ES institucijų, įstaigų ir agentūrų kibernetinis saugumas: Parengties lygis iš esmės neatitinka grėsmių
Apie šią ataskaitąKibernetinių išpuolių prieš ES institucijas, įstaigas ir agentūras (EUIBA) skaičius smarkiai didėja. Kadangi EUIBA yra glaudžiai tarpusavyje susijusios, dėl vienos iš jų trūkumų gali kilti grėsmių kitų EUIBA saugumui. Tikrinome, ar EUIBA turi tinkamų priemonių apsisaugoti nuo kibernetinių grėsmių. Nustatėme, kad EUIBA parengties lygis iš esmės neatitinka grėsmių ir kad jų kibernetinio saugumo brandos lygiai labai skiriasi. Rekomenduojame Komisijai pagerinti EUIBA parengtį siūlant nustatyti privalomas kibernetinio saugumo taisykles ir padidinti Kompiuterinių incidentų tyrimo tarnybos (CERT-EU) išteklius. Komisija taip pat turėtų skatinti tolesnę EUIBA sąveiką, o CERT-EU ir Europos Sąjungos kibernetinio saugumo agentūra savo paramą turėtų sutelkti į mažiau brandžias EUIBA.
Audito Rūmų specialioji ataskaita pagal SESV 287 straipsnio 4 dalies antrą pastraipą.
Santrauka
I ES kibernetinio saugumo akte kibernetinis saugumas apibrėžiamas kaip „veikla, būtina tinklų ir informacinėms sistemoms, tokių sistemų naudotojams ir kitiems susijusiems asmenims apsaugoti nuo kibernetinių grėsmių“. Dėl savo tvarkomos neskelbtinos informacijos ES institucijos, įstaigos ir agentūros (EUIBA) yra patrauklūs taikiniai galimiems išpuolių vykdytojams, ypač grupėms, galinčioms vykdyti labai sudėtingus slaptus išpuolius kibernetinio šnipinėjimo ir kitais tikslais. Nepaisant savo institucinio nepriklausomumo ir administracinio savarankiškumo, EUIBA yra glaudžiai tarpusavyje susijusios. Todėl atskirų EUIBA trūkumai gali kelti grėsmių kitų EUIBA saugumui.
II Atsižvelgiant į tai, kad kibernetinių išpuolių prieš EUIBA skaičius sparčiai auga, šio audito tikslas buvo nustatyti, ar EUIBA apskritai nustatė tinkamas apsaugos nuo kibernetinių grėsmių priemones. Darome išvadą, kad EUIBA bendruomenė nepasiekė tokio kibernetinės parengties lygio, kuris atitiktų grėsmes.
III Nustatėme, kad pagrindinė geriausioji kibernetinio saugumo praktika ne visada buvo įgyvendinama, įskaitant kai kurias esmines kontrolės priemones, ir kai kurios EUIBA akivaizdžiai neišnaudoja pakankamai lėšų kibernetiniam saugumui užtikrinti. Kai kuriose EUIBA dar nėra patikimo kibernetinio saugumo valdymo: IT saugumo strategijų daugeliu atvejų trūksta arba jų nepatvirtina vyresnioji vadovybė, saugumo politika ne visada įforminama, o rizikos vertinimai neapima visos IT aplinkos. Ne visų EUIBA kibernetiniam saugumui reguliariai taikomas nepriklausomas patikinimas.
IV Kibernetinio saugumo mokymai ne visada sistemingi. Šiek tiek daugiau nei pusė EUIBA rengia nuolatinius kibernetinio saugumo mokymus IT darbuotojams ir IT saugumo specialistams. Tik nedaugelis EUIBA rengia privalomus kibernetinio saugumo mokymus vadovams, atsakingiems už IT sistemas, kuriose yra neskelbtinos informacijos. Duomenų viliojimo pratybos yra svarbi darbuotojų mokymo ir informuotumo didinimo priemonė, tačiau ne visos EUIBA jas naudoja sistemingai.
V Nors EUIBA sukūrė bendradarbiavimo ir keitimosi informacija kibernetinio saugumo srityje struktūras, pažymėjome, kad galima sąveika nėra visapusiškai išnaudojama. EUIBA tarpusavyje nesistemingai dalijasi informacija apie su kibernetiniu saugumu susijusius projektus, saugumo vertinimus ir paslaugų sutartis. Be to, pagrindinės ryšių priemonės, pavyzdžiui, šifruotas e. paštas arba vaizdo konferencijų sprendimai nėra visiškai sąveikūs. Tai gali lemti mažiau saugų keitimąsi informacija, pastangų dubliavimąsi ir didesnes išlaidas.
VI EUIBA kompiuterinių incidentų tyrimo tarnyba (CERT-EU) ir Europos Sąjungos kibernetinio saugumo agentūra (ENISA) yra du pagrindiniai subjektai, kuriems pavesta remti EUIBA kibernetinio saugumo srityje. Tačiau dėl to, kad ištekliai yra riboti arba pirmenybė teikiama kitoms sritims, jos negalėjo suteikti EUIBA visos reikiamos paramos, visų pirma susijusios su mažiau brandžių EUIBA gebėjimų stiprinimu. Nors EUIBA labai vertina CERT-EU, jos veiksmingumui kenkia didėjantis darbo krūvis, nestabilus finansavimas ir darbuotojų skaičius, taip pat nepakankamas kai kurių EUIBA bendradarbiavimas, nes jos ne visada laiku dalijasi informacija apie pažeidžiamumą ir reikšmingus kibernetinio saugumo incidentus, kurie joms turėjo įtakos arba kurie gali paveikti kitas EUIBA.
VII Remdamiesi šiomis išvadomis, rekomenduojame, kad:
- Komisija pagerintų EUIBA kibernetinę parengtį, pateikdama pasiūlymą dėl teisėkūros procedūra priimamo akto, kuriuo būtų nustatytos bendros privalomos kibernetinio saugumo taisyklės visoms EUIBA ir daugiau išteklių būtų skirta CERT-EU;
- Komisija, atsižvelgdama į Tarpinstitucinio skaitmeninės transformacijos komiteto darbą, skatintų tolesnę EUIBA sąveiką pasirinktose srityse;
- CERT-EU ir ENISA daugiau dėmesio skirtų EUIBA, kurios kibernetinio saugumo srityje yra mažiau brandžios.
Įvadas
Kas yra kibernetinis saugumas?
01 ES kibernetinio saugumo akte1 kibernetinis saugumas apibrėžiamas kaip „veikla, būtina tinklų ir informacinėms sistemoms, tokių sistemų naudotojams ir kitiems susijusiems asmenims apsaugoti nuo kibernetinių grėsmių“. Kibernetinis saugumas priklauso nuo informacijos saugumo, t. y. fizinės ar elektroninės informacijos2 konfidencialumo, vientisumo ir prieinamumo užtikrinimo. Be to, tinklų ir informacinių sistemų, kuriuose tokia informacija saugoma, apsauga vadinama informacinių technologijų (IT) saugumu (žr. 1 diagramą).
02 Kibernetinis saugumas, kaip disciplina, apima kibernetinių incidentų nustatymą, prevenciją, aptikimą, reagavimą į juos ir atsigavimą po jų. Incidentai gali būti įvairūs, pavyzdžiui, nuo atsitiktinio informacijos atskleidimo iki išpuolių, kuriais siekiama pakenkti ypatingos svarbos infrastruktūrai, ir iki tapatybės ir asmens duomenų vagystės3.
03 Kibernetinio saugumo sistemą sudaro daug elementų, įskaitant tinklų ir informacinių sistemų saugumo reikalavimus ir techninę kontrolę, taip pat tinkamą valdymo tvarką ir darbuotojams skirtas kibernetinio informuotumo programas.
Kibernetinis saugumas ES institucijose, įstaigose ir agentūrose
04 ES institucijos, įstaigos ir agentūros (EUIBA) dėl jose tvarkomos slaptos informacijos yra patrauklūs taikiniai potencialiems išpuolių vykdytojams, ypač grupėms, galinčioms vykdyti itin sudėtingas ir slaptas atakas (kurios yra vadinamos pažangiosiomis nuolatinėmis grėsmėmis) kibernetinio šnipinėjimo ir kitais tikslais4. Sėkmingi kibernetiniai išpuoliai prieš EUIBA gali turėti didelių politinių pasekmių, pakenkti bendrai ES reputacijai ir pasitikėjimui jos institucijomis.
05 COVID-19 pandemija privertė EUIBA, kaip ir daugelį kitų organizacijų visame pasaulyje, staiga paspartinti skaitmeninę transformaciją ir pradėti dirbti nuotoliniu būdu. Tai gerokai padidino potencialių išpuolių vykdytojų prieigos taškų skaičių (spraga išpuoliui), išplečiant kiekvienos organizacijos perimetrą iki prie interneto prijungtų namų ir mobiliųjų įrenginių, kuriuose galima išnaudoti naujas silpnąsias vietas. Nuotolinės prieigos paslaugos yra vienas iš dažniausiai pasitaikančių būdų, kuriais grupės, veikiančios prieš EUIBA naudodamosi pažangiosiomis nuolatinėmis grėsmėmis, gauna pirminę prieigą prie jų tinklų5.
06 Kibernetinių incidentų skaičius didėja, o ypač didelį rūpestį kelianti tendencija yra ta, kad smarkiai padaugėjo reikšmingų incidentų, darančių poveikį EUIBA6. 2021 m. buvo pasiektas rekordinis jų skaičius. Reikšmingi incidentai – tai incidentai, kurie nėra nei pasikartojantys, nei esminiai. Paprastai jie susiję su naujų metodų ir technologijų naudojimu. Gali prireikti savaičių, jei ne mėnesių, kad jie būtų ištirti ir būtų nuo jų atsigauta. 2018–2021 m. reikšmingų incidentų padaugėjo daugiau nei dešimt kartų7. Vien per pastaruosius dvejus metus bent 22 pavienės EUIBA nukentėjo nuo reikšmingų incidentų. Vienas iš naujausių pavyzdžių buvo kibernetinis išpuolis prieš Europos vaistų agentūrą, kai neskelbtini duomenys buvo nutekinti ir manipuliuojami taip, kad būtų pakenkta pasitikėjimui vakcinomis8.
07 EUIBA yra labai nevienalytė grupė, kurią sudaro institucijos, agentūros ir įvairios įstaigos. Septynios ES institucijos įsteigtos sutartimis. Kita vertus, ES decentralizuotos agentūros ir kitos įstaigos įsteigtos antrinės teisės aktais ir yra atskiri juridiniai asmenys. Yra įvairių teisinių agentūrų tipų: šešios Komisijos vykdomosios įstaigos ir 37 ES decentralizuotos agentūros9. EUIBA taip pat apima ES biurus, diplomatinį korpusą (Europos išorės veiksmų tarnybą), bendrąsias įmones ir kitas įstaigas. Kiekviena EUIBA yra atsakinga už savo kibernetinio saugumo reikalavimų nustatymą ir savo saugumo priemonių įgyvendinimą.
