reviziju i kontrolu informacijskih sustava (ISACA)16 smatra da bi okvir upravljačke strukture za IT sigurnost općenito trebao uključivati nekoliko elemenata:
- sveobuhvatnu sigurnosnu strategiju koja je neodvojivo povezana s poslovnim ciljevima;
- vodeće sigurnosne politike koje se odnose na svaki aspekt strategije, kontrola i regulative;
- cjelovit skup standarda za svaku politiku kojima se opisuju operativni koraci potrebni za provedbu predmetne politike;
- institucionalizirane postupke praćenja kako bi se zajamčila usklađenost i pružile povratne informacije o djelotvornosti;
- djelotvornu organizacijsku strukturu bez sukoba interesa.
22. Sud je u mnogim organima EU-a utvrdio nedostatke u upravljačkoj strukturi za IT sigurnost. Samo 58 % organa EU-a (38 od 65) ima strategiju IT sigurnosti ili barem plan IT sigurnosti odobren na razini uprave/višeg rukovodstva. Podjela prema vrsti organa EU-a pokazuje da civilne misije i decentralizirane agencije (koje zajedno čine 71 % anketiranih organa EU-a) bilježe najniži postotak (vidjeti tablicu 1.). Nepostojanje strategije IT sigurnosti ili plana IT sigurnosti odobrenog na razini višeg rukovodstva podrazumijeva rizik od toga da najviše rukovodstvo nije svjesno problematike IT sigurnosti ili da joj ne posvećuje dovoljno pozornosti.
Tablica 1. – Postotak organa EU-a u kojima postoji strategija ili plan IT sigurnosti koji je odobrilo više rukovodstvo
Podjela prema broju članova osoblja
< 100 djelatnika
(22 organa EU-a) |
100 – 249 djelatnika
(17 organa EU-a) |
250 – 1 000 djelatnika
(16 organa EU-a) |
> 1 000 djelatnika
(10 organa EU-a) |
---|---|---|---|
45 % | 53 % | 69 % | 80 % |
Podjela prema vrsti organa EU-a
Decentralizirane agencije
(35 organa EU-a) |
Civilne misije
(11 organa EU-a) |
Tijela
(4 organa EU-a) |
Institucije
(6 organa EU-a) |
Zajednička poduzeća
(9 organa EU-a) |
---|---|---|---|---|
45 % | 56 % | 75 % | 83 % | 89 % |
Izvor: anketa koju je proveo Sud.
23. Sud je pregledao strategije/planove IT sigurnosti koje je dostavilo sedam organa EU-a iz uzorka (vidjeti odlomak 18.) i utvrdio da su strategije organa EU-a prilično dobro povezane s njihovim poslovnim ciljevima. Na primjer, Komisijinom strategijom IT sigurnosti obuhvaćena je dimenzija IT sigurnosti digitalne strategije Europske komisije17 te je ona osmišljena kao potpora njezinu planu i ciljevima. Međutim, samo su tri organa EU-a iz revizijskog uzorka u svoje strategije/planove IT sigurnosti uključile konkretne ciljeve i rokove za njihovo postizanje.
24. Sigurnosnim politikama utvrđuju se pravila i postupci kojih se moraju pridržavati pojedinci koji se koriste informacijama i IT resursima ili njima upravljaju. Doprinose ublažavanju kibersigurnosnih rizika i pružaju informacije o tome što učiniti u slučaju incidenata. Sud je utvrdio da 78 % organa EU-a ima formalnu politiku informacijske sigurnosti, dok samo 60 % njih ima formalne politike IT sigurnosti (vidjeti sliku 1. za definicije informacijske i IT sigurnosti). Sud je također utvrdio da četiri od sedam organa EU-a iz uzorka Suda imaju sigurnosne politike usklađene sa svojim strategijama IT sigurnosti. Međutim, u trima organima od tih četiriju politike IT sigurnosti samo su djelomično nadopunjene ažuriranim detaljnim sigurnosnim standardima kojima se opisuju operativni koraci potrebni za provedbu tih politika. Zbog nedostatka formalnih sigurnosnih standarda povećava se rizik od toga da se problemi u području IT sigurnosti ne rješavaju na odgovarajući i dosljedan način na svim razinama istog organa EU-a. Nadalje, zbog toga je teže utvrditi mjeru u kojoj se predmetna organizacija pridržava vlastite politike IT sigurnosti. Od sedam organa EU-a iz uzorka samo Komisija ima strukturirane postupke za praćenje pridržavanja vlastitih politika i standarda IT sigurnosti, iako se oni primjenjuju tek u ograničenom broju glavnih uprava (GU) (vidjeti okvir 1.).
Pridržavanje standarda IT sigurnosti na razini Komisije
U skladu s decentraliziranom upravljačkom strukturom IT-a u Komisiji, čelnik svake glavne uprave odgovoran je i polaže račune za to da pripadajući sustavi zadovoljavaju standarde IT sigurnosti. Glavna uprava za informatiku (GU DIGIT) te Glavna uprava za ljudske resurse i sigurnost (GU HR) prate i olakšavaju primjenu praksi povezanih s praćenjem usklađenosti. GU DIGIT uspostavio je alat (poznat pod pokratom „GRC”) kojim se GU-ovima omogućuje da utvrđuju mjeru u kojoj provode kontrole u vezi s politikom IT sigurnosti i da o tome izvješćuju.
Predmetnih 580 kontrola podijeljeno je u tri skupine. To su: opće kontrole (uglavnom kontrole upravljačke strukture), kontrole za pojedinačne GU-ove i kontrole za pojedinačne sustave. Alat je u funkciji, ali ga dosad upotrebljava samo pet glavnih uprava. GU DIGIT stoga nema pregled usklađenosti na razini čitave Komisije. Međutim, Komisijin Odbor za informacijsku tehnologiju i kibersigurnost može zatražiti od GU-a DIGIT da istraži pridržavanje određenog standarda (npr. 2021. to je učinio za višestruku autentifikaciju) te može iznijeti neobvezujuća mišljenja i preporuke ili, u slučaju kritičnih rizika, čak i formalne zahtjeve.
25. Za kvalitetnu upravljačku strukturu za kibersigurnost dodatno je važan element imenovanja službene osobe za informacijsku sigurnost. Iako to nije izričito propisano u skupini normi ISO 27 00018, postojanje službene osobe za informacijsku sigurnost ili istovjetne uloge postalo je raširena praksa u čitavom nizu organizacija i dio je smjernica Udruge za reviziju i kontrolu informacijskih sustava. Službena osoba za informacijsku sigurnost obično snosi krajnju odgovornost za programe predmetne organizacije u području informacijske i IT sigurnosti. Kako bi se izbjegao bilo kakav sukob interesa, ta bi osoba trebala imati određen stupanj neovisnosti o IT službi/odjelu19.
26. Prema anketi koju je proveo Sud 60 % organa EU-a nije imenovalo službenu osobu za informacijsku sigurnost odnosno osobu s istovjetnom ulogom. Čak i u slučajevima kad je ta osoba (ili osoba s istovjetnom ulogom) imenovana, narav njihove uloge znatno se razlikuje među različitim organima EU-a, a njihove se zadaće različito poimaju. Posebno u malim i srednjim organima EU-a službene osobe za informacijsku sigurnost obično su povezanije s operativnim ulogama koje nisu funkcionalno neovisne o IT odjelu. Time se može ograničiti autonomija te osobe u realizaciji sigurnosnih prioriteta koje je odredila. ENISA trenutačno radi na okviru EU-a za vještine u području kibersigurnosti kojim se, među ostalim, nastoji postići jedinstveno poimanje uloga, kompetencija i vještina.
Procjene rizika u području IT sigurnosti koje iznose organi EU-a uglavnom ne obuhvaćaju njihovo čitavo IT okruženje
27. U svim međunarodnim standardima za IT sigurnost naglašava se važnost uspostave prikladne metode za procjenu sigurnosnih rizika koji utječu na IT sustave i podatke koje oni sadržavaju, kao i za postupanje s takvim rizicima. Procjene rizika trebale bi se provoditi redovito kako bi se povelo računa o promjenama u zahtjevima određene organizacije u pogledu informacijske sigurnosti i rizicima s kojima se ta organizacija suočava20. Nakon procjena trebao bi se izraditi plan za ublažavanje rizika (ili plan IT sigurnosti).
28. Većina anketiranih organa EU-a (58 od 65) navela je da za provedbu procjena rizika u svojim IT sustavima primjenjuje određeni okvir ili metodologiju. Međutim, ne postoji zajednička metodologija za sve organe EU-a. Najmanje 26 organa EU-a djelomično ili u potpunosti primjenjuje metodologije koje je izradila Komisija: konkretnije, 31 % organa EU-a poslužilo se metodologijom upravljanja rizicima u području IT sigurnosti (ITSRM2) iz 2018. Ostali primjenjuju metodologije koje se temelje na dobro poznatim sektorskim normama (kao što su ISO27 001, ISO27 005, okvir za kibersigurnost Nacionalnog instituta za norme i tehnologiju (NIST-CSF) ili kontrole Centra za internetsku sigurnost (CIS)) ili upotrebljavaju druge interne metodologije.
29. Od sedam organa EU-a iz uzorka samo njih dva provode sveobuhvatne procjene rizika kojima je pokriveno cijelo njihovo IT okruženje (tj. svi njihovi IT sustavi). Većina ih provodi pojedinačne procjene rizika samo za najvažnije IT sustave. Sud je utvrdio nekoliko primjera u kojima su procjene rizika provedene prije uvođenja novih sustava. Međutim, nije pronašao dokaze o naknadnim procjenama rizika povezanima, primjerice, s naknadnim promjenama sustava/infrastrukture.
Organi EU-a nemaju dosljedan pristup problematici kibersigurnosti te se ponekad ne provode ni osnovne kontrole
Izdvajanje resursa za kibersigurnost vrlo je neujednačeno među organima EU-a
30. Sud je u anketi zatražio od organa EU-a da iznesu podatak o svojim ukupnim rashodima za IT tijekom 2020. i procjenu iznosa potrošenog na kibersigurnost. Dobiveni podatci otkrivaju znatne razlike u postotku rashoda za IT koje su pojedinačni organi EU-a izdvojili za kibersigurnost. To vrijedi čak i za organe EU-a usporedive veličine u smislu broja osoblja. Kako je prikazano na slici 3., razlike su u pravilu posebno velike među organima EU-a s manje osoblja.
31. Teško je procijeniti koja bi bila optimalna razina rashoda za kibersigurnost u apsolutnom smislu. To ovisi o mnogo čimbenika, kao što su površina napada koja postoji u određenoj organizaciji, osjetljivost podataka kojima ta organizacija upravlja, njezin profil rizičnosti i sklonost preuzimanju rizika te sektorski pravni/regulatorni zahtjevi. Međutim, iz dobivenih podataka vidljivo je da su razlike znatne i da razlozi za to nisu uvijek očiti. Pojedini organi EU-a troše znatno manje sredstava na kibersigurnost od usporedivih organizacija slične veličine, što može upućivati na to da ne ulažu dovoljno sredstava ako su izloženi sličnim prijetnjama i rizicima.