08 Siekdama sustiprinti EUIBA kibernetinį saugumą, 2012 m. Komisija įsteigė EUIBA kompiuterinių incidentų tyrimo tarnybą (CERT-EU) kaip nuolatinę specialios paskirties grupę. CERT-EU veikia kaip EUIBA kibernetinio saugumo informacijos mainų ir reagavimo į incidentus koordinavimo centras ir bendradarbiauja su kitomis reagavimo į kompiuterių saugumo incidentus tarnybomis (CSIRT) valstybėse narėse ir specializuotomis IT saugumo bendrovėmis. Šiuo metu CERT-EU darbo organizavimas ir veikla reglamentuojami 2018 m. tarpinstituciniu susitarimu10, sudarytu tarp jos aptarnaujamų EUIBA, dar vadinamų jos sudedamosiomis dalimis. Šiuo metu yra 87 sudedamosios dalys.
09 Kita svarbi veikėja, remianti EUIBA, yra Europos Sąjungos kibernetinio saugumo agentūra (ENISA), kurios tikslas – užtikrinti aukštą bendrą kibernetinio saugumo lygį visoje ES. 2004 m. įsteigtos ENISA misija – didinti informacinių ir ryšių technologijų (IRT) produktų, procesų ir paslaugų patikimumą taikant kibernetinio saugumo sertifikavimo schemas, bendradarbiauti su EUIBA ir valstybėmis narėmis ir padėti joms pasirengti kibernetinėms grėsmėms. ENISA padeda EUIBA stiprinti gebėjimus ir operatyvinį bendradarbiavimą.
10 Nepaisant institucinės nepriklausomybės, EUIBA yra glaudžiai tarpusavyje susijusios. Jos kasdien keičiasi informacija ir dalijasi keliomis bendromis sistemomis ir tinklais. Atskirų EUIBA trūkumai gali kelti grėsmes kitų EUIBA saugumui, nes daugeliui kibernetinių išpuolių reikia daugiau nei vieno žingsnio, kad būtų pasiektas jų tikslas arba galutinis taikinys11. Sėkmingas išpuolis prieš silpnesnę EUIBA gali būti naudojamas kaip atspirties taškas kitoms EUIBA. EUIBA taip pat yra tarpusavyje susijusios su valstybių narių viešosiomis ir privačiomis organizacijomis ir, jei jos nėra pakankamai pasirengusios kibernetiniams išpuoliams, šioms organizacijoms taip pat gali kilti kibernetinių grėsmių.
11 Šiuo metu EUIBA neturi informacijos saugumo ir kibernetinio saugumo teisinės sistemos. Joms netaikomi nei plačiausi ES teisės aktai dėl kibernetinio saugumo, nei 2016 m. TIS direktyva12, nei siūloma jos peržiūra, t. y. TIS2 direktyva13. Taip pat nėra išsamios informacijos apie sumą, kurią EUIBA išleido kibernetiniam saugumui užtikrinti.
12 2020 m. liepos mėn. Komisija paskelbė komunikatą dėl 2020–2025 m. ES saugumo sąjungos strategijos14. Jos pagrindiniai veiksmai apima „visoms EUIBA taikomas bendras informacijos saugumo ir kibernetinio saugumo taisykles“. Šia nauja sistema siekiama paremti tvirtą ir efektyvų operatyvinį bendradarbiavimą, daugiausia dėmesio skiriant CERT-EU vaidmeniui. 2020 m. gruodžio mėn. paskelbtoje Europos Sąjungos skaitmeninio dešimtmečio kibernetinio saugumo strategijoje15 Komisija įsipareigojo pasiūlyti reglamentą dėl bendrų kibernetinio saugumo taisyklių visoms EUIBA. Ji taip pat pasiūlė sukurti naują CERT-EU teisinį pagrindą, kad būtų sustiprinti jos įgaliojimai ir finansavimas.
Audito apimtis ir metodas
13 Atsižvelgiant į tai, kad kibernetinių išpuolių skaičius smarkiai didėja, o vienos EUIBA trūkumai gali kelti grėsmes kitų EUIBA saugumui, šio audito tikslas buvo nustatyti, ar EUIBA apskritai nustatė tinkamas apsaugos nuo kibernetinių grėsmių priemones. Siekdami atsakyti į svarbiausią audito klausimą, nagrinėjome šiuos tris smulkesnius klausimus:
- ar visose EUIBA taikoma pagrindinė kibernetinio saugumo praktika?
- Ar EUIBA efektyviai bendradarbiauja kibernetinio saugumo srityje?
- Ar ENISA ir CERT-EU teikia tinkamą paramą EUIBA kibernetinio saugumo srityje?
14 Audito laikas suderintas su ES saugumo sąjungos strategija. Įvertindami dabartinę EUIBA kibernetinio saugumo tvarką, siekiame nustatyti tobulintinas sritis, į kurias Komisija gali atsižvelgti rengdama pasiūlymą dėl teisėkūros procedūra priimamo akto dėl bendrų privalomų kibernetinio saugumo taisyklių visoms EUIBA.
15 Auditas apėmė kibernetinio saugumo srities pokyčius ir iniciatyvas nuo 2018 m. sausio mėn. (kai buvo sudarytas CERT-EU tarpinstitucinis susitarimas) iki 2021 m. spalio mėn.
16 Savo audito apimtį apribojome kibernetiniu atsparumu ir neįslaptintomis sistemomis. Daugiausia dėmesio skyrėme pasirengimo aspektams (veiklai, atitinkančiai nustatymą, apsaugą, aptikimą). Reagavimas ir atkūrimas nepateko į audito apimtį. Tačiau išnagrinėjome kai kuriuos reagavimo į incidentus organizacinius elementus. Be to, duomenų apsaugos, teisėsaugos, kibernetinės gynybos ir kibernetinės diplomatijos aspektai nepatenka į audito apimtį (žr. 2 diagramą).
17 Mūsų audito metu nustatyti faktai grindžiami išsamia turimų dokumentų analize, papildyta interviu. Atlikome įsivertinimo apklausą, kurioje dalyvavo 65 EUIBA, kad surinktume informaciją apie jų kibernetinio saugumo priemones ir nuomones apie institucijų bendradarbiavimą. Apklausėme visas EUIBA, kurioms taikomos Audito Rūmų audito teisės ir kurios valdo savo pačių IT infrastruktūrą, taip pat mūsų pačių instituciją. Tai – institucijos, decentralizuotos agentūros, bendrosios įmonės ir įstaigos. Taip pat ištyrėme civilines misijas, kurios yra laikini autonominiai subjektai, finansuojami iš ES biudžeto ir nepriklausomi IT aspektu. I priede pateiktas išsamus apklaustų EUIBA sąrašas. Europos ombudsmenas ir Europos duomenų apsaugos priežiūros pareigūnas nebuvo įtraukti į šio audito apimtį.
18 Atliekant apklausą gauta 100 % atsakymų. Tai buvo atspirties taškas tolesnei analizei. Be to, sudarėme EUIBA nevienalytiškumą atspindinčią septynių EUIBA imtį ir, atsižvelgdami į jų atsakymus, surengėme interviu ir paprašėme pateikti dokumentus. Atrankos kriterijai, į kuriuos atsižvelgėme, buvo šie: teisinis pagrindas, dydis (susijęs su darbuotojų skaičiumi ir biudžetu) ir sektorius. EUIBA imtį sudarė Europos Komisija, Europos Parlamentas, ES kibernetinio saugumo agentūra (ENISA), Europos bankininkystės institucija (EBI), Europos jūrų saugumo agentūra (EMSA), ES patariamoji misija Ukrainoje (EUAM Ukraine) ir Naujoviškų vaistų iniciatyvos bendroji įmonė (NVI BĮ).
19 Taip pat surengėme vaizdo susitikimus su CERT-EU, Agentūros tinklo IRT patariamuoju komitetu (ICTAC), Tarpinstituciniu skaitmeninės transformacijos komitetu (ICDT) ir kitais atitinkamais suinteresuotaisiais subjektais.
Pastabos
EUIBA kibernetinio saugumo brandos lygiai labai skiriasi, be to, jos ne visada laikosi gerosios patirties
20 Šiame skirsnyje nagrinėjamos atskiros EUIBA priemonės ir kibernetinio saugumo sistemos. Vertinome, ar jos nuosekliai ir tinkamai sprendžia kibernetinio saugumo klausimus, susijusius su IT saugumo valdymu, rizikos valdymu, išteklių paskirstymu, sąmoningumo ugdymu, kontrole ir nepriklausomu patikinimu.
IT saugumo valdymas EUIBA dažnai nėra gerai išvystytas, o rizikos vertinimai nėra išsamūs
Daugelyje EUIBA yra IT saugumo valdymo spragų
21 Veiksmingoje informacijos ir IT sistemų saugumo sistemoje labai svarbus vaidmuo tenka geram valdymui, nes juo apibrėžiami organizacijos tikslai ir nustatoma kryptis įvardijant prioritetus ir priimant sprendimus. Informacinių sistemų audito ir kontrolės asociacijos (ISACA)16 teigimu, IT saugumo valdymo sistemą paprastai turėtų sudaryti keli elementai:
- išsami saugumo strategija, neatsiejamai susijusi su veiklos tikslais;
- reglamentuojama saugumo politika, susijusi su kiekvienu strategijos, kontrolės ir reguliavimo aspektu;
- išsamus kiekvienos politikos standartų rinkinys, kuriame aprašomi veiklos etapai, būtini, kad būtų laikomasi politikos;
- institucionalizuoti stebėsenos procesai, kuriais siekiama užtikrinti atitiktį ir teikti grįžtamąją veiksmingumo informaciją;
- veiksminga organizacinė struktūra be interesų konfliktų.
22 Daugelyje EUIBA nustatėme IT saugumo valdymo trūkumų. Tik 58 % EUIBA (38 iš 65) turi valdybos / vyresniosios vadovybės lygmeniu patvirtintą IT saugumo strategiją arba bent IT saugumo planą. Paskirstymas pagal EUIBA tipą rodo, kad civilinių misijų ir decentralizuotų agentūrų (kurios kartu sudaro 71 % apklaustų EUIBA) procentinė dalis yra mažiausia (žr. 1 lentelę). Neturint IT saugumo strategijos arba IT saugumo plano, patvirtinto vyresniosios vadovybės lygmeniu, kyla rizika, kad aukščiausioji vadovybė nežinos apie IT saugumo problemas arba joms nebus skiriami pakankami prioritetai.
1 lentelė. EUIBA, turinčių vyresniosios vadovybės patvirtintą IT saugumo strategiją arba planą, procentinė dalis
Pasiskirstymas pagal darbuotojų skaičių
< 100 darbuotojų
(22 EUIBA) |
100-249 darbuotojų
(17 EUIBA) |
250-1 000 darbuotojų
(16 EUIBA) |
> 1 000 darbuotojų
(10 EUIBA) |
---|---|---|---|
45 % | 53 % | 69 % | 80 % |
Pasiskirstymas pagal EUIBA rūšį
Decentralizuotos agentūros
(35 EUIBA) |
Civilinės misijos
(11 EUIBA) |
Įstaigos
(4 EUIBA) |
Institucijos
(6 EUIBA) |
Bendrosios įmonės
(9 EUIBA) |
---|---|---|---|---|
45 % | 56 % | 75 % | 83 % | 89 % |
Šaltinis: Audito Rūmų apklausa.
23 Patikrinome septynių į imtį įtrauktų EUIBA pateiktas IT saugumo strategijas / planus (žr. 18 dalį). Nustatėme, kad EUIBA strategijos yra pakankamai gerai susijusios su jų veiklos tikslais. Pavyzdžiui, Komisijos IT saugumo strategija apima Europos Komisijos skaitmeninės strategijos17 IT saugumo aspektą ir yra skirta jos veiksmų planui ir tikslams paremti. Tačiau tik trys į mūsų imtį įtrauktos EUIBA į savo IT saugumo strategijas / planus įtraukė konkrečius tikslus ir jų įgyvendinimo terminus.
24 Pagal saugumo politiką nustatomos taisyklės ir procedūros, kurių turi laikytis asmenys, naudojantys arba valdantys informaciją ir IT išteklius. Jos padeda mažinti kibernetinio saugumo rizikos rūšis ir informuoti, ką daryti incidentų atveju. Nustatėme, kad 78 % EUIBA turi oficialią informacijos saugumo politiką ir tik 60 % – oficialią IT saugumo politiką (informacijos ir IT saugumo apibrėžtys pateiktos 1 diagramoje). Taip pat nustatėme, kad keturios iš septynių į mūsų imtį įtrauktų EUIBA turi saugumo politiką, atitinkančią jų IT saugumo strategijas. Tačiau trijose iš šių keturių EUIBA IT saugumo politika tik iš dalies papildoma naujausiais išsamiais saugumo standartais, kuriuose aprašomi veiklos etapai, būtini politikai įgyvendinti. Dėl oficialių saugumo standartų stygiaus didėja rizika, kad IT saugumo klausimai nebus tinkamai ir nuosekliai sprendžiami toje pačioje EUIBA. Be to, dėl to sunkiau įvertinti, ar organizacija laikosi savo IT saugumo politikos. Iš septynių į imtį įtrauktų EUIBA tik Komisija turi struktūruotas procedūras, skirtas stebėti, kaip laikomasi jos IT saugumo politikos ir standartų, nors jas taiko tik ribotas generalinių direktoratų (GD) skaičius (žr. 1 langelį).
IT saugumo reikalavimų laikymasis Komisijoje
Pagal Komisijos decentralizuotą IT valdymą, kiekvieno generalinio direktorato vadovas yra paslaugų savininkas, atsakingas ir atskaitingas už tai, kad generalinio direktorato sistemos atitiktų IT saugumo standartus. Informatikos generalinis direktoratas (DIGIT GD) ir Žmogiškųjų išteklių ir saugumo generalinis direktoratas (Žmogiškųjų išteklių ir saugumo GD) stebi ir padeda įgyvendinti atitikties valdymo praktiką. DIGIT GD sukūrė priemonę (žinomą kaip GRC), kuria naudodamiesi generaliniai direktoratai gali įvertinti savo atitiktį IT saugumo politikos kontrolės priemonėms ir apie tai pranešti.
580 kontrolės priemonių yra suskirstytos į tris grupes: bendrosios kontrolės priemonės (daugiausia valdymo), GD speciali kontrolė ir konkrečios sistemos kontrolės priemonės. Ši priemonė yra veiksminga, tačiau iki šiol ja naudojasi tik penki GD. Todėl Informatikos GD neturi visos Komisijos atitikties apžvalgos. Tačiau Komisijos informacinių technologijų ir kibernetinio saugumo valdyba (ITCB) gali paprašyti Informatikos GD ištirti atitiktį konkrečiam standartui (pavyzdžiui, 2021 m. nustatyti daugelio veiksnių autentiškumo patvirtinimą) ir pateikti neprivalomas nuomones ir rekomendacijas, o kritinės rizikos atveju – ir formalius reikalavimus.
25 Kitas svarbus gero kibernetinio saugumo valdymo elementas – vyriausiojo informacijos saugumo pareigūno (CISO) paskyrimas. Nors pagal ISO 27000 standartų rinkinį18 to nėra aiškiai reikalaujama, CISO ar lygiavertės pareigos tapo plačiai paplitusia praktika organizacijose ir yra įtraukta į ISACA gaires. Paprastai bendra atsakomybė už organizacijos informacijos ir IT saugumo programas tenka CISO. Siekiant išvengti interesų konflikto, CISO turėtų būti tam tikru mastu nepriklausomas nuo IT funkcijos / departamento19.
26 Mūsų apklausos duomenimis, 60 % EUIBA nėra paskyrusios nepriklausomo CISO ar lygiavertes pareigas užimančio asmens. Net ir tuo atveju, kai paskiriami CISO (arba jiems lygiaverčiai asmenys), jų funkcijos skirtingose EUIBA labai skiriasi ir jos suprantamos skirtingai. Ypač mažose ir vidutinėse EUIBA CISO paprastai siejamas su labiau operaciniu vaidmeniu, o ne funkciniu požiūriu nepriklausomu nuo IT departamento.
Tai gali apriboti CISO savarankiškumą įgyvendinti savo saugumo prioritetus. ENISA šiuo metu rengia ES kibernetinio saugumo įgūdžių sistemą, kuria, be kita ko, siekiama užtikrinti bendrą pareigų, kompetencijų ir įgūdžių supratimą.
EUIBA IT saugumo rizikos vertinimai daugiausia neapima visos jų IT aplinkos
27 Visuose tarptautiniuose IT saugumo standartuose pabrėžiama, kad svarbu nustatyti tinkamą IT sistemoms ir jose esantiems duomenims keliamų saugumo rizikos rūšių vertinimo ir valdymo metodą. Rizikos vertinimai turėtų būti atliekami periodiškai, siekiant atsižvelgti į organizacijos informacijos saugumo reikalavimų pokyčius ir rizikos rūšis, su kuriomis ji susiduria20. Atlikus vertinimą turėtų būti parengtas rizikos mažinimo planas (arba IT saugumo planas).
28 Dauguma apklaustų EUIBA (58 iš 65) nurodė, kad laikosi sistemos ar metodikos savo IT sistemų rizikos vertinimams atlikti. Tačiau visose EUIBA bendros metodikos nėra. Bent 26 EUIBA iš dalies arba visiškai naudojasi Komisijos parengtomis priemonėmis, visų pirma 31 % EUIBA naudojo 2018 m. IT saugumo rizikos valdymo metodiką (ITSRM2). Kitos taiko metodikas, pagrįstas gerai žinomais pramonės standartais (pavyzdžiui, ISO27001, ISO27005, Nacionalinio standartų ir technologijų instituto kibernetinio saugumo sistema (NIST-CSF) arba Interneto saugumo centro (CIS) kontrolės priemonėmis) arba naudoja kitas vidaus metodikas.
29 Iš septynių į imtį įtrauktų EUIBA tik dvi atlieka išsamius rizikos vertinimus, apimančius visą jų IT aplinką (t. y. visas jų IT sistemas). Dauguma atlieka tik svarbiausių IT sistemų individualius rizikos vertinimus. Nustatėme keletą rizikos vertinimų, atliktų prieš diegiant naujas sistemas, pavyzdžių. Tačiau neradome tolesnių rizikos vertinimų, susijusių, pavyzdžiui, su vėlesniais jų sistemų / infrastruktūros pakeitimais, įrodymų.
EUIBA netaiko nuoseklaus požiūrio į kibernetinį saugumą, o esminės kontrolės priemonės ne visada įdiegtos
Išteklių paskirstymas kibernetiniam saugumui įvairiose EUIBA labai skiriasi
30 Savo apklausoje paprašėme EUIBA pateikti visas 2020 m. IT išlaidas ir kibernetinio saugumo išlaidų sąmatą. Iš mūsų duomenų matyti, kad atskirų EUIBA kibernetiniam saugumui skirtų IT išlaidų procentinė dalis labai skiriasi. Tai pasakytina net apie panašaus dydžio EUIBA pagal darbuotojų skaičių. Kaip parodyta 3 diagramoje, skirtumai tarp EUIBA, kuriuose yra mažiau darbuotojų, paprastai būna ypač dideli.
31 Optimalų kibernetinio saugumo išlaidų lygį sunku įvertinti tiksliais skaičiais. Tai priklauso nuo daugelio veiksnių, pavyzdžiui, organizacijos spragos išpuoliui, tvarkomų duomenų opumo, rizikos profilio ir polinkio į riziką, taip pat nuo sektorinių teisinių / reguliavimo reikalavimų. Tačiau mūsų duomenys rodo, kad skirtumai yra esminiai, o to priežastys ne visada akivaizdžios. Kai kurios EUIBA kibernetinio saugumo srityje išleidžia kur kas mažiau nei panašaus dydžio subjektai, o tai gali reikšti, kad lėšos nepakankamai panaudojamos, jei joms kyla panašios grėsmės ir rizikos rūšys.
32 Dauguma EUIBA yra mažos ir vidutinės – tiek personalo, tiek IT išlaidų aspektu – du trečdaliai EUIBA turi mažiau nei 350 darbuotojų. Mažiausia EUIBA turi tik 15 darbuotojų. Mažesnėms EUIBA kibernetinio saugumo valdymas yra sudėtingesnis ir reikalauja daug išteklių. Daugeliu atvejų jos negali pasinaudoti masto ekonomija ir neturi pakankamai vidaus ekspertinių žinių. Remiantis mūsų apklausa ir interviu, didžiausios institucijos, pavyzdžiui, Komisija ir Europos Parlamentas, turi ekspertų grupes, kurios visą laiką valdo kibernetinį saugumą. Tačiau mažiausiose EUIBA, kuriose darbuotojai ir ištekliai yra ypač riboti, ekspertų apskritai nėra, o kibernetinį saugumą ne visą darbo dieną valdo IT srities darbuotojai. Kadangi EUIBA yra glaudžiai tarpusavyje susijusios, tai kelia didesnę riziką (taip pat žr. 10 dalį).