32. I prema broju osoblja i prema rashodima za IT većina organa EU-a spada u skupinu malih i srednjih organizacija, pri čemu dvije trećine tih organa imaju manje od 350 djelatnika. Najmanji organ EU-a ima tek 15 djelatnika. Upravljanje kibersigurnošću zahtjevnije je i iziskuje više resursa u manjim organima EU-a. U većini slučajeva oni ne mogu ostvariti uštede zbog ekonomije razmjera i nemaju dovoljno internih stručnjaka. Na temelju provedene ankete i obavljenih razgovora, najveće institucije, kao što su Komisija i Europski parlament, imaju timove stručnjaka koji u punom radnom vremenu rade na upravljanju kibersigurnošću. Međutim, u najmanjim organima EU-a, u kojima su broj osoblja i resursi posebno ograničeni, nema nijednog stručnjaka, a upravljanje kibersigurnošću zadatak je na kojem u nepunom radnom vremenu rade djelatnici sa znanjem u području IT-a. Budući da su organi EU-a tijesno međusobno povezani, riječ je o povećanom riziku (vidjeti također odlomak 10.).
33. Sud je u anketi zatražio od organa EU-a da navedu koji su im glavni izazovi u provedbi djelotvornih politika kibersigurnosti na razini njihove organizacije (vidjeti sliku 4.). Najveći je izazov taj što su stručnjaci za kibersigurnost rijedak resurs i mnogi ih organi EU-a teško uspijevaju privući zbog konkurencije iz privatnog sektora i iz drugih organa EU-a. Kao postojan problem ističu se dugotrajni postupci zapošljavanja, nekonkurentni ugovorni uvjeti i nedostatak privlačnih mogućnosti za razvoj karijere. Nedostatak stručnog osoblja znatan je rizik za djelotvorno upravljanje kibersigurnošću.
Većina organa EU-a nudi neki oblik osposobljavanja u svrhu osvještavanja osoblja o kibersigurnosti, ali ono nije sustavno ili dobro usmjereno
34. Iskorištavanje slabih točaka u sustavima i uređajima nije jedini način na koji potencijalni napadači mogu uzrokovati štetu. Također mogu potaknuti korisnike na otkrivanje osjetljivih informacija ili preuzimanje zlonamjernog softvera, primjerice kroz phishing ili socijalni inženjering. Djelatnici su dio prve linije obrane svake organizacije. Stoga su programi osvještavanja osoblja o kibersigurnosti i osposobljavanja u tom području ključan element djelotvornog okvira za kibersigurnost.
35. Velika većina anketiranih organa EU-a (95 %) pruža neki oblik općeg osposobljavanja u svrhu osvještavanja o kibersigurnosti za sve osoblje, ali postoje tri u kojima to nije slučaj. Međutim, samo 41 % organa EU-a organizira ciljano osposobljavanje ili tečajeve osvještavanja rukovoditelja, a samo 29 % njih provodi obvezno osposobljavanje u području kibersigurnosti za rukovoditelje odgovorne za IT sustave koji sadržavaju osjetljive informacije. Osviještenost i predanost rukovodstva ključni su za djelotvornu upravljačku strukturu za kibersigurnost. Od jedanaest organa EU-a koji su nedostatak potpore rukovodstva naveli kao jedan od izazova za djelotvornu kibersigurnost, samo su tri provela neki oblik osposobljavanja u svrhu osvještavanja rukovodstva. Kontinuirano osposobljavanje u području kibersigurnosti za IT osoblje nudi 58 % organa EU-a, a za stručnjake za IT sigurnost njih 51 %.
36. Pojedini organi EU-a nemaju mehanizme za praćenje sudjelovanja osoblja u osposobljavanju u području kibersigurnosti i posljedičnih promjena njihove osviještenosti i ponašanja. Posebice u manjim organizacijama moguće je da se osvještavanje o kibersigurnosti provodi u kontekstu neformalnih sastanaka osoblja. Glavni način na koji organizacije utvrđuju mjeru u kojoj je njihovo osoblje osviješteno redovito je testiranje njihova ponašanja, među ostalim u vidu anketa radi procjene stupnja razvoja ili kroz tzv. vježbe phishinga. U posljednjih pet godina 55 % organa EU-a organiziralo je najmanje jednu simuliranu kampanju phishinga (ili sličnu vježbu). Budući da je phishing jedna od ključnih prijetnji s kojom se suočava osoblje u javnim upravama21, te su vježbe važan alat za osposobljavanje i osvještavanje osoblja. Sud je utvrdio da su Komisijine mjere za osvještavanje o kibersigurnosti primjer dobre prakse i da su dostupne drugim zainteresiranim organima EU-a (vidjeti okvir 2.).
Osposobljavanje u svrhu osvještavanja o kibersigurnosti u Komisiji
U sklopu GU-a DIGIT Komisija ima poseban tim (Cyber Aware) koji vodi korporativni program za osvještavanje osoblja o kibersigurnosti. Programom se upravlja i provodi ga se u suradnji s GU-om HR, glavnim tajništvom, Glavnom upravom za komunikacijske mreže, sadržaje i tehnologije (GU CNECT) i timom CERT-EU. Osposobljavanje je kvalitetno i u mnogim se slučajevima provodi međuinstitucijski. Tečajevi osposobljavanja oglašavaju se u e-biltenu Learning Bulletin, koji se šalje na adrese oko 65 000 djelatnika EU-a. Komisija je preko platforme Cyber Aware u posljednjih pet godina organizirala 15 vježbi phishinga, a nedavno je provela prvu vježbu na razini čitave Komisije.
Ponekad se ne provode ni osnovne kontrole ili one nisu formalizirane u vidu standarda
37. Sud je od organa EU-a zatražio da sami za sebe procijene kako provode određene osnovne kontrole22. U tu je svrhu odabrao niz najboljih praksi za koje je razumno da bi ih čak i manja organizacija mogla provoditi23. Dobiveni rezultati sažeto su prikazani na slici 5. Većina ispitanih organa EU-a uspostavila je odabrane osnovne kontrole. Međutim, čini se da su u najmanje 20 % organa EU-a kontrole u nekim područjima manjkave ili ograničene.
38. Za sedam organa EU-a iz uzorka Sud je zatražio popratne dokumente i odgovarajuće standarde/politike za svaku kontrolu za koju su organi naveli da je provedena. Zatraženi dokumenti pribavljeni su za 62 % kontrola. Kako je pojašnjeno tijekom razgovora, u nekoliko su slučajeva postojale tehničke kontrole, ali nisu bile formalizirane u vidu ažuriranih standarda ili politika, čime se povećava rizik od toga da se problemi u području IT sigurnosti ne rješavaju na dosljedan način na svim razinama istog organa EU-a (vidjeti također odlomak 24.).
Pojedini organi EU-a ne traže da se u pogledu njihovih kibersigurnosnih mehanizama provodi redoviti postupak dobivanja neovisnog jamstva
39. Udruga za reviziju i kontrolu informacijskih sustava24 smatra da je unutarnja revizija jedna od triju ključnih linija obrane određene organizacije, dok su preostale dvije rukovodstvo i upravljanje rizicima. Unutarnje revizije doprinose poboljšanju upravljačke strukture za informacijsku i IT sigurnost. Sud je ispitao koliko često organi EU-a pribavljaju neovisno jamstvo o vlastitom okviru za IT sigurnost s pomoću unutarnjih ili vanjskih revizija i proaktivnih testiranja njihove kiberobrane.
40. Komisijina Služba za unutarnju reviziju odgovorna je, među ostalim, za provedbu IT revizija Komisije te decentraliziranih agencija, zajedničkih poduzeća i ESVD-a. Zadaćama te službe obuhvaćeno je 46 (70 %) od 65 anketiranih organa EU-a te je ona u posljednjih pet godina provela revizije povezane sa IT sigurnošću nad 6 različitih organa EU-a. Osim toga, GU HR nadležan je za provođenje inspekcija u području IT sigurnosti kojima su obuhvaćeni tehnički aspekti informacijske sigurnosti25. Kad je riječ o preostalim organima EU-a, njih sedam navelo je da imaju vlastitu unutarnju reviziju koja provjerava i IT aspekte, ali za 12 organa EU-a odgovori na anketu nisu bili dovoljni da se utvrdi imaju li oni slične kapacitete za unutarnju reviziju.
41. Vanjske revizije IT sigurnosti koje provode neovisni subjekti dodatan su način za pribavljanje neovisnog jamstva. Unatoč tome što su promjene u kiberprostoru vrlo dinamične, između početka 2015. i prvog tromjesečja 2021. u 34 % organa EU-a nije bilo nikakve unutarnje ili vanjske revizije IT sigurnosti. Ako se taj postotak detaljnije raščlani prema vrsti organa EU-a, dolazi se do podatka da unutarnja ili vanjska revizija IT sigurnosti nije provedena od 2015. u 75 % tijela EU-a, 66 % zajedničkih poduzeća i 45 % civilnih misija.
42. Osim unutarnjih i vanjskih revizija, organizacije mogu pribaviti jamstvo o svojem okviru za IT sigurnost i proaktivnim testiranjem svoje kiberobrane kako bi se utvrdile slabe točke. Penetracijska testiranja (poznata i pod nazivom etičko hakiranje), koja se sastoje od odobrenih simuliranih kibernapada na pojedinačne računalne sustave, jedan su od postojećih načina. U odgovoru na anketu koju je proveo Sud 69 % organa EU-a navelo je da je u posljednjih pet godina provelo barem jedno penetracijsko testiranje. U 45 % slučajeva ta je testiranja proveo tim CERT-EU.
43. Vježbe s „crvenim timovima” još su jedan način testiranja kiberobrane izvršavanjem simuliranih napada, i to primjenom tehnika koje su se nedavno upotrebljavale u stvarnim napadima. Riječ je o složenijim i sveobuhvatnijim vježbama od penetracijskih testova jer one obuhvaćaju više sustava i mogućih načina napada. Organi EU-a provode ih rjeđe: 46 % organa EU-a navelo je da su u posljednjih pet godina proveli najmanje jednu vježbu s „crvenim timom”. 75 % tih vježbi proveo je tim CERT-EU. Vježbe s „crvenim timovima” iziskuju znatne resurse za pripremu i izvođenje, a tim CERT-EU trenutačno ima kapacitete za provedbu najviše pet do šest vježbi godišnje.
44. Ne uzimajući u obzir dva nedavno uspostavljena organa EU-a, među anketiranim organima EU-a njih 16 (25 %) u posljednjih pet godina nije provelo nikakve penetracijske testove ili vježbe s „crvenim timovima”. Sve u svemu, sedam je organa EU-a (10 %) za koje nije proveden nikakav postupak dobivanja neovisnog jamstva o njihovim mehanizmima IT sigurnosti: jedno zajedničko poduzeće, jedna decentralizirana agencija i pet civilnih misija.
Organi EU-a uspostavili su mehanizme za suradnju, ali u tom pogledu postoje određeni nedostatci
45. U ovom je odjeljku riječ o dionicima i odborima koji su uspostavljeni radi promicanja suradnje među organima EU-a u području kibersigurnosti, kao i o međuinstitucijskim upravljačkim strukturama i mehanizmima za koordinaciju. Konkretno, Sud je obavio analizu nad dvama međuinstitucijskim dionicima, ENISA-om i timom CERT-EU, te dvama međuinstitucijskim odborima, međuinstitucijskim odborom za digitalnu transformaciju (ICDT), a posebice njegovom podskupinom za kibersigurnost (CSSG), te savjetodavnim odborom za informacijske i komunikacijske tehnologije (ICTAC). Sud je također procijenio u kojoj su mjeri ti subjekti doprinijeli ostvarivanju sinergije u svrhu povećanja kiberpripravnosti organa EU-a.