33 Atlikdami savo apklausą EUIBA klausėme, kokių pagrindinių sunkumų kilo įgyvendinant veiksmingą kibernetinio saugumo politiką jų organizacijose (žr. 4 diagramą). Didžiausias iššūkis yra tai, kad kibernetinio saugumo ekspertai yra riboti ištekliai ir daugeliui EUIBA juos sunku pritraukti dėl konkurencijos su privačiuoju sektoriumi ir kitomis EUIBA. Pasikartojančios problemos apima ilgas įdarbinimo procedūras, nekonkurencingas sutarčių sąlygas ir patrauklių karjeros perspektyvų stygių. Specialistų trūkumas kelia didelę riziką veiksmingam kibernetinio saugumo valdymui.
Dauguma EUIBA siūlo tam tikros formos informuotumo apie kibernetinį saugumą mokymą, tačiau jis nėra sistemingas ar tikslingas
34 Naudojimasis sistemų ir įrenginių pažeidžiamumu nėra vienintelis būdas potencialiems išpuolių vykdytojams padaryti žalos. Jie taip pat gali paskatinti naudotojus atskleisti neskelbtiną informaciją arba atsisiųsti kenkėjišką programinę įrangą, pavyzdžiui, vykdant duomenų viliojimą ar socialinę inžineriją. Darbuotojai yra kiekvienos organizacijos pirmosios gynybos linijos dalis. Todėl kibernetinis sąmoningumas ir mokymo programos yra vienas pagrindinių veiksmingos kibernetinio saugumo sistemos elementų.
35 Didžioji dauguma apklaustų EUIBA (95 %) rengia tam tikros formos bendruosius kibernetinio sąmoningumo mokymus visiems darbuotojams, tačiau trys iš jų to nedaro. Tačiau tik 41 % EUIBA rengia specialius mokymus ar informuotumo didinimo užsiėmimus vadovams ir tik 29 % rengia privalomus kibernetinio saugumo mokymus vadovams, atsakingiems už IT sistemas, kuriose yra neskelbtinos informacijos. Siekiant užtikrinti veiksmingą kibernetinio saugumo valdymą, labai svarbus informuotumas apie valdymą ir įsipareigojimas. Iš vienuolikos EUIBA, kurios paminėjo, kad valdymo paramos nebuvimas yra iššūkis veiksmingam kibernetiniam saugumui, tik trys iš jų surengė tam tikrą informuotumo didinimo mokymą vadovybei. Nuolatinius kibernetinio saugumo mokymus IT darbuotojams ir IT saugumo specialistams siūlo atitinkamai 58 % ir 51 % EUIBA.
36 Ne visos EUIBA turi mechanizmų, skirtų darbuotojų dalyvavimui kibernetinio saugumo mokymuose ir vėlesniems jų informuotumo ir elgesio pokyčiams stebėti. Ypač mažesnėse organizacijose per neoficialius darbuotojų susitikimus gali būti rengiamos kibernetinio sąmoningumo sesijos. Pagrindinis būdas, kuriuo organizacijos vertina darbuotojų informuotumą, yra periodiškai tikrinti jų elgesį, be kita ko, atliekant brandos tyrimus ar duomenų viliojimo pratybas. Per pastaruosius penkerius metus 55 % EUIBA surengė vieną ar daugiau imituotų duomenų viliojimo kampanijų (arba panašių pratybų). Kadangi duomenų viliojimas yra viena iš pagrindinių grėsmių, su kuriomis susiduria viešojo administravimo institucijų darbuotojai21, šios pratybos yra svarbi darbuotojų mokymo ir informuotumo didinimo priemonė. Nustatėme, kad Komisijos kibernetinio sąmoningumo veiksmai yra geroji patirtis ir jais gali naudotis kitos suinteresuotosios EUIBA (žr. 2 langelį).
Kibernetinio sąmoningumo mokymas Komisijoje
Komisija Informatikos GD turi specialią kibernetinio sąmoningumo didinimo grupę, kuri vadovauja įstaigų kibernetinio sąmoningumo didinimo programai. Programa valdoma ir vykdoma kartu su Žmogiškųjų išteklių GD, generaliniu sekretoriatu, Ryšių tinklų, turinio ir technologijų generaliniu direktoratu (CNECT GD) ir CERT-EU. Mokymas yra aukštos kokybės ir daugeliu atvejų yra tarpinstitucinis. Mokymo kursai skelbiami Mokymosi biuletenyje, kuris siunčiamas apie 65 000 ES darbuotojų. Per kibernetinio sąmoningumo didinimo platformą Komisija per pastaruosius penkerius metus suorganizavo 15 duomenų viliojimo pratybų ir neseniai surengė pirmąsias visos Komisijos pratybas.
Esminės kontrolės priemonės ne visada įgyvendinamos arba nėra įteisintos standartuose
37 Paprašėme EUIBA įsivertinti, kaip jos įgyvendina pasirinktas esmines kontrolės priemones22. Atrinkome geriausios patirties pavyzdžių rinkinį, kurį dar mažesnė organizacija galėtų pagrįstai įgyvendinti23. 5 diagramoje pateikti apibendrinti rezultatai. Dauguma apklaustų EUIBA patvirtino pasirinktas esmines kontrolės priemones. Tačiau kai kuriose srityse kontrolės priemonių trūksta arba jos yra ribotos ne mažiau kaip 20 % EUIBA.
38 Dėl septynių į imtį įtrauktų EUIBA prašėme pateikti patvirtinamuosius dokumentus ir atitinkamus standartus / politiką dėl kiekvienos kontrolės priemonės, kurią jos deklaravo kaip įgyvendintą. Gavome šiuos dokumentus dėl 62 % kontrolės priemonių. Kaip paaiškinta interviu metu, keliais atvejais techninės kontrolės priemonės buvo įdiegtos, bet nebuvo įteisintos naujausiais standartais ar politika, o tai padidina riziką, kad IT saugumo klausimai nebus nuosekliai sprendžiami toje pačioje EUIBA (taip pat žr. 24 dalį).
Kelių EUIBA kibernetinio saugumo priemonėms nėra taikomas reguliarus nepriklausomas patikinimas
39 Pasak ISACA24, vidaus auditas yra viena iš trijų esminių gynybos krypčių organizacijoje, o kitos dvi – valdymas ir rizikos valdymas. Vidaus auditai padeda gerinti informacijos ir IT saugumo valdymą. Tikrinome, kaip dažnai EUIBA gauna nepriklausomą patikinimą dėl savo IT saugumo sistemos, atlikdamos vidaus ar išorės auditus ir aktyviai testuodamos savo kibernetinę gynybą.
40 Komisijos vidaus audito tarnyba (VAT) yra atsakinga, be kita ko, už Komisijos, decentralizuotų agentūrų, bendrųjų įmonių ir EIVT IT auditų atlikimą. Tarnybos įgaliojimai apima 46 (70 %) iš 65 mūsų apklaustų EUIBA, o VAT per pastaruosius penkerius metus atliko 6 skirtingų EUIBA su IT saugumu susijusius auditus. Be to, Žmogiškųjų išteklių ir saugumo GD yra kompetentingas atlikti IT saugumo patikrinimus, apimančius techninės informacijos saugumo aspektus25. Iš likusių EUIBA, septynios pranešė turinčios savo vidaus audito funkciją, apimančią IT aspektus, tačiau dvylikos EUIBA atsakymų į mūsų apklausą nepakako, kad būtų galima nustatyti, ar jos turi tokius vidaus audito pajėgumus.
41 Išorės IT saugumo auditai, kuriuos atlieka nepriklausomi subjektai, yra dar vienas būdas gauti nepriklausomą patikinimą. Nepaisant sparčiai kintančios kibernetinės aplinkos, nuo 2015 m. pradžios iki 2021 m. pirmojo ketvirčio 34 % EUIBA nebuvo atliktas joks vidaus ar išorės IT saugumo auditas. Pastarasis skaičius, suskirstytas pagal EUIBA tipą, rodo, kad nuo 2015 m. 75 % ES įstaigų, 66 % bendrųjų įmonių ir 45 % civilinių misijų nebuvo atliktas IT saugumo vidaus ar išorės auditas.
42 Be vidaus ir išorės audito, kitas būdas organizacijoms gauti patikinimą dėl savo IT saugumo sistemos yra aktyviai išbandyti savo kibernetinę gynybą, kad būtų galima nustatyti pažeidžiamas vietas. Vienas iš būdų tai padaryti yra skverbimosi bandymai (taip pat vadinami etiniais įsilaužimais), kuriuos sudaro leidžiami imituojami kibernetiniai išpuoliai, nukreipti į atskiras kompiuterines sistemas. Atsakydamos į mūsų apklausos klausimus, 69 % EUIBA nurodė, kad per pastaruosius penkerius metus atliko bent vieną skverbimosi bandymą. 45 % atvejų CERT-EU buvo skverbimosi bandymus atliekanti įstaiga.
43 Organizacijos kibernetinio saugumo patikros kibernetiniu išpuoliu pratybos yra dar vienas būdas išbandyti kibernetinę gynybą imituojant išpuolius, naudojant metodus, neseniai naudotus realiems išpuoliams atlikti. Jos yra sudėtingesnės ir išsamesnės nei skverbimosi bandymai, nes jos apima kelias sistemas ir galimus išpuolio būdus. EUIBA jas atlieka rečiau: per pastaruosius penkerius metus 46 % EUIBA pranešė apie bent vieną organizacijos kibernetinio saugumo patikrą kibernetiniu išpuoliu. CERT-EU atliko 75 % šių pratybų. Organizacijos kibernetinio saugumo patikrai kibernetiniu išpuoliu parengti ir atlikti reikia daug darbo, o CERT-EU šiuo metu gali atlikti ne daugiau kaip penkias-šešias pratybas per metus.
44 Išskyrus dvi neseniai įsteigtas EUIBA, 16 (25 %) apklaustų EUIBA per pastaruosius penkerius metus neatliko skverbimosi bandymų ar organizacijos kibernetinio saugumo patikrų kibernetiniu išpuoliu. Apskritai septynioms EUIBA (10 %) nebuvo taikomas joks nepriklausomas patikinimas dėl jų IT saugumo priemonių: vienai bendrajai įmonei, vienai decentralizuotai agentūrai ir penkioms civilinėms misijoms.