Postoji formalizirana struktura za koordinaciju aktivnosti organa EU-a, iako postoje određeni problemi u pogledu upravljačke strukture
46. Odbori ICDT i ICTAC dva su glavna odbora koji promiču suradnju u području IT-a među organima EU-a. Odbor ICDT, koji okuplja IT rukovoditelje iz institucija i tijela EU-a, forum je za poticanje razmjene informacija i suradnje. U okviru tog odbora djeluje i podskupina za kibersigurnost (ICDT CSSG) koja polaže račune odboru ICDT i može preporučiti donošenje odluka o određenim pitanjima. S druge strane, odbor ICTAC podskupina je mreže agencija EU-a (EUAN), neformalne mreže koju su osnovali čelnici agencija EU-a i koja je usmjerena na suradnju među agencijama i zajedničkim poduzećima. Odbori ICDT i ICTAC imaju jasno definirane, komplementarne uloge: ICTAC obuhvaća decentralizirane agencije i zajednička poduzeća, dok ICDT obuhvaća institucije i tijela. Ti su odbori po svojoj naravi prilično neformalne savjetodavne skupine i forumi za razmjenu informacija i najboljih praksi. Više informacija o tim međuinstitucijskim odborima nalazi se u Prilogu II.
Organi EU-a nisu uvijek prikladno zastupljeni na relevantnim forumima
47. Iako su strukture za zastupanje jasne, pojedini organi EU-a ocijenili su da njihova stvarna zastupljenost nije dovoljna. Na zahtjev Suda da u anketi ocijene izjavu „Moje se potrebe u dovoljnoj mjeri uzimaju u obzir na relevantnim međuinstitucijskim forumima, a organ EU-a čiji sam predstavnik ima odgovarajuću zastupljenost u odborima koji donose odluke”, 42 % organa EU-a nije se složilo s tom izjavom. Neki od najmanjih organa smatrali su da nemaju dovoljno resursa za aktivno sudjelovanje na međuinstitucijskim forumima.
48. Upravljački odbor tima CERT-EU njegovo je glavno tijelo za donošenje odluka, no on nije reprezentativan za sve njegove sastavnice u cjelini. Tim CERT-EU pruža usluge za 87 organa EU-a i 3 druga subjekta. Međutim, u njegovu upravljačkom odboru sjede predstavnici tek 11 potpisnica međuinstitucijskog dogovora (to su sedam institucija EU-a te ESVD, Gospodarski i socijalni odbor, Odbor regija i Europska investicijska banka) i jedan predstavnik ENISA-e, od kojih svaki ima jedan glas26.
49. Više od polovice sastavnica tima CERT-EU čine decentralizirane agencije i zajednička poduzeća EU-a, koji zajedno imaju oko 12 000 članova osoblja. Njihove interese u upravljačkom odboru tima CERT-EU formalno zastupa ENISA. Međutim, ENISA nema snažan mandat za zastupanje agencija i zajedničkih poduzeća EU-a jer je oni nisu izravno ni postavili ni izabrali. U praksi, na sastancima upravljačkog odbora stajališta decentraliziranih agencija i zajedničkih poduzeća iznosi predstavnik odbora ICTAC, kojemu je dopušteno prisustvovati kako bi pomogao ENISA-i u njezinoj ulozi zastupnika agencija. Unatoč tome što iznosi stajališta i interese 48 organa EU-a, predstavnik odbora ICTAC trenutačno nije službeni član upravljačkog odbora niti ima pravo glasa. U travnju 2021. ICTAC je predsjedatelju upravljačkog odbora tima CERT-EU poslao službeni zahtjev za odobravanje prava glasa u upravljačkom odboru. U trenutku sastavljanja ovog izvješća taj zahtjev još nije bio odobren. Pregled zastupljenosti organa EU-a u odborima i odborima koji donose odluke nalazi se na slici 6.
50. Međuinstitucijska upravljačka struktura organa EU-a za kibersigurnost nije usustavljena i nijedan subjekt trenutačno nema cjelovit pregled stupnja razvoja organa EU-a u pogledu kibersigurnosti ili ovlasti da preuzme vodeću ulogu odnosno zajamči primjenu zajedničkih obvezujućih pravila. ENISA i tim CERT-EU mogu samo „podupirati” organe EU-a i „pomagati” im. Relevantni odbori nemaju ovlasti za donošenje odluka i jedino mogu davati preporuke organima EU-a. Nadalje, za petinu anketiranih organa EU-a nije jasno ni kome se mogu obratiti za određenu uslugu, alat ili rješenje.
Postoje memorandumi o razumijevanju među ključnim akterima, ali dosad na temelju njih nisu ostvareni konkretni rezultati
51. Memorandum o razumijevanju između ENISA-e, tima CERT-EU, Europolova Europskog centra za kibernetički kriminal (EC3) i Europske obrambene agencije (EDA) potpisan je u svibnju 2018. Naglasak je bio na pet područja suradnje. To su: razmjena informacija, obrazovanje i osposobljavanje, kibersigurnosne vježbe, tehnička suradnja te strateška i administrativna pitanja. Iako bi se na temelju tog memoranduma mogao donijeti zajednički program rada, čime bi se dijelom izbjeglo ulaganje dvostrukih napora, Sudu nisu predočeni dokazi da su njime ostvareni konkretni rezultati i zajednička djelovanja.
52. Aktom o kibersigurnosti, koji je stupio na snagu u lipnju 2019., predviđeno je potpisivanje novog i posebnog dogovora o suradnji između tima CERT-EU i ENISA-e. Važno je napomenuti da je za konačno potpisivanje tog memoranduma u veljači 2021. bilo potrebno više od godinu i pol dana. Memorandumom se nastoji uspostaviti strukturirana suradnja između tima CERT-EU i ENISA-e. Njime se definiraju njihova područja suradnje (izgradnja kapaciteta, operativna suradnja te znanje i informacije) i utvrđuje gruba podjela uloga među njima: CERT-EU će preuzeti vodeću ulogu u pružanju pomoći organima EU-a, a ENISA će doprinositi tim nastojanjima. U memorandumu nisu definirani praktični aranžmani jer su oni navedeni u godišnjem planu suradnje. Upravni odbor ENISA-e usvojio je prvi godišnji plan suradnje za 2021. u srpnju 2021., dok je upravljački odbor tima CERT-EU to učinio u rujnu iste godine. Stoga je prerano da bi se u okviru ove revizije procijenilo je li taj plan polučio ikakve opipljive rezultate.
53. Budući da oba memoranduma o razumijevanju navedena u odlomcima 51. i 52. imaju zajedničke ciljeve i područja suradnje kao što su osposobljavanje, vježbe ili razmjena informacija, postoji rizik od preklapanja i viškova.
Potencijalna sinergija kroz suradnju još nije u potpunosti iskorištena
Učinjeni su pozitivni koraci ka postizanju sinergije
54. U programima rada odbora ICTAC i ICDT CSSG utvrđene su relevantne teme u kojima se suradnjom može postići veća učinkovitost. U nastavku su navedeni praktični primjeri inicijativa koje su omogućile organima EU-a da ostvare sinergiju:
- međuinstitucijski okvirni ugovori;
- zajednički centar za oporavak od katastrofa za decentralizirane agencije čiji je domaćin od 2019. Ured Europske unije za intelektualno vlasništvo (EUIPO), čime se omogućuje ušteda troškova od najmanje 20 % u odnosu na tržišne cijene (devet agencija prihvatilo je to rješenje za oporavak od katastrofa);
- sporazumi među šest zajedničkih poduzeća sa sjedištem u istoj zgradi u vezi sa zajedničkom infrastrukturom i zajedničkim okvirom za IT sigurnost (od 2014.).
55. Još je jedan važan primjer „GovSec”, sustav koji pomaže organima EU-a u provedbi procjena rizika u cilju usvajanja rješenja u digitalnom oblaku. Prema rezultatima ankete koju je proveo Sud, 75 % organa EU-a već se koristi nekim javnim platformama u digitalnom oblaku, dok neki od njih ne planiraju prijeći na računalstvo u oblaku. Komisija od 2019. primjenjuje pristup „prvenstva računalstva u oblaku”, kojim je predviđena sigurna ponuda hibridnih usluga u više digitalnih oblaka27. Komisija djeluje i kao posrednik za računalstvo u oblaku za sve organe EU-a u kontekstu okvirnog ugovora „Cloud II”. Za upravljanje rizicima povezanima sa sigurnošću i zaštitom podataka na platformama u digitalnom oblaku potrebne su nove vještine i drukčiji pristup u usporedbi s tradicionalnom „fizičkom” IT infrastrukturom. Učinkovito upravljanje rizicima u području informacijske sigurnosti u digitalnom oblaku zajednički je izazov za organe EU-a, a „GovSec” je primjer rješenja koje može odgovoriti na potrebe nekoliko, ako ne i svih, organa EU-a.
Suradnja i razmjena praksi među organima EU-a još nije optimalna
56. Postojanje međuinstitucijskih odbora ne dovodi automatski do sinergije, a organi EU-a ponekad ne razmjenjuju najbolje prakse, stručno znanje, metodologije i stečena iskustva. Osim toga, svaki organ EU-a samostalno odlučuje o razini sudjelovanja u radu odbora ICDT CSSG. Članovi tog odbora, neovisno o sudjelovanju na sastancima, mogu doprinijeti njegovu radu samo u onoj mjeri u kojoj to dopuštaju njihove redovne poslovne obveze u organima EU-a u kojima su zaposleni, što je već usporilo napredak u provedbi mjera koje su dogovorile neke radne skupine.
57. Sud je utvrdio da u određenim područjima ne postoje mehanizmi za razmjenu iskustava i inicijativa među organima EU-a. Na primjer, na temelju okvirnog ugovora o „mrežnoj obrambenoj sposobnosti” organi EU-a mogu zatražiti izradu studije kako bi konsolidirali kibersigurnosne zahtjeve i pronašli rješenja. Međutim, ne postoji repozitorij takvih studija koje su proveli ili zatražili drugi organi EU-a te stoga različiti organi mogu više puta zatražiti izradu iste studije. Osim toga, organi EU-a ne razmjenjuju sustavno jedni s drugima informacije o ugovornim odnosima koje imaju s određenim dobavljačima ili o korištenju određenim softverskim rješenjem. Taj nedostatak informacija može dovesti do dodatnih troškova i propuštenih prilika za sinergiju.
58. Organi EU-a isto tako ne razmjenjuju sustavno jedni s drugima informacije o projektima u području kibersigurnosti koje provode, čak i ako bi ti projekti mogli imati međuinstitucijski učinak. Mandat odbora ICDT CSSG uključuje odredbu prema kojoj bi organi EU-a trebali razmjenjivati informacije o novim projektima koji bi mogli utjecati na kibersigurnost drugih organa EU-a i/ili zaštitu informacija koje potječu od njih. Međutim, tom se odboru ne šalju obavijesti o takvim projektima.
59. Kada se osnuje nova agencija, ona mora graditi svoju IT infrastrukturu i okvir za IT sigurnost od nule. Ne postoji „katalog usluga”, paket alata ili jasne smjernice/zahtjevi za nove agencije. Rezultat je primjetna heterogenost IT okruženja u različitim organima EU-a, u kojima svaka organizacija može samostalno nabavljati vlastiti softver, hardver, infrastrukturu i usluge. Zbog nepostojanja zajedničkih zahtjeva i standarda isto vrijedi i za okvir za IT sigurnost. Ta situacija dovodi do mogućeg ulaganja dvostrukih napora i neučinkovitog korištenja financijskim sredstvima EU-a, ali i do složenije situacije za tim CERT-EU u pogledu potpore koju mora pružiti.
Pri razmjeni osjetljivih informacija postoje određeni praktični nedostatci
60. Pojedini organi EU-a i dalje nemaju odgovarajuća rješenja za razmjenu osjetljivih informacija koje nisu zaštićene odgovarajućom oznakom tajnosti. Oni koji ih imaju u pravilu su uveli razne vlastite proizvode i sustave, što znači da je interoperabilnost problematično pitanje. Zajedničke sigurne platforme postoje samo za određene svrhe, primjerice platforme koje tim CERT-EU nudi svim sastavnicama za razmjenu osjetljivih informacija o incidentima, prijetnjama i slabim točkama.
61. Na primjer, više od 20 % organa EU-a nema uslugu šifrirane e-pošte. Oni koji je imaju često se suočavaju s problemima interoperabilnosti, a certifikati se međusobno ne priznaju. Odbori ICTAC i ICDT već godinama raspravljaju o mogućnosti usvajanja prilagodljivog i interoperabilnog rješenja te je 2018. proveden pilot-projekt. Međutim, to pitanje još nije riješeno.
62. Drugi je problem nepostojanje zajedničkih oznaka za osjetljive informacije koje nisu zaštićene odgovarajućom oznakom tajnosti. Oznake su kategorizacije koje imateljima informacija otkrivaju posebne zahtjeve u pogledu zaštite tih informacija. One nisu ujednačene na razini svih organa EU-a, što otežava razmjenu informacija i pravilno postupanje s njima.
63. Pandemija bolesti COVID-19 prisilila je 2020. organe EU-a na uvođenje komunikacijskih i videokonferencijskih alata u širokom opsegu kako bi se zajamčio kontinuitet poslovanja. Sud je utvrdio da se u organima EU-a za videokonferencije upotrebljava najmanje 15 različitih softverskih rješenja. Čak i u slučajevima u kojima različiti organi EU-a upotrebljavaju isto softversko rješenje/platformu, i dalje često nedostaje interoperabilnosti. Osim toga, smjernice o tome koje bi se informacije (u smislu osjetljivosti) mogle razmjenjivati ili o kojima bi se moglo raspravljati na određenoj platformi nisu bile ujednačene na razini svih organa EU-a. Takvi problemi dovode do ekonomske i operativne neučinkovitosti te mogu stvoriti potencijalne sigurnosne probleme.
ENISA i CERT-EU još nisu pružili organima EU-a svu potrebnu podršku
64. Sud u ovom odjeljku donosi analizu dvaju glavnih subjekata zaduženih za pružanje potpore organima EU-a u području kibersigurnosti: ENISA-e i tima CERT-EU. Sud je procijenio je li potpora koju su pružila ta dva subjekta došla do organa EU-a i odgovara li na njihove potrebe, posebno navodeći uzroke utvrđenih nedostataka.
ENISA je ključni akter u području kibersigurnosti EU-a, ali je dosad pružila podršku vrlo malom broju organa EU-a
65. U lipnju 2019. na snagu je stupio Akt o kibersigurnosti28, koji je zamijenio prethodnu pravnu osnovu ENISA-e29 i dao toj agenciji veće ovlasti. Konkretnije, njime se predviđa da bi ENISA trebala aktivno podupirati i države članice i organe EU-a u povećanju kibersigurnosti, i to izgradnjom kapaciteta, jačanjem operativne suradnje i uspostavom sinergije. U području izgradnje kapaciteta ENISA sada ima zadaću pomoći organima EU-a „u njihovim nastojanjima da poboljšaju sprečavanje, otkrivanje i analizu kiberprijetnji i kiberincidenata […], osobito pružanjem odgovarajuće potpore CERT-EU-u”30. ENISA bi također trebala pomagati institucijama EU-a u izradi i preispitivanju strategija EU-a za kibersigurnost, promicanju njihove šire distribucije i praćenju napretka u njihovoj provedbi.
66. Iako se u Aktu o kibersigurnosti jasno navodi da bi ENISA trebala podupirati organe EU-a da povećaju svoju kibersigurnost, ENISA još nije dovršila izradu nikakvih akcijskih planova povezanih s njezinim ciljem pomaganja organima EU-a da izgrade kapacitete (za pojedinosti vidjeti okvir 3.).
Nedovoljna usklađenost između cilja i ostvarenja ENISA-e u vezi s organima EU-a
Među trogodišnjim prioritetima ENISA-e navedenima u višegodišnjem programu rada za razdoblje 2018. – 2020. u okviru cilja 3.2. „Izgradnja kapaciteta pomoćnih institucija EU-a” nalaze se i sljedeći prioriteti:
- „Pružanje proaktivnih savjeta institucijama Unije o jačanju njihove mrežne i informacijske sigurnosti (utvrđivanje prioriteta za agencije i tijela EU-a s najvećim potrebama za izgradnjom kapaciteta za mrežnu i informacijsku sigurnosti, i to uspostavom redovitih interakcija s njima (npr. u vidu godišnjih radionica) i usmjeravanje na te prioritete)”;
- „Pomoć institucijama EU-a i olakšavanje njihove situacije u vezi s pristupima mrežnoj i informacijskoj sigurnosti (uspostava partnerstava s timom CERT-EU i institucijama sa snažnim kapacitetima za mrežnu i informacijsku sigurnost s ciljem podupiranja djelovanja agencije u okviru ovog cilja.)”
U programima rada ENISA-e za 2018., 2019. i 2020. postoje samo dva operativna cilja (ostvarenja) u okviru cilja 3.2.:
- „Sudjelovanje u radu upravljačkog odbora tima CERT-EU i zastupanje agencija EU-a koje se služe uslugama tima CERT-EU”.
- „Suradnja s relevantnim tijelima EU-a na inicijativama koje obuhvaćaju dimenziju mrežne i informacijske sigurnosti povezanu s njihovim misijama (uključujući EASA-u, tim CERT-EU, EDA-u i centar EC3)”.
Operativni ciljevi ne uključuju aktivnosti povezane s proaktivnim savjetovanjem. Osim toga, cilj utvrđivanja prioriteta za agencije s najvećim potrebama nije pretočen u operativna ostvarenja jer je zamijenjen ciljem povezivanja s agencijama radi zastupanja njihovih potreba u upravljačkom odboru tima CERT-EU.
67. Glavno tijelo ENISA-e za donošenje odluka njezin je upravni odbor, koji se sastoji od po jednog člana kojeg imenuje svaka od 27 država članica i dvaju članova koje imenuje Komisija31 (vidjeti sliku 6.). Svaki član ima jedan glas, a odluke se donose većinom glasova32. Zbog toga mjere koje se odnose na države članice mogu biti prioritetnije od onih koje se odnose na organe EU-a. Na primjer, u programu rada ENISA-e za 2018. upravni odbor odlučio je, zbog nedostatka dostatnih resursa, dati prednost određenim aktivnostima i ukloniti njih tri, od kojih je jedna bila „potpora za procjenu postojećih politika/postupaka/praksi u vezi s mrežnom i informacijskom sigurnošću u institucijama EU-a”. Svrha te aktivnosti bila je omogućiti ENISA-i da izradi pregled praksi organa EU-a i procjenu njihova okvirnog stupnja razvoja u pogledu kibersigurnosti kao temelj za buduće ciljane mjere.
68. Stoga se ambicija ENISA-e da pruža proaktivnu pomoć organima EU-a, kako je navedeno u njezinim strateškim ciljevima, nije ostvarila u operativnim ciljevima ili konkretnim mjerama. Potpora u područjima izgradnje kapaciteta i operativne suradnje dosad je bila ograničena na nekolicinu organa EU-a i pružala im se na zahtjev.
69. U Aktu o kibersigurnosti također se navodi da bi ENISA, kako bi pomogla organima EU-a u izgradnji kapaciteta, trebala pružiti odgovarajuću potporu timu CERT-EU. U trenutku provođenja revizije takva je potpora bila ograničena na nekoliko posebnih mjera. Na primjer, ENISA je 2019. provela stručni pregled tima CERT-EU u kontekstu njegova članstva u mreži EU-a koja okuplja timove za odgovor na računalne sigurnosne incidente (koja je uspostavljena Direktivom o mrežnoj i informacijskoj sigurnosti).
70. Prema odgovorima koje je Sud prikupio u anketi, ENISA objavljuje kvalitetna izvješća i smjernice o kibersigurnosti te se organi EU-a služe nekima od njih. Međutim, ne postoje posebne smjernice usmjerene na organe EU-a te njihovo okruženje i potrebe. Organima EU-a, posebno onima koji su manje napredni u pogledu kibersigurnosti, potrebne su praktične smjernice ne samo o tome što činiti, nego i o tome kako postupati. ENISA i tim CERT-EU dosad su pružali takvu potporu u ograničenoj mjeri i nesustavno.
71. ENISA je održala niz tečajeva osposobljavanja o kibersigurnosti, koji su uglavnom bili usmjereni na tijela država članica, ali na kojima je sudjelovao i ograničen broj sudionika iz organa EU-a. Organizirala je tek dva tečaja samostalnog učenja koji su bili posebno usmjereni na organe EU-a. Na svojim internetskim stranicama ENISA nudi i materijale za osposobljavanje na daljinu kojima mogu pristupiti i organi EU-a, ali to su dosad uglavnom bili tečajevi za tehničke stručnjake iz timove za odgovor na računalne sigurnosne incidente i, kao takvi, nisu bili korisni za većinu organa EU-a.
72. Osim osposobljavanja, ENISA može podupirati organe EU-a i obavljanjem kibersigurnosnih vježbi. ENISA je u listopadu 2020. u suradnji s timom CERT-EU provela kibersigurnosnu vježbu za odbor ICTAC, što je jedina vježba koju je ENISA ciljano organizirala za sudionike iz organa EU-a. Osim toga, ENISA je pomogla organizirati niz vježbi na zahtjev pojedinih organa EU-a (npr. EU-LISA-e, EMSA-e, Europskog parlamenta i Europola), uglavnom za njihove dionike u tijelima država članica, uz sudjelovanje određenog broja djelatnika organa EU-a.
73. Aktom o kibersigurnosti uvedena je i nova uloga ENISA-e u pružanju pomoći organima EU-a u vezi s njihovim politikama za otkrivanje slabih točaka, na dobrovoljnoj osnovi. Međutim, ENISA i dalje nema pregled pojedinačnih politika organa EU-a za otkrivanje slabih točaka i ne pomaže im u njihovoj uspostavi i provedbi.
Sastavnice tima CERT-EU iznimno cijene njegove usluge, ali sredstva kojima on raspolaže nisu razmjerna trenutačnim kibersigurnosnim izazovima
74. Nakon niza različitih inicijativa (vidjeti sliku 7.) odlukom Komisije iz rujna 2012.33 osnovan je tim za hitne računalne intervencije (CERT-EU) kao stalna radna skupina za organe EU-a (vidjeti odlomak 08.).