EUIBA sukūrė bendradarbiavimo mechanizmus, tačiau yra trūkumų
45 Šiame skirsnyje apžvelgiami subjektai ir komitetai, įsteigti siekiant EUIBA bendradarbiavimui kibernetinio saugumo srityje skatinti, taip pat tarpinstitucinis valdymas ir koordinavimo tvarka. Konkrečiau, patikrinome du tarpinstitucinius subjektus – ENISA ir CERT-EU, taip pat du tarpinstitucinius komitetus – Tarpinstitucinį skaitmeninės transformacijos komitetą (ICDT), visų pirma jo kibernetinio saugumo pogrupį (CSSG), ir Informacinių ir ryšių technologijų patariamąjį komitetą (ICTAC). Taip pat įvertinome, kokiu mastu jie padėjo užtikrinti sąveiką, kad būtų pagerinta EUIBA kibernetinio saugumo parengtis.
Oficiali EUIBA veiklos koordinavimo struktūra sukurta, nors ir yra tam tikrų valdymo problemų
46 ICDT ir ICTAC yra du pagrindiniai komitetai, skatinantys EUIBA bendradarbiavimą IT srityje. ICDT, kurį sudaro ES institucijų ir įstaigų IT vadovai, yra keitimosi informacija ir bendradarbiavimo skatinimo forumas. Jis turi kibernetinio saugumo pogrupį (ICDT CSSG), kuris teikia ataskaitas ICDT ir gali rekomenduoti priimti sprendimus konkrečiais klausimais. Kita vertus, ICTAC yra ES agentūrų tinklo (EUAN) pogrupis – ES agentūrų vadovų sukurtas neoficialus tinklas, kuriame daugiausia dėmesio skiriama agentūrų ir bendrųjų įmonių bendradarbiavimui. Tiek ICDT, tiek ICTAC turi aiškiai apibrėžtus ir vienas kitą papildančius vaidmenis: ICTAC apima decentralizuotas agentūras ir bendrąsias įmones, o ICDT – institucijas ir įstaigas. Dėl savo pobūdžio ICDT ir ICTAC yra gana neoficialios patariamosios grupės ir forumai, kuriuose keičiamasi informacija ir geriausia patirtimi. Daugiau informacijos apie šiuos tarpinstitucinius komitetus pateikiama II priede.
EUIBA atstovavimas atitinkamuose forumuose ne visada yra tinkamas
47 Nors atstovavimo struktūros yra aiškios, ne visos EUIBA mano, kad jų faktinis atstovavimas yra pakankamas. Mūsų apklausoje paprašius pateikti nuomonę dėl pareiškimo „Mano poreikiai yra pakankamai apsvarstyti atitinkamuose tarpinstituciniuose forumuose ir mano EUIBA tinkamai atstovaujamos sprendimų priėmimo valdybose“, 42 % EUIBA su tuo nesutiko. Kai kurios mažiausios įstaigos manė, kad jos neturi pakankamai išteklių, kad galėtų aktyviai dalyvauti tarpinstituciniuose forumuose.
48 CERT-EU valdančioji taryba, jos pagrindinis sprendimus priimantis organas, taip pat neatstovauja visoms jos sudedamosioms dalims. CERT-EU teikia paslaugas 87 EUIBA ir 3 EUIBA nepriklausančioms įstaigoms. Tačiau jos valdančiąją tarybą sudaro tik 11 tarpinstitucinį susitarimą pasirašiusių šalių (septynių ES institucijų, taip pat EIVT, Ekonomikos ir socialinių reikalų komiteto, Regionų komiteto ir Europos investicijų banko) atstovai ir ENISA atstovas, kurių kiekvienas turi po vieną balsą26.
49 Daugiau kaip pusė CERT-EU narių yra ES decentralizuotos agentūros ir bendrosios įmonės, kuriose dirba apie 12 000 darbuotojų. Oficialiai jų interesams CERT-EU valdančiojoje taryboje atstovauja ENISA. Tačiau ENISA įgaliojimai atstovauti ES agentūroms ir bendrosioms įmonėms yra menki, nes jos nebuvo šios agentūros tiesiogiai paskyrusios ar išrinkusios. Praktiškai decentralizuotų agentūrų ir bendrųjų įmonių nuomones valdančiosios tarybos posėdžiuose išreiškia ICTAC atstovas, kuriam leidžiama padėti ENISA atstovauti agentūroms. Nepaisant to, kad jis išreiškia 48 EUIBA nuomones ir gina interesus, ICTAC atstovas šiuo metu neturi oficialios vietos ar balsavimo teisės valdančiojoje taryboje. 2021 m. balandžio mėn. ICTAC nusiuntė CERT-EU valdančiosios tarybos pirmininkui oficialų prašymą dėl balsavimo teisių taryboje. Rengiant šią ataskaitą šis prašymas dar nebuvo patenkintas. EUIBA atstovavimo sprendimus priimančiose valdybose ir komitetuose apžvalga pateikta 6 diagramoje.
50 EUIBA tarpinstitucinis kibernetinio saugumo valdymas yra susiskaidęs, ir nė vienas subjektas šiuo metu neturi išsamios EUIBA kibernetinio saugumo brandos apžvalgos arba nėra įgaliotas imtis vadovaujamojo vaidmens arba užtikrinti, kad būtų laikomasi bendrų privalomų taisyklių. Tiek ENISA, tiek CERT-EU gali tik remti ir padėti EUIBA. Atitinkami komitetai neturi sprendimų priėmimo galios ir gali teikti vien tik rekomendacijas, skirtas EUIBA. Be to, penktadaliui apklaustų EUIBA taip pat neaišku, kur kreiptis dėl konkrečios paslaugos, priemonės ar sprendimo.
Pagrindinių dalyvių susitarimo memorandumai egzistuoja, tačiau iki šiol jie nedavė konkrečių rezultatų
51 2018 m. gegužės mėn. pasirašytas ENISA, CERT-EU, Europolo Europos kovos su elektroniniu nusikalstamumu centro (EC3) ir Europos gynybos agentūros (EGA) susitarimo memorandumas. Jame daugiausia dėmesio skirta penkioms bendradarbiavimo sritims: keitimuisi informacija, švietimui ir mokymui, kibernetinėms pratyboms, techniniam bendradarbiavimui, strateginiams ir administraciniams klausimams. Nors šis susitarimo memorandumas galėtų padėti išvengti dubliavimosi parengus bendrą darbo programą, neaptikome įrodymų, kad jis davė konkrečių rezultatų ir kad būtų imtasi bendrų veiksmų.
52 2019 m. birželio mėn. įsigaliojusiame Kibernetinio saugumo akte (CSA) numatyta pasirašyti naują ir konkretų CERT-EU ir ENISA bendradarbiavimo susitarimą. Pažymėtina, kad 2021 m. vasario mėn. pagaliau pasirašyti susitarimo memorandumą prireikė daugiau nei pusantrų metų. Šiuo susitarimo memorandumu siekiama sukurti struktūrizuotą CERT-EU ir ENISA bendradarbiavimą. Jame apibrėžiamos jų bendradarbiavimo sritys (gebėjimų stiprinimas, operatyvinis bendradarbiavimas, žinios ir informacija) ir nustatomas apytikris jų vaidmenų pasidalijimas: CERT-EU imsis iniciatyvos padėti EUIBA, o ENISA prisidės prie pastangų. Susitarimo memorandume praktinės priemonės neapibrėžiamos, nes jos nurodytos metiniame bendradarbiavimo plane. Pirmąjį 2021 m. metinį bendradarbiavimo planą ENISA valdančioji taryba priėmė 2021 m. liepos mėn., o CERT-EU valdančioji taryba – 2021 m. rugsėjo mėn. Todėl mūsų audito metu dar per anksti įvertinti, ar šis planas davė apčiuopiamų rezultatų.
53 Kadangi abu susitarimo memorandumai, paminėti 51 ir 52 dalyse, turi bendrus tikslus ir bendradarbiavimo sritis, pavyzdžiui, mokymą, pratybas ar keitimąsi informacija, kyla persidengimo ir dubliavimosi rizika.
Galima sinergija, kuriama bendradarbiaujant, dar nėra visiškai išnaudota
Siekiant sinergijos buvo imtasi teigiamų veiksmų
54 ICTAC ir ICDT CSSG komitetų darbo programose nustatytos aktualios temos. Su šiomis temomis susijusiose srityse bendradarbiaujant galima pasiekti didesnį efektyvumą. Praktiniai iniciatyvų, kurios leido EUIBA pasinaudoti sinergija, pavyzdžiai apima:
- tarpinstitucines preliminariąsias sutartis;
- bendrą decentralizuotų agentūrų nuo 2019 m. Europos Sąjungos intelektinės nuosavybės tarnybos (EUIPO) įsteigtą atkūrimo po nelaimių centrą, kuris leidžia sutaupyti bent 20 % išlaidų, palyginti su rinkos kainomis (šį atkūrimo po nelaimių sprendimą priėmė devynios agentūros);
- šešių tame pačiame pastate esančių bendrųjų įmonių susitarimus dėl bendros infrastruktūros ir bendros IT saugumo sistemos naudojimo (nuo 2014 m.).
55 Kitas svarbus pavyzdys – sistema „GovSec“, padedanti EUIBA atlikti rizikos vertinimus, kad būtų priimti debesijos sprendimai. Mūsų apklausos duomenimis, 75 % EUIBA jau naudojasi kai kuriomis viešomis debesijos platformomis, o kelios iš jų, kurios jomis nesinaudoja, ketina pereiti prie debesijos. Nuo 2019 m. Komisija laikosi principo „pirmiausia – debesija“, pagal kurį numatoma teikti saugias mišrias daugialypės terpės paslaugas27. Komisija taip pat veikia kaip visų EUIBA debesijos paslaugų brokerė pagal „Cloud II“ preliminariąją sutartį. Siekiant valdyti saugumo ir duomenų apsaugos rizikos rūšis debesijos platformose reikia naujų įgūdžių ir kitokio požiūrio, palyginti su tradicine IT infrastruktūra vietoje. Veiksmingas informacijos saugumo rizikos valdymas debesijoje yra bendras iššūkis EUIBA, o „GovSec“ yra sprendimo, kuriuo gali būti atliepti kelių, jei ne visų, EUIBA poreikiai, pavyzdys.
Bendradarbiavimas ir dalijimasis patirtimi tarp EUIBA vis dar nėra optimalus
56 Tarpinstitucinių komitetų buvimas savaime nelemia sinergijos, o EUIBA ne visada dalijasi geriausia praktika, ekspertinėmis žiniomis, metodikomis ir įgyta patirtimi. Be to, kiekviena EUIBA pati sprendžia dėl dalyvavimo ICDT CSSG darbe lygio. ICDT CSSG nariai, nepaisant dalyvavimo posėdžiuose, gali prisidėti tik tiek, kiek leidžia jų įprastos pareigos EUIBA, ir tai jau sulėtino pažangą įgyvendinant veiksmus, dėl kurių susitarė kai kurios specialios paskirties grupės.