75. Iako je neovisan u svojem radu, tim CERT-EU i dalje je radna skupina bez pravne osobnosti. Administrativno pripada Europskoj komisiji (GU DIGIT), od koje prima logističku i administrativnu potporu. Cilj je tima CERT-EU povećati sigurnost IKT infrastrukture u organima EU-a povećanjem njihovih kapaciteta za suočavanje s kiberprijetnjama i slabim točkama te za sprječavanje i otkrivanje kibernapada te pružanje odgovora na njih. CERT-EU ima oko 40 članova osoblja u timovima stručnjaka koji su, primjerice, usmjereni na saznanja o kiberprijetnjama, digitalnu forenziku i odgovor na incidente.
CERT-EU cijenjen je partner sa sve većim radnim opterećenjem
76. CERT-EU traži povratne informacije i prijedloge svojih sastavnica na tromjesečnim radionicama i godišnjim bilateralnim sastancima te provođenjem anketa o zadovoljstvu korisnika. Prema navodima iz anketa o zadovoljstvu uslugama i ankete koju je proveo Sud, sastavnice su u velikoj mjeri zadovoljne uslugama koje pruža CERT-EU. Razvoj kataloga usluga tima CERT-EU svjedoči o njegovim nastojanjima da se prilagodi potrebama organa EU-a.
77. Iako se veliki organi EU-a sa znatnim internim kapacitetima uglavnom koriste timom CERT-EU kao središtem za razmjenu informacija i izvorom saznanja o prijetnjama, manji organi EU-a oslanjaju se na CERT-EU za širi raspon usluga, kao što su evidencija praćenja, penetracijska testiranja, vježbe s „crvenim timovima” i potpora za pružanje odgovora na incidente. Usluge tima CERT-EU posebno su dragocjene za manje organe EU-a zbog ograničena broja njihovih internih stručnjaka i nemogućnosti da ostvare uštede zbog ekonomije razmjera (vidjeti odlomke 31. i 33.).
78. U kontekstu drastičnog povećanja broja prijetnji i incidenata tim CERT-EU posljednjih je godina pojačao svoje kapacitete i postupke. Broj informacijskih proizvoda tima CERT-EU, posebno upozorenja i bilješki o prijetnjama, u stalnom je porastu (slika 8.). Tijekom 2020. taj je tim izdao 171 bilješku o prijetnjama i 53 upozorenja o prijetnjama (što je znatno više od 80 bilješki i 40 upozorenja koja je izvorno trebao izdati).
79. CERT-EU podupire organe EU-a i u rješavanju kiberincidenata. U 52 % organa EU-a postoji interni tim za pružanje odgovora ili barem koordinator za incidente, dok se preostalih 48 % u slučaju incidenta oslanja na CERT-EU i/ili druge vanjske pružatelje usluga. Međutim, čak i veliki organi EU-a s internim kapacitetima za pružanje odgovora mogu zatražiti potporu tima CERT-EU u rješavanju složenih incidenata.
80. Ukupan broj incidenata koje je tim CERT-EU obradio povećao se između 2019. i 2020. s 561 na 884. Osobito se povećao broj ozbiljnih incidenata, i to sa samo jednoga tijekom 2018. na njih 13 tijekom 2020. godine. Broj ozbiljnih incidenata tijekom 2021. dosegnuo je 17, odnosno zabilježen je dodatan porast u odnosu na njih 13 tijekom 2020., što je već bila rekordna godina. Ti ozbiljni incidenti općenito su posljedica vrlo sofisticiranih prijetnji. Mogu pogoditi više organa EU-a, uključuju kontakt s relevantnim tijelima te za su za istragu nad njima i oporavak od njih pogođenim stranama i timu CERT-EU obično potrebni tjedni ili mjeseci rada.
81. Tim CERT-EU također je glavni pružatelj proaktivnih procjena i testiranja kiberobrane organa EU-a. Sažetak aktivnosti tima CERT-EU u tom području prikazan je naslici 9. u nastavku. Osim toga, tim CERT-EU od 2020. provodi i vanjska mrežna skeniranja.
Sastavnice ne razmjenjuju s timom CERT-EU relevantne informacije na vrijeme
82. U međuinstitucijskom dogovoru34 stoji da bi sastavnice trebale obavještavati tim CERT-EU o ozbiljnim kiberincidentima. Međutim, u praksi to nije uvijek slučaj. Međuinstitucijskim dogovorom nije predviđen mehanizam kojim bi se zajamčilo da sastavnice obvezno i pravodobno prijavljuju timu CERT-EU „ozbiljne” incidente. Definicija „ozbiljnih incidenata” u međuinstitucijskom dogovoru općenite je naravi i stoga je organima EU-a prepušteno da odluče hoće li prijaviti određeni incident. Prema navodima rukovodstva tima CERT-EU neke sastavnice nisu na vrijeme razmjenjivale informacije o ozbiljnim incidentima, čime se otežava uloga tima CERT-EU kao središta za razmjenu informacija o kibersigurnosti i koordinaciju odgovora na incidente za sve organe EU-a. Na primjer, jedna sastavnica koja je bila izložena vrlo sofisticiranoj prijetnji nije obavijestila tim CERT-EU niti je zatražila njegovu podršku. Time mu je onemogućeno da prikupi obavještajne podatke o toj kiberprijetnji koji bi bili korisni pri pružanju potpore drugim sastavnicama koje bi bile izložene istoj prijetnji. Tom je napadu bilo izloženo najmanje šest organa EU-a.
83. Osim toga, sastavnice nisu aktivno i na vrijeme slale timu CERT-EU informacije o kibersigurnosnim prijetnjama i slabim točkama koje na njih utječu, iako se međuinstitucijskim dogovorom35 od njih traži da to čine. Tim za digitalnu forenziku i odgovor na incidente koji djeluje u sklopu tima CERT-EU ne prima obavijesti o slabim točkama ili nedostatcima u kontrolama otkrivenima izvan konteksta incidenata koje aktivno istražuje. Među sastavnicama nema proaktivne razmjene relevantnih nalaza unutarnjih ili vanjskih revizija sigurnosti.
84. Osim toga, međuinstitucijski dogovor ne obvezuje organe EU-a da timu CERT-EU prijavljuju bitne promjene u svojem IT okruženju, zbog čega sastavnice nisu sustavno obavještavale CERT-EU o relevantnim promjenama. Na primjer, organi EU-a ne obavještavaju uvijek CERT-EU o eventualnim promjenama u rasponu svojih IP adresa (tj. o popisu internetskih adresa svoje infrastrukture). Timu CERT-EU potrebni su ažurirani rasponi IP adresa kako bi se, na primjer, obavljala skeniranja kada se otkriju ozbiljne slabe točke. Ako organi EU-a ne obavijeste CERT-EU o takvim promjenama, to utječe na njegovu sposobnost da im pruži podršku. Uskraćivanje takvih obavijesti timu CERT-EU utječe i na njegovu sposobnost praćenja sustava te stvara dodatan posao ispravljanja netočnih podataka u alatima za praćenje. Prema navodima njegova rukovodstva, tim CERT-EU pri rješavanju određenih incidenata ponekad nailazi na prethodno nepoznatu IT infrastrukturu. Povrh toga, osim u posebnim slučajevima, tim CERT-EU trenutačno nema sveobuhvatan pregled IT sustava i mreža zajednice organa EU-a.
85. Budući da u međuinstitucijskom dogovoru nema nikakvog mehanizma izvršenja, obavijesti organa EU-a timu CERT-EU, koje su ključan element za stvaranje zajednice kiberpripremljenih organa EU-a okupljenih oko tima CERT-EU, i dalje će se slati nesustavno.
Resursi tima CERT-EU nestabilni su i nisu razmjerni trenutačnoj razini prijetnje
86. U međuinstitucijskom dogovoru36 navodi se da bi timu CERT-EU trebalo „dodijeliti održiva sredstva i osoblje, osiguravajući pritom odgovarajuću vrijednost za uloženi novac i adekvatnu jezgru stalnog osoblja”. Najvažniji je resurs tima CERT-EU njegovo kvalitetno osposobljeno i specijalizirano osoblje. Na slici 10. prikazana je promjena broja osoblja u timu CERT-EU od njegova osnivanja 2011. do danas.
87. Više od dvije trećine osoblja tima CERT-EU ima ugovore na određeno vrijeme. Njihova plaća nije vrlo konkurentna na tržištu za stručnjake za kibersigurnost, a prema navodima rukovodstva tima CERT-EU sve ih je teže zaposliti i zadržati. U situaciji u kojoj plaće za iskusnije kandidate nisu dovoljno privlačne, CERT-EU je primoran zapošljavati manje iskusno osoblje i uložiti vrijeme u njihovo osposobljavanje. Osim toga, ugovori traju najviše šest godina, što znači da CERT-EU nema nikakvu mogućnost zadržati ugovorne djelatnike koji su tada na vrhuncu svoje stručnosti. Fluktuacija osoblja bila je posebno visoka 2020.: CERT-EU je napustilo 21 % osoblja i nije ih bilo moguće sve zamijeniti. Kad je riječ o prethodnim godinama, 2019. je otišlo 9 % osoblja, a 2018. njih 13 %.
88. Rukovodstvo tima CERT-EU naglasilo je da je njihov tim za digitalnu forenziku i odgovor na incidente trenutačno preopterećen, kao i da ni drugi timovi ne mogu odgovoriti na potražnju. Zbog toga je CERT-EU bio prisiljen smanjiti opseg aktivnosti. Na primjer, tim CERT-EU trenutačno ne provodi procjene stupnja razvoja svojih sastavnica, i to zbog nedostatka resursa. Njihova usluga „upozoravanja na sumnjive aktivnosti” omogućena je kasnije nego što se očekivalo, opet zbog manjka resursa. Nadalje, nekoliko sastavnica s kojima je Sud obavio razgovor komentiralo je dugo razdoblje čekanja na pristup uslugama tima CERT-EU.
89. Ograničenja resursa dosad su nalagala timu CERT-EU da se posebno usredotoči na zaštitu konvencionalne „fizičke” IT infrastrukture od ozbiljnih prijetnji skupina koje su izvor naprednih trajnih prijetnji (obično uz potporu nacionalnih država). Međutim, prema mišljenju rukovodstva tog tima, prošireni opseg IT-a u organima EU-a (koji sada uključuje računalstvo u oblaku, mobilne uređaje i alate za rad na daljinu) iziskuje pojačano praćenje i zaštitu, a veću pozornost zahtijevaju i prijetnje niže razine (kao što su kiberkriminalitet i ucjenjivački softver).
90. Međuinstitucijskim dogovorom nije predviđeno da tim CERT-EU ima operativne kapacitete 24 sata dnevno i sedam dana u tjednu. CERT-EU trenutačno nema resurse ni odgovarajući kadrovski okvir za rad izvan radnog vremena na trajnoj i strukturiranoj osnovi, iako se kibernapadi odvijaju u svako doba dana. Za same organe EU-a samo 35 od njih 65 koji su anketirani ima službenu osobu za IT tehnologiju koja je dostupna izvan radnog vremena.
91. Kako bi financirao operacije tima CERT-EU, upravljački odbor odobrio je 2012. model sporazuma o razini usluga. Osnovne se usluge pružaju svim sastavnicama besplatno, a sastavnice mogu doplatiti kupnju proširenih usluga potpisivanjem sporazuma o razini usluga. Proračun tima CERT-EU za 2020. iznosio je 3 745 000 eura, od čega je 6 % financirano iz proračuna EU-a, a 94 % na temelju sporazuma o razini usluga. Međutim, sastavnice su vrlo heterogene: neke imaju napredne zahtjeve u pogledu IT sigurnosti, dok druge imaju skromne proračune za IT i vrlo nizak stupanj razvoja u pogledu kibersigurnosti. Zbog toga rasprave o sporazumima o razini usluga imaju za posljedicu kombinaciju visokih sigurnosnih zahtjeva za jedan dio organa EU-a i relativnog nedostatka spremnosti ili sposobnosti da pridonesu za drugi dio.
92. Nadalje, sporazumi o razini usluga trebaju se zasebno obnavljati svake godine. Osim što je riječ o administrativnom opterećenju, riječ je i o uzroku problema s novčanim tokom jer tim CERT-EU ne dobiva financijska sredstva predviđena svim sporazumima o razini usluga u isto vrijeme. Osim toga, agencije mogu u bilo kojem trenutku raskinuti te sporazume. Postoji stoga rizik od začaranog kruga u kojem zbog izgubljenih prihoda tim CERT-EU mora smanjiti opseg svojih usluga i ne može odgovoriti na potražnju, što će pak potaknuti druge organe EU-a da raskinu svoje sporazume o razini usluga i prebace se na privatne pružatelje usluga. S obzirom na te aspekte, trenutačni model financiranja nije idealan za to da se zajamči stabilna i optimalna razina usluga.
93. Suočen s vrlo dinamičnim okruženjem kibersigurnosnih prijetnji (vidjeti odlomke 06. i 80.), upravljački odbor tima CERT-EU podržao je na sastanku 19. veljače 2020. strateški prijedlog da CERT-EU proširi svoje kibersigurnosne usluge i razvije „potpune operativne kapacitete”. Prijedlogu je priložena analiza potreba tima CERT-EU u pogledu osoblja i financiranja. U toj je analizi iznesen zaključak da tim CERT-EU treba 14 dodatnih stalnih radnih mjesta razreda AD (tzv. „administratori), koja bi se trebala postupno dodavati tijekom razdoblja 2021. – 2023. Tim CERT-EU tada bi djelovao u punom kapacitetu od 2023. nadalje. U skladu s tim prijedlogom, kad je riječ o financiranju, CERT-EU bi u razdoblju 2021. – 2023. trebao povećati svoj proračun za 7,6 milijuna eura kako bi do 2024. dosegnuo 11,3 milijuna eura.
94. Međutim, unatoč prihvaćanju strateškog prijedloga o osiguravanju dodatnih resursa za CERT-EU, organi EU-a još nisu postigli dogovor o praktičnim rješenjima, najprije za prijelazno razdoblje 2021. – 2023., a zatim i dugoročno, nakon stupanja na snagu buduće uredbe o kibersigurnosti (vidjeti odlomak 12.).
Zaključci i preporuke
95. Sud je zaključio da institucije, tijela i agencije EU-a (organi EU-a) nisu dosegnuli razinu kiberpripravnosti koja bi bila razmjerna prijetnjama. Na temelju provedenih aktivnosti Sud je utvrdio da su organi EU-a dosegnuli različite stupnjeve razvoja u pogledu kibersigurnosti, a s obzirom na to da su često povezani ne samo međusobno nego i s javnim i privatnim organizacijama u državama članicama, kibersigurnosne slabe točke jednog od organa EU-a mogu izložiti i nekoliko drugih organizacija kiberprijetnjama.
96. Sud je utvrdio da se ponekad nisu primjenjivale ključne dobre prakse u području kibersigurnosti, uključujući određene osnovne kontrole. Pouzdana upravljačka struktura za kibersigurnost ključna je za sigurnost informacijskih i IT sustava, no u pojedinim organima EU-a ona još nije uspostavljena: u mnogim slučajevima strategije i planovi IT sigurnosti nedostaju ili za njih ne postoji podrška višeg rukovodstva, sigurnosne politike ponekad nisu formalizirane, a procjenama rizika nije obuhvaćeno cijelo IT okruženje. Rashodi za kibersigurnost nisu ujednačeni te je za neke organe EU-a očito da ne ulažu dovoljno sredstava u odnosu na usporedive organizacije slične veličine (vidjeti odlomke 21. – 33., 37. i 38.).
97. Programi osvještavanja osoblja o kibersigurnosti i osposobljavanja u tom području ključan su element djelotvornog okvira za kibersigurnost. Međutim, samo 29 % organa EU-a provodi obvezno osposobljavanje u području kibersigurnosti za rukovoditelje odgovorne za IT sustave koji sadržavaju osjetljive informacije, a osposobljavanje koje se i provodi često je neformalno. U posljednjih pet godina 55 % organa EU-a organiziralo je najmanje jednu simuliranu kampanju phishinga (ili sličnu vježbu). Te su vježbe važan alat za osposobljavanje i osvještavanje osoblja, ali ih organi EU-a ne upotrebljavaju sustavno (vidjeti odlomke 34. – 36.). Povrh toga, pojedini organi EU-a ne traže da se u pogledu kibersigurnosti provodi redoviti postupak dobivanja neovisnog jamstva (vidjeti odlomke 39. – 44.).
98. Organi EU-a koje tim CERT-EU podupire iznimno cijene njegove usluge, no kapaciteti tog tima preopterećeni su. Njegovo radno opterećenje, u smislu saznanja o prijetnjama i rješavanja incidenata, ubrzano se povećava od 2018. Broj ozbiljnih kibersigurnosnih incidenata više se nego udeseterostručio. Istodobno, organi EU-a ne razmjenjuju uvijek na vrijeme informacije o ozbiljnim incidentima, slabim točkama i važnim promjenama u svojoj IT infrastrukturi. Time se umanjuje djelotvornost tima CERT-EU i onemogućuje mu se da upozori druge organe EU-a na koje bi to moglo utjecati i može dovesti do toga da ozbiljni incidenti ostanu neotkriveni. Osim toga, resursi tima CERT-EU nestabilni su i trenutačno nisu razmjerni aktualnoj razini prijetnje ili potrebama organa EU-a. Upravljački odbor tima CERT-EU podržao je 2020. strateški prijedlog o osiguravanju dodatnih resursa potrebnih timu, ali sastavnice još nisu postigle dogovor o praktičnim rješenjima za osiguravanje tih resursa. Zbog toga članovi tima CERT-EU ne mogu odgovoriti na potražnju i prisiljeni su smanjiti opseg aktivnosti (vidjeti odlomke 74. – 93.).
1. preporuka – Potrebno je poboljšati kiberpripravnost svih organa EU-a s pomoću zajedničkih obvezujućih pravila i dodatnih resursa za tim CERT-EU
Komisija bi u svoj predstojeći prijedlog uredbe o mjerama visoke zajedničke razine kibersigurnosti u svim organima EU-a trebala uključiti sljedeća načela:
- Više rukovodstvo trebalo bi preuzeti odgovornost za upravljačku strukturu za kibersigurnost odobravanjem strategija kibersigurnosti i ključnih sigurnosnih politika te imenovanjem neovisne službene osobe za informacijsku sigurnost (ili osobe s istovjetnom ulogom).
- Organi EU-a trebali bi imati okvir za upravljanje rizicima u području IT sigurnosti kojim bi se obuhvatila njihova cjelokupna IT infrastruktura i provoditi redovite procjene rizika.
- Organi EU-a trebali bi provoditi sustavno osposobljavanje u svrhu osvještavanja sveg osoblja, uključujući rukovodstvo.
- Organi EU-a trebali bi se pobrinuti za provedbu redovitih revizija i testiranja svoje kiberobrane. Revizijama bi trebalo obuhvatiti i primjerenost resursa izdvojenih za kibersigurnost.
- Organi EU-a trebali bi bez odgode obavještavati tim CERT-EU o ozbiljnim kibersigurnosnim incidentima te o relevantnim promjenama i slabim točkama u svojoj IT infrastrukturi.
- Organi EU-a trebali bi u svojim proračunima povećati i namjenski izdvojiti sredstva za tim CERT-EU u skladu s potrebama utvrđenima u strateškom prijedlogu koji je podržao njegov upravljački odbor;
- Uredba bi trebala sadržavati odredbe o određivanju jednog subjekta koji bi bio predstavnik svih organa EU-a i koji bi imao odgovarajuće ovlasti i sredstva za praćenje toga pridržavaju li se svi organi EU-a zajedničkih kibersigurnosnih pravila i za iznošenje smjernica, preporuka i poziva na djelovanje.
Ciljni rok provedbe: prvo tromjesečje 2023.
99. Organi EU-a uspostavili su mehanizme za suradnju u području kibersigurnosti, no Sud je utvrdio da se potencijalna sinergija ne iskorištava u potpunosti. Postoji formalizirana struktura za razmjenu informacija, u kojoj dionici i odbori imaju komplementarne uloge. Međutim, sudjelovanje manjih organa EU-a na međuinstitucijskim forumima otežano je zbog ograničenih resursa, a zastupljenost decentraliziranih agencija i zajedničkih poduzeća u upravljačkom odboru tima CERT-EU nije optimalna. Sud je također utvrdio da organi EU-a međusobno ne razmjenjuju na sustavan način informacije o projektima povezanima s kibersigurnošću, sigurnosnim procjenama i drugim ugovorima o pružanju usluga. To može dovesti do ulaganja dvostrukih napora i povećanja troškova. Sud je utvrdio da u razmjeni osjetljivih informacija koje nisu zaštićene odgovarajućom oznakom tajnosti preko šifrirane e-pošte ili tijekom videokonferencija postoje operativne poteškoće, i to zbog nedostatka interoperabilnosti IT rješenja, nedosljednih smjernica o njihovoj dopuštenoj uporabi te nedostatka zajedničkih oznaka informacija i pravila o postupanju s informacijama (vidjeti odlomke 45. – 63.).
2. preporuka – Potrebno je zagovarati dublju sinergiju među organima EU-a u odabranim područjima
Komisija bi u kontekstu Međuinstitucijskog odbora za digitalnu transformaciju među organima EU-a trebala promicati sljedeće mjere:
- usvajanje rješenja za interoperabilnost sigurnih komunikacijskih kanala, od šifrirane e-pošte do videokonferencija, te zagovaranje zajedničkih oznaka i zajedničkih pravila za postupanje s osjetljivim informacijama koje nisu zaštićene odgovarajućom oznakom tajnosti;
- sustavno razmjenjivanje informacija o projektima povezanima s kibersigurnošću koji bi mogli imati međuinstitucijski učinak, sigurnosnim procjenama koje se provode nad softverom i važećim ugovorima s vanjskim dobavljačima; te
- utvrđivanje specifikacija za zajedničku javnu nabavu i okvirne ugovore za kibersigurnosne usluge u kojima mogu sudjelovati svi organi EU-a kako bi se ostvarile uštede zbog ekonomije razmjera.
Ciljni rok provedbe: četvrto tromjesečje 2023.
100. Agencija Europske unije za kibersigurnost (ENISA) i tim CERT-EU dva su glavna subjekta zadužena za pružanje podrške organima EU-a u pogledu kibersigurnosti. Međutim, zbog ograničenih resursa i davanja prednosti drugim područjima navedeni tim i agencija nisu mogli pružiti organima EU-a svu potrebnu podršku, posebice u pogledu izgradnje kapaciteta za organe EU-a koji su na nižem stupnju razvoja u pogledu kibersigurnosti (vidjeti odlomke 64. – 93.).