57 Įvardijome konkrečias sritis, kuriose EUIBA nėra nustatytos tvarkos dalytis patirtimi ir iniciatyvomis. Pavyzdžiui, pagal preliminariąją sutartį dėl tinklo gynybos pajėgumų EUIBA gali prašyti atlikti tyrimą, kuriuo būtų siekiama konsoliduoti kibernetinio saugumo reikalavimus ir rasti sprendimų. Tačiau tokių tyrimų, kuriuos atliko ar užsakė kitos EUIBA, saugyklos nėra, todėl EUIBA gali prašyti atlikti tą patį tyrimą kelis kartus. Be to, EUIBA nesistemingai viena kitai atskleidžia, kad turi sutartinių santykių su konkrečiais tiekėjais arba naudoja konkretų programinės įrangos sprendimą. Dėl šios žinių spragos gali atsirasti papildomų išlaidų ir gali būti nesukurta sinergija.
58 Be to, EUIBA nesistemingai dalijasi informacija apie kibernetinio saugumo projektus, kuriuos jos vykdo, net jei jie galėtų turėti tarpinstitucinį poveikį. Į ICDT CSSG įgaliojimus įtraukta nuostata, pagal kurią EUIBA gali keistis informacija apie naujus projektus, kurie gali turėti įtakos kitų EUIBA kibernetiniam saugumui / iš jų gautos informacijos apsaugai. Tačiau ICDT CSSG apie tokius projektus nėra nuolat informuojamas.
59 Kai sukuriama nauja agentūra, ji turi nuo nulio sukurti savo IT infrastruktūrą ir IT saugumo sistemą. Naujoms agentūroms nėra paslaugų katalogo, priemonių rinkinio ar aiškių gairių / reikalavimų. Rezultatas yra tas, kad IT aplinka visose EUIBA yra labai nevienalytė. Kiekviena organizacija gali laisvai įsigyti savo programinę įrangą, aparatinę įrangą, infrastruktūrą ir paslaugas. Tas pats pasakytina ir apie IT saugumo sistemą, nes nėra bendrų reikalavimų ir standartų. Dėl šios padėties gali būti dubliuojamos pastangos ir neefektyviai naudojamos ES lėšos, taip pat didėja CERT-EU sudėtingumas, kiek tai susiję su parama, kurią ji turi teikti.
Yra praktinių trūkumų keičiantis neskelbtina informacija
60 Kai kurios EUIBA vis dar neturi tinkamų sprendimų, skirtų keistis neskelbtina neįslaptinta informacija. Tos, kurios juos turi, paprastai yra patvirtinusios savo skirtingus produktus ir sistemas, o tai reiškia, kad tarpusavio sąveikumas yra problema. Bendros saugios platformos egzistuoja tik konkrečiais tikslais, pavyzdžiui, platformos, kurias CERT-EU siūlo visiems dalyviams keistis neskelbtina informacija apie incidentus, grėsmes ir pažeidžiamumą.
61 Pavyzdžiui, daugiau kaip 20 % EUIBA neturi šifruoto e. pašto paslaugos. Tos, kurios ją turi, dažnai susiduria su sąveikumo problemomis, o sertifikatai nėra abipusiai pripažįstami. ICTAC ir ICDT jau daugelį metų svarsto keičiamo ir sąveikaus sprendimo galimybes, o 2018 m. buvo vykdomas bandomasis projektas. Tačiau šis klausimas dar neišspręstas.
62 Kitas klausimas – bendro neskelbtinos neįslaptintos informacijos žymėjimo nebuvimas. Žymenys – tai kategorijos, pagal kurias informacijos turėtojams nurodomi specialūs tos informacijos apsaugos reikalavimai. Skirtingose EUIBA jie yra skirtingi, o tai apsunkina keitimąsi informacija ir tinkamą jos tvarkymą.
63 2020 m. COVID-19 pandemija privertė EUIBA plačiu mastu priimti komunikacijos ir vaizdo konferencijų priemones, kad būtų užtikrintas veiklos tęstinumas. Nustatėme bent 15 skirtingų vaizdo konferencijų programinės įrangos sprendimų, kuriuos naudoja EUIBA. Net jei skirtingos EUIBA naudoja tą patį sprendimą / platformą, sąveikumas dažnai vis dar nepakankamas, net jei visos šalys naudoja tą patį programinės įrangos sprendimą. Be to, EUIBA gairės dėl to, kokia informacija (atsižvelgiant į jos opumą) galėtų būti dalijamasi arba kuri būtų aptariama tam tikroje platformoje, skiriasi. Tokie klausimai lemia ekonominį ir veiklos neefektyvumą. Dėl jų gali kilti saugumo problemų.
ENISA ir CERT-EU dar nesuteikė EUIBA visos reikiamos paramos
64 Rengdami šį skirsnį, tikrinome du pagrindinius subjektus, kuriems pavesta remti EUIBA kibernetinio saugumo srityje: ENISA ir CERT-EU. Vertiname, ar abiejų šių subjektų teikiama parama pasiekė EUIBA ir atliepia jų poreikius, pabrėždami nustatytų trūkumų priežastis.
ENISA yra pagrindinis subjektas ES kibernetinio saugumo aplinkoje, tačiau jos parama iki šiol pasiekė labai mažai EUIBA
65 2019 m. birželio mėn. įsigaliojo Kibernetinio saugumo aktas (CSA)28, kuriuo pakeistas ankstesnis ENISA teisinis pagrindas29 ir agentūrai suteikti didesni įgaliojimai. Konkrečiau, jame numatyta, kad ENISA turėtų aktyviai remti tiek valstybes nares, tiek EUIBA didinant kibernetinio saugumo pajėgumus, stiprinant operatyvinį bendradarbiavimą ir kuriant sinergiją. Gebėjimų stiprinimo srityje ENISA dabar turi įgaliojimus padėti EUIBA „gerinti kibernetinių grėsmių ir incidentų prevenciją, nustatymą ir analizę, visų pirma teikiant tinkamą paramą CERT-EU“30. ENISA taip pat turėtų padėti ES institucijoms rengti ir peržiūrėti ES kibernetinio saugumo strategijas, skatinti jų sklaidą ir stebėti jų įgyvendinimo pažangą.
66 Nors CSA aiškiai nurodyta, kad ENISA turėtų remti EUIBA gerinant jų kibernetinį saugumą, ENISA dar nėra parengusi jokių veiksmų planų, susijusių su jos tikslu padėti EUIBA stiprinti gebėjimus (išsamiau žr. 3 langelį).
Nepakankamas ENISA tikslo ir išdirbių, susijusių su EUIBA, suderinimas
Kai kurie ENISA trejų metų prioritetai, išvardyti 2018–2020 m. daugiametėje darbo programoje pagal 3.2 tikslą „Padėti ES institucijoms stiprinti gebėjimus“, yra šie:
- „Siūlyti iniciatyvias konsultacijas Sąjungos institucijoms dėl jų tinklų ir informacijos saugumo (TIS) stiprinimo (nustatyti prioritetus ES agentūroms ir įstaigoms, kurių tinklų ir informacijos saugumo gebėjimų stiprinimo poreikiai yra didžiausi, užmezgant reguliarius ryšius su jomis (pavyzdžiui, rengiant metinius seminarus) ir daugiausia dėmesio skiriant šiems prioritetams)“;
- „Siekti padėti ES institucijoms ir sudaryti joms palankesnes sąlygas, susijusias su požiūriu į TIS (užmegzti partnerystes su CERT-EU ir institucijomis, turinčiomis didelių tinklų ir informacijos saugumo pajėgumų, kad būtų remiami jos veiksmai pagal šį tikslą.)“
ENISA 2018, 2019 ir 2020 m. darbo programose pagal 3.2 tikslą nustatyti tik du veiklos tikslai (išdirbiai):
- „Dalyvavimas CERT-EU valdančiojoje taryboje ir atstovavimas ES agentūroms naudojantis CERT-EU paslauga“.
- „Bendradarbiavimas su atitinkamomis ES įstaigomis įgyvendinant iniciatyvas, apimančias tinklų ir informacijos saugumo aspektą, susijusį su jų misijomis (įskaitant EASA, CERT-EU, EGA, EC3)“.
Veiklos tikslai neapima jokios veiklos, susijusios su iniciatyviomis konsultacijomis. Be to, tikslas nustatyti didžiausius poreikius turinčių agentūrų prioritetus nebuvo paverstas veiklos rezultatais, nes jį pakeitė tikslas palaikyti ryšius su agentūromis, kad jų poreikiai būtų atspindėti CERT-EU valdančiojoje taryboje.
67 Pagrindinis ENISA sprendimus priimantis organas yra jos valdyba, kurią sudaro po vieną narį, kurį skiria kiekviena iš 27 valstybių narių, ir du Komisijos paskirti nariai31 (žr. 6 diagramą). Kiekvienas narys turi vieną balsą, o sprendimai priimami balsų dauguma32. Todėl su valstybėmis narėmis susijusiems veiksmams gali būti teikiama didesnė pirmenybė nei EUIBA veiksmams. Pavyzdžiui, ENISA 2018 m. darbo programoje valdyba, neturėdama pakankamai išteklių, nusprendė tam tikrai veiklai teikti pirmenybę ir panaikinti tris, iš kurių viena buvo „parama esamų politikos krypčių, procedūrų / praktikos, susijusios su TIS, vertinimui ES institucijose“. Šia veikla buvo siekiama sudaryti sąlygas ENISA parengti EUIBA patirties ir orientacinės kibernetinio saugumo brandos apžvalgą, kuri būtų būsimų tikslinių veiksmų pagrindas.
68 Todėl ENISA užmojis teikti aktyvią pagalbą EUIBA, kaip nurodyta jos strateginiuose tiksluose, nebuvo paverstas veiklos tikslais ar konkrečiais veiksmais. Iki šiol parama gebėjimų stiprinimo ir operatyvinio bendradarbiavimo srityse, kuri buvo teikta gavus prašymą, apsiribojo tam tikromis konkrečiomis EUIBA.
69 CSA taip pat nustatyta, kad, siekiant padėti EUIBA stiprinti gebėjimus, ENISA turėtų teikti tinkamą paramą CERT-EU. Audito metu tokia parama buvo teikiama tik keliems konkretiems veiksmams. Pavyzdžiui, 2019 m. ENISA atliko CERT-EU tarpusavio vertinimą, atsižvelgdama į savo narystę ES CSIRT tinkle (įsteigtame TIS direktyva).
70 Remiantis mūsų apklausos atsakymais, ENISA skelbia aukštos kokybės kibernetinio saugumo ataskaitas ir gaires, kai kurias iš jų naudoja EUIBA. Tačiau nėra konkrečių gairių, skirtų EUIBA ir jų pačių aplinkai bei poreikiams. EUIBA, ypač toms, kurios yra mažiau pažengusios kibernetinio saugumo srityje, reikia praktinių gairių ne tik dėl to, ką daryti, bet ir dėl to, kaip tai padaryti. Iki šiol ENISA ir CERT-EU tokią paramą teikė ribotai ir nesistemingai.