3. preporuka – Potrebno je da se tim CERT-EU i ENISA jače usredotoče na organe EU-a koji su na nižem stupnju razvoja
Tim CERT-EU i ENISA trebali bi:
- utvrditi prioritetna područja u kojima je organima EU-a potrebna najveća podrška, primjerice provedbom procjena stupnja razvoja;
- provesti mjere za izgradnju kapaciteta u skladu sa svojim memorandumom o razumijevanju.
Ciljni rok provedbe: četvrto tromjesečje 2022.
Ovo je izvješće usvojilo III. revizijsko vijeće, kojim predsjeda članica Revizorskog suda Bettina Jakobsen, u Luxembourgu 22. veljače 2022.
Za Revizorski sud
Klaus-Heiner LEHNE
predsjednik
Prilozi
Prilog I. – Popis anketiranih organa EU-a
Naziv organa EU-a | Vrsta |
---|---|
Europski parlament (EP) | Institucija (čl. 13. st. 1. UEU-a) |
Vijeće Europske unije i Europsko vijeće (Glavno tajništvo Vijeća) | Institucija (čl. 13. st. 1. UEU-a) |
Europska komisija | Institucija (čl. 13. st. 1. UEU-a) |
Sud Europske unije | Institucija (čl. 13. st. 1. UEU-a) |
Europska središnja banka (ESB) | Institucija (čl. 13. st. 1. UEU-a) |
Europski revizorski sud | Institucija (čl. 13. st. 1. UEU-a) |
Europska služba za vanjsko djelovanje (ESVD) | Tijelo (čl. 27. st. 3. UEU-a) |
Europski gospodarski i socijalni odbor (EGSO) i Europski odbor regija (OR)37 | Tijela (čl. 13. st 4. UEU-a) |
Europska investicijska banka (EIB) | Tijelo (čl. 308. UFEU-a) |
Europsko nadzorno tijelo za rad (ELA) | Decentralizirana agencija |
Agencija Europske unije za suradnju energetskih regulatora (ACER) | Decentralizirana agencija |
Ured Tijela europskih regulatora za elektroničke komunikacije (Ured BEREC-a) | Decentralizirana agencija |
Ured Zajednice za biljne sorte (CPVO) | Decentralizirana agencija |
Europska agencija za sigurnost i zdravlje na radu (EU-OSHA) | Decentralizirana agencija |
Agencija za europsku graničnu i obalnu stražu (Frontex) | Decentralizirana agencija |
Agencija Europske unije za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA) | Decentralizirana agencija |
Agencija Europske unije za azil (EUAA) | Decentralizirana agencija |
Agencija Europske unije za sigurnost zračnog prometa (EASA) | Decentralizirana agencija |
Europsko nadzorno tijelo za bankarstvo (EBA) | Decentralizirana agencija |
Europski centar za sprečavanje i kontrolu bolesti (ECDC) | Decentralizirana agencija |
Europski centar za razvoj strukovnog osposobljavanja (Cedefop) | Decentralizirana agencija |
Europska agencija za kemikalije (ECHA) | Decentralizirana agencija |
Europska agencija za okoliš (EEA) | Decentralizirana agencija |
Europska agencija za kontrolu ribarstva (EFCA) | Decentralizirana agencija |
Europska agencija za sigurnost hrane (EFSA) | Decentralizirana agencija |
Europska zaklada za poboljšanje životnih i radnih uvjeta (Eurofound) | Decentralizirana agencija |
Agencija Europske unije za svemirski program [zamjena za Agenciju za europski GNSS – GSA] (EUSPA) | Decentralizirana agencija |
Europski institut za ravnopravnost spolova (EIGE) | Decentralizirana agencija |
Europsko nadzorno tijelo za osiguranje i strukovno mirovinsko osiguranje (EIOPA) | Decentralizirana agencija |
Europska agencija za pomorsku sigurnost (EMSA) | Decentralizirana agencija |
Europska agencija za lijekove (EMA) | Decentralizirana agencija |
Europski centar za praćenje droga i ovisnosti o drogama (EMCDDA) | Decentralizirana agencija |
Agencija Europske unije za kibersigurnost (ENISA) | Decentralizirana agencija |
Agencija Europske unije za osposobljavanje u području izvršavanja zakonodavstva (CEPOL) | Decentralizirana agencija |
Europski policijski ured (Europol) | Decentralizirana agencija |
Agencija Europske unije za željeznice (ERA) | Decentralizirana agencija |
Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala (ESMA) | Decentralizirana agencija |
Europska zaklada za osposobljavanje (ETF) | Decentralizirana agencija |
Agencija Europske unije za temeljna prava (FRA) | Decentralizirana agencija |
Ured Europske unije za intelektualno vlasništvo (EUIPO) | Decentralizirana agencija |
Jedinstveni sanacijski odbor (SRB) | Decentralizirana agencija |
Agencija Europske unije za suradnju u kaznenom pravosuđu (Eurojust) | Decentralizirana agencija |
Prevoditeljski centar za tijela Europske unije (CdT) | Decentralizirana agencija |
Ured europskog javnog tužitelja (EPPO) | Decentralizirana agencija |
Europski institut za inovacije i tehnologiju (EIT) | Tijelo osnovano radi istraživanja i inovacija |
Zajedničko poduzeće za istraživanje o upravljanju zračnim prometom jedinstvenog europskog neba (SESAR) | Zajedničko poduzeće na temelju UFEU-a |
Zajedničko poduzeće za elektroničke komponente i sustave za vodeći položaj Europe (ECSEL) | Zajedničko poduzeće na temelju UFEU-a |
Zajedničko poduzeće za gorivne članke i vodik 2 (FCH2) | Zajedničko poduzeće na temelju UFEU-a |
Zajedničko poduzeće za inicijativu za inovativne lijekove 2 (IMI 2) | Zajedničko poduzeće na temelju UFEU-a |
Zajedničko poduzeće „Clean Sky 2” („Clean Sky 2”) | Zajedničko poduzeće na temelju UFEU-a |
Zajedničko poduzeće za zajedničku tehnološku inicijativu za bioindustriju (BBI) | Zajedničko poduzeće na temelju UFEU-a |
Zajedničko poduzeće za zajedničku tehnološku inicijativu „Shift2Rail” (S2R) | Zajedničko poduzeće na temelju UFEU-a |
Zajedničko poduzeće za europsko računalstvo visokih performansi (EuroHPC) | Zajedničko poduzeće na temelju UFEU-a |
Europsko zajedničko poduzeće za ITER – Fuzija za energiju (F4E) | Zajedničko poduzeće na temelju UFEU-a |
Savjetodavna misija Europske unije u Ukrajini (EUAM Ukraine) | Civilna misija (ZSOP) |
Savjetodavna misija EU-a za granice u Libiji (EUBAM Libya) | Civilna misija (ZSOP) |
Misija EU-a za izgradnju kapaciteta u Nigeru (EUCAP Sahel Niger) | Civilna misija (ZSOP) |
Promatračka misija EU-a u Gruziji (EUMM Georgia) | Civilna misija (ZSOP) |
Koordinacijski ured EU-a za potporu palestinskoj policiji (EUPOL COPPS) | Civilna misija (ZSOP) |
Savjetodavna misija EU-a u Srednjoafričkoj Republici (EUAM Central African Republic) | Civilna misija (ZSOP) |
Savjetodavna misija EU-a u Iraku (EUAM Iraq) | Civilna misija (ZSOP) |
Misija pomoći EU-a na graničnom prijelazu Rafah (EUBAM Rafah) | Civilna misija (ZSOP) |
Misija EU-a za izgradnju kapaciteta u Maliju (EUCAP Sahel Mali) | Civilna misija (ZSOP) |
Misija EU-a za izgradnju kapaciteta u Somaliji (EUCAP Somalia) | Civilna misija (ZSOP) |
Misija EU-a za uspostavu vladavine prava na Kosovu (EULEX Kosovo) | Civilna misija (ZSOP) |
Prilog II. – Dodatne informacije o ključnim međuinstitucijskim odborima
Međuinstitucijski odbor za digitalnu transformaciju (ICDT)
Odbor ICDT forum je za razmjenu informacija i poticanje suradnje u području IT-a. Osnovan je u svibnju 2020. kao zamjena za nekadašnji Comité Interinstitutionnel de l’Informatique (CII). ICDT se sastoji od voditelja IT službi u organima EU-a. Taj odbor ima podskupinu za kibersigurnost (ICDT CSSG) čija je uloga promicanje suradnje između organa EU-a u području kibersigurnosti i koja služi kao forum za razmjenu informacija.
Ovlasti odbora ICDT za donošenje odluka ograničene su na pitanja koja ne utječu na „način na koji institucije ispunjavaju svoju misiju” i ne „utječu na upravljačku strukturu unutar svake institucije”. Za odluke koje nadilaze njegovu nadležnost odbor ICDT može davati preporuke kolegiju glavnih tajnika institucija i tijela EU-a.
U skladu s mandatom tog odbora njegovi su članovi predstavnici svake institucije i tijela EU-a te po jedan predstavnik kojeg imenuju agencije EU-a (odbor ICTAC). Odborom ICDT trenutačno predsjeda Glavno tajništvo Vijeća.
Podskupina odbora ICDT za kibersigurnost (ICDT CSSG)
Skupina ICDT CSSG u svojem je trenutačnom sastavu osnovana u rujnu 2020. kao zamjena za stalnu sigurnosnu podskupinu bivšeg odbora CII. U usporedbi sa svojim prethodnikom, skupina ICDT CSSG ima strukturiraniji i ambiciozniji pristup koji je usmjeren na rezultate. Njezine aktivnosti provode radne skupine (RS) koje se redovito sastaju i usredotočene su na ključna zajednička pitanja:
- RS1 „Zajednički standardi, komparativna analiza i stupanj razvoja”
- RS2 „Metode, alati i ugovori povezani sa platformama za suradnju”
- RS3 „Sigurnost u digitalnom oblaku”
- RS4 „Razvoj vještina u području kibersigurnosti”
- RS5 „Osviještenost o kibersigurnosti”
- RS6 „Sigurnost videokonferencija”
U skladu s mandatom skupine CSSG, njezino je tajništvo odgovorno za redovito praćenje napretka aktivnosti radnih skupina i izvješćivanje o njemu. Redovito podnosi izvješća predsjedatelju i zamjeniku predsjedatelja podskupine odbora ICDT za kibersigurnost te redovito prikuplja informacije od koordinatora radne skupine. Na kraju svake godine skupina CSSG mora predstaviti i sažeto izvješće o radu.
Skupinom ICDT CSSG trenutačno predsjeda Komisija, a predstavnik odbora ICTAC zamjenik je predsjedatelja. Iako skupina CSSG nema ovlasti za donošenje odluka, može preporučiti odboru ICDT da donese odluke o relevantnim pitanjima.
Mreža agencija
Mreža agencija EU-a (EUAN) neformalna je mreža koju su 2012. uspostavili čelnici agencija EU-a. EUAN trenutačno obuhvaća 48 decentraliziranih agencija i zajedničkih poduzeća EU-a. Cilj je te mreže osigurati platformu za razmjenu i suradnju članova mreže u područjima od zajedničkog interesa. Savjetodavni odbor za IKT (ICTAC) podskupina je mreže EUAN zadužena za promicanje suradnje u području IKT-a, među ostalim u području kibersigurnosti.