71 ENISA surengė keletą kibernetinio saugumo mokymo kursų, kurie daugiausia buvo skirti valstybių narių institucijoms, tačiau juose taip pat dalyvavo ribotas EUIBA dalyvių skaičius. Ji surengė tik du savarankiško mokymosi kursus, konkrečiai skirtus EUIBA. ENISA savo interneto svetainėje taip pat siūlo internetinę mokymo medžiagą, kuria EUIBA gali naudotis, tačiau iki šiol tai buvo daugiausia CSIRT technikos ekspertams skirti kursai, todėl daugumai EUIBA jie nebuvo naudingi.
72 Be mokymo, ENISA gali remti EUIBA rengdama kibernetinio saugumo pratybas. 2020 m. spalio mėn. ENISA, bendradarbiaudama su CERT-EU, padėjo vykdyti ICTAC skirtas kibernetinio saugumo pratybas, kurios yra vienintelės pratybos, kurias ENISA surengė specialiai EUIBA dalyviams. Be šių pratybų, ENISA padėjo kai kurių EUIBA (pavyzdžiui, EU-LISA, EMSA, Europos Parlamento ir Europolo) prašymu surengti keletą pratybų, daugiausia skirtų jų suinteresuotiesiems subjektams valstybių narių institucijose. Jose taip pat dalyvavo kai kurie EUIBA darbuotojai.
73 CSA taip pat nustatytas naujas ENISA vaidmuo – savanoriškai padėti EUIBA vykdyti jų pažeidžiamumo atskleidimo politiką. Tačiau ENISA vis dar neturi jokios atskirų EUIBA pažeidžiamumo atskleidimo politikos apžvalgos ir nepadeda joms nustatyti ir įgyvendinti šios politikos.
CERT-EU labai vertina jos dalyviai, tačiau jos priemonės neatitinka dabartinių kibernetinio saugumo uždavinių
74 Po kelių iniciatyvų (žr. 7 diagramą) 2012 m. rugsėjo mėn. Komisijos sprendimu33 kaip nuolatinė EUIBA specialios paskirties grupė buvo įsteigta Kompiuterinių incidentų tyrimo tarnyba (CERT-EU) (žr. 08 dalį).
75 Nors CERT-EU veikia nepriklausomai, ji tebėra specialios paskirties grupė, neturinti juridinio asmens statuso. Ji administraciniu požiūriu dirba Europos Komisijoje (DIGIT GD), iš kurios ji gauna logistinę ir administracinę paramą. CERT-EU tikslas – padidinti EUIBA IRT infrastruktūros saugumą didinant jų gebėjimą kovoti su kibernetinėmis grėsmėmis ir pažeidžiamumu, taip pat užkirsti kelią kibernetiniams išpuoliams, juos nustatyti ir į juos reaguoti. CERT-EU turi apie 40 darbuotojų, suburtų į specialistų grupes, kuriose daugiausia dėmesio skiriama, pavyzdžiui, kibernetinių grėsmių žvalgybai, skaitmeninei ekspertizei ir reagavimui į incidentus.
CERT-EU yra vertinama partnerė, kurios darbo krūvis didėja
76 CERT-EU prašo dalyvių pateikti grįžtamąją informaciją ir pasiūlymus kas ketvirtį rengiamuose praktiniuose seminaruose, metiniuose dvišaliuose susitikimuose ir pasitenkinimo tyrimuose. Remiantis pasitenkinimo tyrimais ir mūsų pačių apklausa, dalyviai yra iš esmės patenkinti CERT-EU teikiamomis paslaugomis. CERT-EU paslaugų katalogo raida patvirtina jos pastangas prisitaikyti prie EUIBA poreikių.
77 Nors didelės EUIBA, turinčios didelių vidaus pajėgumų, paprastai naudojasi CERT-EU daugiausia kaip dalijimosi informacija centru ir grėsmių žvalgybos šaltiniu, mažesnės EUIBA pasikliauja CERT-EU dėl įvairesnių paslaugų, pavyzdžiui, susijusių su stebėjimo žurnalais, skverbimosi bandymais, organizacijos kibernetinio saugumo patikra kibernetiniu išpuoliu ir parama reagavimui į incidentus, teikimo. CERT-EU paslaugos yra ypač vertingos mažesnėms EUIBA dėl jų ribotų vidaus ekspertinių žinių ir masto ekonomijos stokos (žr. 31 ir 33 dalis).
78 Pastaraisiais metais CERT-EU sustiprino savo pajėgumus ir procedūras, nes labai padaugėjo grėsmių ir incidentų. CERT-EU informacijos produktų, visų pirma perspėjimų apie grėsmes ir atmintinių, skaičius nuolat auga (8 diagrama). 2020 m. CERT-EU paskelbė 171 grėsmės atmintinę ir 53 perspėjimus apie grėsmes (t. y. daug daugiau nei 80 atmintinių ir 40 perspėjimų, kuriuos ji iš pradžių ketino paskelbti).
79 CERT-EU taip pat padeda EUIBA valdyti kibernetinius incidentus. Nors 52 % EUIBA turi vidaus reagavimo grupę arba bent incidentų koordinatorių, 48 % kitų EUIBA pasikliauja CERT-EU / kitais išorės paslaugų teikėjais incidento atveju. Tačiau net didelės EUIBA, turinčios vidaus reagavimo pajėgumų, gali prašyti ES CERT paramos sprendžiant sudėtingus incidentus.
80 Bendras CERT-EU tvarkomų incidentų skaičius padidėjo nuo 561 incidento 2019 m. iki 884 incidentų 2020 m. Reikšmingų incidentų padaugėjo nuo vienintelio atvejo 2018 m. iki 13 atvejų 2020 m. 2021 m. rugsėjo mėn. reikšmingų incidentų skaičius pasiekė17 atvejų, tai padidėjimas, palyginti su 13 atvejų2020 m., kurie patys buvo rekordiniai metai. Šiuos reikšmingus incidentus paprastai sukelia labai sudėtingos grėsmės. Jie gali paveikti daugelį EUIBA, dėl jų gali tekti susisiekti su valdžios institucijomis, o jiems ištirti ir panaikinti paveiktoms šalims ir CERT-EU paprastai prireikia nuo kelių savaičių iki kelių mėnesių darbo.
81 CERT-EU taip pat yra pagrindinė EUIBA kibernetinės gynybos iniciatyvių vertinimų ir bandymų teikėja. CERT-EU veiklos šioje srityje santrauka pateikta 9 diagramoje. Be to, nuo 2020 m. CERT-EU taip pat atlieka išorės tinklo nuskaitymus.
Dalyviai laiku nesidalija atitinkama informacija su CERT-EU
82 Tarpinstituciniame susitarime34 nustatyta, kad dalyviai turėtų pranešti CERT-EU apie reikšmingus kibernetinio saugumo incidentus. Tačiau faktiškai tai ne visada įvyksta. Tarpinstituciniame susitarime nenumatytas mechanizmas, kuriuo būtų užtikrinamas privalomas ir savalaikis CERT-EU dalyvių pranešimas apie reikšmingus incidentus. Tarpinstituciniame susitarime pateikta bendra „reikšmingų incidentų“ apibrėžtis leidžia EUIBA savo nuožiūra pranešti apie incidentą. CERT-EU vadovybės teigimu, kai kurie dalyviai laiku nepasidalijo informacija apie reikšmingus incidentus, o tai trukdo CERT-EU atlikti keitimosi kibernetinio saugumo informacija ir reagavimo į incidentus koordinavimo centro vaidmenį visose EUIBA. Pavyzdžiui, vienas dalyvis, susidūręs su labai sudėtinga grėsme, apie tai nepranešė CERT-EU arba neprašė jos paramos. Tai užkirto kelią CERT-EU rinkti žvalgybinę informaciją apie kibernetines grėsmes, kuri būtų buvusi naudinga remiant kitus dalyvius, susiduriančius su ta pačia grėsme. Šis išpuolis paveikė bent šešias EUIBA.
83 Dalyviai taip pat laiku aktyviai nesidalijo informacija su CERT-EU dėl kibernetinio saugumo grėsmių ir pažeidžiamumo, su kuriais jie susidūrė, nepaisant to, kad tarpinstituciniame susitarime35 reikalaujama, kad jie tai padarytų. CERT-EU Skaitmeninės ekspertizės ir reagavimo į incidentus grupė negavo pranešimų apie silpnąsias vietas arba kontrolės trūkumus, nesusijusius su incidentais, kuriuos ji aktyviai tiria. Dalyviai aktyviai nesidalija atitinkamais vidaus ar išorės saugumo auditų metu nustatytais faktais.
84 Be to, pagal tarpinstitucinį susitarimą EUIBA neįpareigojamos pranešti CERT-EU apie reikšmingus IT aplinkos pokyčius, todėl dalyviai CERT-EU apie atitinkamus pokyčius informavo nesistemingai. Pavyzdžiui, EUIBA ne visada informuoja CERT-EU apie bet kokius jų IP adresų pokyčius (t. y. jų infrastruktūros interneto adresų sąrašą). CERT-EU turi atnaujinti IP adresus, kad, pavyzdžiui, būtų galima atlikti skenavimą, kai aptinkamas didelis pažeidžiamumas. EUIBA nesugebėjimas informuoti CERT-EU apie tokius pokyčius turi įtakos jos gebėjimui jas paremti. Nepranešimas CERT-EU taip pat turi įtakos jos gebėjimui stebėti sistemas, todėl reikia atlikti didesnį darbą siekiant ištaisyti netikslius stebėsenos priemonių duomenis. Pasak jos vadovybės, CERT-EU kartais atranda anksčiau nežinomą IT infrastruktūrą, kai susiduria su incidentu. Be to, be konkrečių atvejų, CERT-EU šiuo metu neturi išsamios EUIBA bendruomenės IT sistemų ir tinklų apžvalgos.
85 Jei tarpinstituciniame susitarime nebus jokio vykdymo užtikrinimo mechanizmo, EUIBA pranešimai CERT-EU – esminis elementas kuriant EUIBA kibernetinės parengties bendruomenę, kurios centras – CERT-EU – išliks nesistemingi.
CERT-EU ištekliai yra nestabilūs ir neatitinka dabartinio grėsmės lygio
86 Tarpinstituciniame susitarime36 teigiama, kad „CERT-EU turėtų būti užtikrinamas tvarus finansavimas ir personalas, tuo pačiu užtikrinant ekonominį naudingumą bei tinkamą nuolatinio personalo branduolį“. Svarbiausias CERT-EU turtas yra jos aukštos kvalifikacijos specialistai. 10 diagramoje parodytas CERT-EU darbuotojų skaičiaus pokytis nuo jos įsteigimo 2011 m. iki šių dienų.