Savjetodavni odbor za informacijske i komunikacijske tehnologije (ICTAC)
Odbor ICTAC promiče suradnju među agencijama i zajedničkim poduzećima u području IKT-a. Cilj mu je pronalaziti održiva i ekonomična rješenja za zajedničke probleme, razmjenjivati informacije i, prema potrebi, donositi zajednička stajališta. U skladu s mandatom odbora ICTAC, opće skupštine na kojima se okupljaju svi njegovi članovi održavaju se dvaput godišnje. Povrh toga održavaju se i redoviti mjesečni sastanci između predstavnika odbora ICTAC u radnim skupinama CSSG-a, predstavnika odbora ICTAC u skupini CSSG i ICTAC-ove „trojke”. Trojka okuplja sadašnje, prethodne i buduće predsjedatelje odbora ICTAC (svaki predsjedatelj obnaša tu dužnost u razdoblju od jedne godine). Uloga je trojke pružiti potporu sadašnjem predsjedatelju u svim pitanjima koja se odnose na njegovu ulogu, uključujući njegovu zamjenu u slučaju potrebe.
Pokrate i skraćeni nazivi
CERT-EU: tim za hitne računalne intervencije za organe EU-a
CSIRT: tim za odgovor na računalne sigurnosne incidente
ENISA: Agencija Europske unije za kibersigurnost
EUAN: mreža agencija Europske unije
EU-LISA: Europska agencija za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde
GU DIGIT: Glavna uprava za informatiku
GU HR: Glavna uprava za ljudske resurse i sigurnost
ICDT CSSG: podskupina za kibernetičku sigurnost u sklopu međuinstitucijskog odbora za digitalnu transformaciju
ICDT: međuinstitucijski odbor za digitalnu transformaciju
ICTAC: savjetodavni odbor za informacijsku i komunikacijsku tehnologiju
IKT: informacijska i komunikacijska tehnologija
ISACA: udruga za reviziju i kontrolu informacijskih sustava
ITCB: odbor za informacijsku tehnologiju i kibersigurnost
Organi EU-a: institucije, tijela i agencije Europske unije
Pojmovnik
Kiberprostor: globalno internetsko okruženje u kojem ljudi, softver i usluge komuniciraju preko mreža računala i drugih povezanih uređaja.
Kibersigurnost: mjere za zaštitu IT mreža i infrastrukture te u njima pohranjenih informacija od vanjskih prijetnji.
Kiberšpijunaža: čin ili praksa pribavljanja tajni i informacija s interneta, mreža ili pojedinačnih računala bez dopuštenja i znanja imatelja informacija.
Napredna postojana prijetnja: napad u kojem neovlašteni korisnik pristupa određenom sustavu ili mreži radi krađe osjetljivih podataka i zadržava se ondje tijekom duljeg razdoblja.
Penetracijsko testiranje: metoda procjene sigurnosti IT sustava pokušajem probijanja njegovih sigurnosnih zaštitnih mjera s pomoću alata i tehnika kojima se obično koriste napadači.
Phishing: slanje e-poruka koje naizgled dolaze iz pouzdanog izvora kako bi se primatelje obmanulo i navelo da otvore zlonamjerne poveznice ili otkriju osobne podatke.
Socijalni inženjering: pojam iz područja informacijske sigurnosti koji označava psihološku manipulaciju kojom se ljude obmanjuje i navodi na određenu radnju ili otkrivanje povjerljivih informacija.
Tim za hitne računalne intervencije za organe EU-a: središte za razmjenu informacija i koordinaciju odgovora na incidente čiji su klijenti („sastavnice”) institucije, tijela i agencije EU-a.
Vježba s „crvenim timom”: realistična simulacija kibernapada primjenom elementa iznenađenja i tehnika koje su nedavno zabilježene u stvarnom svijetu, s naglaskom na posebnim ciljevima i s pomoću višestrukih linija napada.
Odgovori Komisije
Odgovori tima CERT-EU i ENISA-e
Bilješke
3 Sud, pregled br. 2/2019: „Izazovi u pogledu djelotvornosti kibersigurnosne politike EU-a” (informativni dokument).
4 CERT-EU, „Threat Landscape Report”, lipanj 2021.
5 Ibid.
6 Ibid.
7 Ibid.
8 „Cyberattack on EMA – update 6”, 25.1.2021.
9 Tematsko izvješće Suda br. 22/2020: „Budućnost agencija EU-a – postoji prostor za veću fleksibilnost i bolju suradnju”, odlomak 1.
10 SL C 12, 13.1.2018. str. 1.
11 ENISA, „Threat Landscape 2020”, sektorska/tematska analiza prijetnji.
12 Direktiva (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije.
13 Prijedlog direktive o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije.
16 ISACA, „Certified Information System Auditor Review manual”, 2019.
17 Komunikacija Komisiji, digitalna strategija Europske komisije: „A digitally transformed, user-focused and data-driven Commission”, C(2018) 7118 final, 21.11.2018.
18 ISO/IEC norma 27 000:2018, poglavlje 5.
19 „COBIT 5 for Information Security”, odjeljak 4.2.
20 Vidjeti primjerice ISO/IEC 27 000:2018, odjeljak 4.5.
21 ENISA, „Threat Landscape 2020”, sektorska/tematska analiza prijetnji.
22 Skup kontrola koje proizlaze iz CIS kontrola br. 7.1., odnosno okvira najboljih praksi koje je utvrdio Centar za internetsku sigurnost.
23 Provedbena skupina br. 1 (IG1) CIS kontrola.
24 ISACA, „Auditing Cyber Security: Evaluating Risk and Auditing Controls”, 2017.
25 Odluka 2017/46 o sigurnosti komunikacijskih i informacijskih sustava u Europskoj komisiji.
26 Članak 7. međuinstitucijskog dogovora sklopljenog 20. prosinca 2017.
27 Europska komisija, „The European Commission Cloud Strategy”, 2019.
28 Zadaće ENISA-e navedene su u poglavlju II. (članci od 5. do 12.) Uredbe (EU) 2019/881.
29 Uredba (EU) br. 526/2013 Europskog parlamenta i Vijeća;; za zadaće ENISA-e na temelju te Uredbe vidjeti članak 3.
30 Članak 6. Uredbe (EU) 2019/881.
31 Članak 14. Akta o kibersigurnosti.
32 Članak 18. Akta o kibersigurnosti.
33 Priopćenje Europske komisije za medije: „Cyber security strengthened at EU institutions following successful pilot scheme”.
34 Članak 3. stavak 3. međuinstitucijskog dogovora sklopljenog 20. prosinca 2017.
35 Članak 3. stavak 2. međuinstitucijskog dogovora.
36 Uvodna izjava 7. međuinstitucijskog dogovora.
37 EGSO i OR broje se kao jedan organ EU-a.
Kontakt
EUROPSKI REVIZORSKI SUD
12, rue Alcide De Gasperi
1615 Luxembourg
LUKSEMBURG
Tel.: +352 4398-1
Upiti: eca.europa.eu/hr/Pages/ContactForm.aspx
Internetske stranice: eca.europa.eu
Twitter: @EUAuditors
Više informacija o Europskoj uniji dostupno je na internetu (https://europa.eu).
Luxembourg: Ured za publikacije Europske unije, 2022
ISBN 978-92-847-7613-9 | ISSN 2315-2230 | doi:10.2865/48343 | QJ-AB-22-003-HR-N | |
HTML | ISBN 978-92-847-7591-0 | ISSN 2315-2230 | doi:10.2865/985615 | QJ-AB-22-003-HR-Q |
AUTORSKA PRAVA
© Europska unija, 2022.
Politika Europskog revizorskog suda (Sud) o ponovnoj uporabi sadržaja utvrđena je u Odluci Suda br. 6-2019 o politici otvorenih podataka i ponovnoj uporabi dokumenata.
Osim ako je drukčije navedeno (npr. u pojedinačnim napomenama o autorskim pravima), sadržaj Suda koji je u vlasništvu EU-a ima dozvolu Creative Commons Attribution 4.0 International (CC BY 4.0). Stoga je opće pravilo da je ponovna uporaba dopuštena pod uvjetom da se na odgovarajući način navede izvor i naznače eventualne promjene. Osoba koja ponovno upotrebljava sadržaj Suda ne smije izmijeniti izvorno značenje ili poruku. Sud ne snosi odgovornost za posljedice ponovne uporabe.
Ako određeni sadržaj prikazuje osobe čiji je identitet moguće utvrditi, npr. u slučaju fotografija koje prikazuju osoblje Suda, ili ako uključuje djela trećih strana, potrebno je zatražiti dodatno dopuštenje.
U slučaju dobivanja takvog dopuštenja njime se poništava i zamjenjuje prethodno opisano opće dopuštenje i jasno se navode sva ograničenja koja se primjenjuju na uporabu tog sadržaja.
Za uporabu ili reprodukciju sadržaja koji nije u vlasništvu EU-a dopuštenje se po potrebi mora zatražiti izravno od nositelja autorskih prava:
Softver ili dokumenti na koje se primjenjuju prava industrijskog vlasništva, kao što su patenti, žigovi, registrirani dizajn, logotipi i nazivi, nisu obuhvaćeni politikom Suda o ponovnoj uporabi sadržaja.
Na internetskim stranicama institucija Europske unije unutar domene europa.eu dostupne su poveznice na internetske stranice trećih strana. Sud nema nikakvu kontrolu nad njihovim sadržajem te je stoga preporučljivo da provjerite njihove politike zaštite osobnih podataka i autorskih prava.
Upotreba logotipa Suda
Logotip Suda ne smije se upotrebljavati bez prethodne suglasnosti Suda.
KONTAKT S EU-om
Osobno
U cijeloj Europskoj uniji postoje stotine informacijskih centara Europe Direct. Adresu najbližeg centra možete pronaći na: https://europa.eu/european-union/contact_hr
Telefonom ili e-poštom
Europe Direct je služba koja odgovara na vaša pitanja o Europskoj uniji. Možete im se obratiti:
- na besplatni telefonski broj: 00 800 6 7 8 9 10 11 (neki operateri naplaćuju te pozive),
- na broj: +32 22999696 ili
- e-poštom preko: https://europa.eu/european-union/contact_hr
TRAŽENJE INFORMACIJA O EU-u
Na internetu
Informacije o Europskoj uniji na svim službenim jezicima EU-a dostupne su na internetskim stranicama Europa: https://europa.eu/european-union/index_hr
Publikacije EU-a
Besplatne publikacije EU-a i publikacije EU-a koje se plaćaju možete preuzeti ili naručiti preko internetske stranice: https://op.europa.eu/hr/publications. Za više primjeraka besplatnih publikacija obratite se službi Europe Direct ili najbližemu informacijskom centru (vidjeti https://europa.eu/european-union/contact_hr).
Zakonodavstvo EU-a i povezani dokumenti
Za pristup pravnim informacijama iz EU-a, uključujući cjelokupno zakonodavstvo EU-a od 1951. na svim službenim jezičnim verzijama, posjetite internetske stranice EUR-Lexa: http://eur-lex.europa.eu
Otvoreni podatci iz EU-a
Portal otvorenih podataka EU-a (http://data.europa.eu/hr) omogućuje pristup podatkovnim zbirkama iz EU-a. Podatci se mogu besplatno preuzimati i ponovno uporabiti u komercijalne i nekomercijalne svrhe.