87 Daugiau kaip du trečdaliai CERT-EU darbuotojų įdarbinti pagal laikinąsias sutartis. Jų atlyginimas nėra labai konkurencingas kibernetinio saugumo ekspertų rinkoje, ir, CERT-EU vadovybės nuomone, vis sunkiau juos samdyti ir išlaikyti. Kai atlyginimai nėra pakankamai patrauklūs vyresniesiems kandidatams, CERT-EU privalo samdyti jaunesniuosius darbuotojus ir investuoti laiko į jų mokymą. Be to, sutarčių trukmė yra ne ilgesnė kaip šešeri metai, taigi CERT-EU neturi kito pasirinkimo, kaip tik leisti sutartininkams išeiti, jiems pasiekus aukščiausią savo kompetencijos lygį. 2020 m. darbuotojų kaita buvo ypač didelė: 21 % darbuotojų paliko CERT-EU, ir ne visi pavaduojantys darbuotojai galėjo būti įdarbinti. Kalbant apie ankstesnius metus, 2019 m. tarnybą paliko 9 % darbuotojų, o 2018 m. – 13 %.
88 CERT-EU vadovybė pabrėžė, kad šiuo metu CERT-EU Skaitmeninės ekspertizės ir reagavimo į incidentus grupė dažnai turi pernelyg daug darbo, o kitos jos grupės negali patenkinti paklausos. Todėl CERT-EU buvo priversta sumažinti veiklos apimtį. Pavyzdžiui, CERT-EU šiuo metu neatlieka savo dalyvių brandos vertinimų, nes trūksta išteklių. CERT-EU įspėjimų apie įtartiną veiklą paslauga pradėta teikti vėliau, nei tikėtasi, vėl dėl išteklių trūkumo. Be to, keletas dalyvių, su kuriais kalbėjomės, pakomentavo, kad turėjo laukti ilgą laiką, kol galės naudotis CERT-EU paslaugomis.
89 Dėl išteklių apribojimų CERT-EU iki šiol buvo priversta sutelkti dėmesį visų pirma į tradicinės, patalpose esančios IT infrastruktūros apsaugą nuo didelių grėsmių, kurias kelia (paprastai tautinės valstybės remiamos) grupės, keliančios pažangiąsias nuolatines grėsmes. Tačiau, pasak jos vadovybės, EUIBA išplėstas IT perimetras (dabar įskaitant debesiją, mobiliuosius įrenginius ir nuotolinio darbo priemones) reikalauja didesnės stebėsenos ir apsaugos, taip pat reikia daugiau dėmesio skirti žemesnio lygio grėsmėms (pavyzdžiui, kibernetiniams nusikaltimams ir išpirkos reikalaujančiai programinei įrangai).
90 Tarpinstituciniame susitarime nenumatyta, kad CERT-EU turi operacinių pajėgumų dvidešimt keturias valandas per dieną, septynias dienas per savaitę. CERT-EU šiuo metu neturi nei išteklių, nei tinkamos žmogiškųjų išteklių sistemos, kad galėtų nuolat ir struktūriškai veikti ne darbo valandomis, net jei kibernetiniai išpuoliai nebūtinai vyksta šiomis valandomis. Pačių EUIBA atveju tik 35 iš 65 apklaustų EUIBA turi IT pareigūną, kurį galima pasiekti ne darbo valandomis.
91 Siekdama finansuoti CERT-EU veiklą, 2012 m. valdančioji taryba patvirtino susitarimo dėl paslaugų lygio (SLA) modelį. Visi dalyviai gauna pagrindines paslaugas nemokamai ir gali mokėti už išplėstines paslaugas, pasirašydami SLA. 2020 m. CERT-EU biudžetas buvo 3 745 000 eurų, iš kurių 6 % buvo finansuojami iš ES biudžeto, o 94 % – iš SLA. Tačiau dalyviai yra labai nevienalyčiai: kai kurie turi brandžius IT saugumo reikalavimus, o kiti turi nedidelį IT biudžetą ir labai mažą kibernetinio saugumo brandą. Dėl šios priežasties diskusijos dėl susitarimo dėl paslaugų lygio lemia tai, kad kai kurioms EUIBA taikomi aukšti saugumo reikalavimai ir santykinai trūksta kitų subjektų noro ar gebėjimo prisidėti.
92 Be to, kiekvienais metais SLA turi būti atnaujinamas atskirai. Tai ne tik administracinė našta, bet ir pinigų srautų problema, nes CERT-EU neturi vienu metu iš visų SLA gaunamų lėšų. Be to, agentūros gali SLA nutraukti bet kuriuo metu. Dėl to kyla rizika, kad atsiras užburtas ratas, kuriame dėl prarastų pajamų CERT-EU turės mažinti savo paslaugas ir nebeatitiks paklausos, o tai savo ruožtu paskatins kitas EUIBA nutraukti savo SLA ir pereiti prie privačių paslaugų teikėjų. Atsižvelgiant į šias aplinkybes, dabartinis finansavimo modelis nėra idealus siekiant užtikrinti stabilų ir optimalų paslaugų lygį.
93 Susidūrusi su sparčiai kintančia kibernetinio saugumo grėsmių padėtimi (žr. 06 ir 80 dalis), 2020 m. vasario 19 d. posėdyje CERT-ES valdančioji taryba patvirtino strateginį pasiūlymą CERT-EU išplėsti savo kibernetinio saugumo paslaugas ir plėtoti „visus veiklos pajėgumus“. Prie pasiūlymo pridėta CERT-EU personalo ir finansavimo poreikių analizė. Atlikus šią analizę padaryta išvada, kad CERT-EU reikės 14 papildomų nuolatinių administratorių pareigybių, kurios bus vėliau pridėtos 2021–2023 m. laikotarpiu. Nuo 2023 m. CERT-EU veiktų visu pajėgumu. Pagal šį pasiūlymą, kalbant apie finansavimą, CERT-EU 2021–2023 m. laikotarpiu reikėtų padidinti savo biudžetą 7,6 milijono eurų, kad iki 2024 m. pasiektų 11,3 milijono eurų.
94 Tačiau, nepaisant to, kad patvirtino strateginį pasiūlymą dėl papildomų išteklių teikimo CERT-EU, EUIBA dar nepasiekė susitarimo dėl praktinių sąlygų, pirma, dėl 2021–2023 m. tarpinio laikotarpio ir, antra, dėl ilgalaikio laikotarpio įsigaliojus būsimam kibernetinio saugumo reglamentui (žr. 12 dalį).
Išvados ir rekomendacijos
95 Darome išvadą, kad ES institucijų, įstaigų ir agentūrų (EUIBA) bendruomenė nėra pasiekusi tokio kibernetinės parengties lygio, kuris atitiktų grėsmes. Mūsų darbas rodo, kad EUIBA kibernetinio saugumo brandos lygiai skiriasi ir kadangi jos dažnai yra tarpusavyje susijusios, taip pat susijusios su valstybių narių viešosiomis ir privačiomis organizacijomis, dėl vienos EUIBA kibernetinio saugumo trūkumų kelioms kitoms organizacijoms gali kilti kibernetinių grėsmių.
96 Nustatėme, kad pagrindinė geroji kibernetinio saugumo praktika ne visada buvo įgyvendinama, įskaitant kai kurias esmines kontrolės priemones. Patikimas kibernetinio saugumo valdymas yra labai svarbus informacijos ir IT sistemų saugumui užtikrinti, tačiau kai kuriose EUIBA dar nėra įdiegtas: IT saugumo strategijų ir planų daugeliu atvejų trūksta arba jų nepatvirtina vyresnioji vadovybė, saugumo politika ne visada įforminama, o rizikos vertinimai neapima visos IT aplinkos. Kibernetinio saugumo išlaidos yra nevienodos, nes kai kurios EUIBA, palyginti su panašaus dydžio EUIBA, skiria aiškiai per mažai lėšų (žr. 21–33 ir 37–38 dalis).
97 Kibernetinis sąmoningumas ir mokymo programos yra vienas pagrindinių veiksmingos kibernetinio saugumo sistemos elementų. Tačiau tik 29 % EUIBA rengia privalomus kibernetinio saugumo mokymus vadovams, atsakingiems už IT sistemas, kuriose yra neskelbtinos informacijos, o siūlomi mokymai dažnai yra neoficialūs. Per pastaruosius penkerius metus 55 % EUIBA surengė vieną ar daugiau imituotų duomenų viliojimo kampanijų (arba panašių pratybų). Šios pratybos yra svarbi darbuotojų mokymo ir informuotumo didinimo priemonė, tačiau EUIBA jomis nesinaudoja sistemingai (žr. 34–36 dalis). Be to, ne visų EUIBA kibernetiniam saugumui reguliariai taikomas nepriklausomas patikinimas (žr. 39–44 dalis).
98 CERT-EU labai vertina EUIBA, kurioms ji dirba, tačiau jos pajėgumai yra gerokai viršyti. Jos darbo krūvis, susijęs su grėsmių žvalgyba ir incidentų valdymu, nuo 2018 m. sparčiai didėja. Reikšmingų kibernetinio saugumo incidentų skaičius išaugo daugiau nei dešimt kartų. Be to, EUIBA ne visada laiku dalijasi informacija apie reikšmingus incidentus, pažeidžiamumą ir svarbius jų IT infrastruktūros pokyčius. Tai mažina CERT-EU veiksmingumą, neleidžia jai įspėti kitų EUIBA, kurioms gali būti padarytas poveikis, ir dėl to gali likti neaptikti reikšmingi incidentai. Be to, CERT-EU ištekliai yra nestabilūs ir šiuo metu neatitinka dabartinio grėsmės lygio arba EUIBA poreikių. 2020 m. jos valdančioji taryba patvirtino strateginį pasiūlymą dėl papildomų išteklių, kurių reikia CERT-EU, teikimo, tačiau dalyviai dar nepasiekė susitarimo dėl praktinių tokių išteklių teikimo sąlygų. Todėl CERT-EU darbuotojai negali patenkinti paklausos ir yra priversti mažinti veiklos apimtis (žr. 74–93 dalis).
1 rekomendacija. Pagerinti visų EUIBA kibernetinio saugumo parengtį taikant bendras privalomas taisykles ir skiriant daugiau išteklių CERT-EU
Komisija į savo būsimą pasiūlymą dėl reglamento dėl priemonių aukštam bendram kibernetinio saugumo lygiui užtikrinti visose EUIBA turėtų įtraukti šiuos principus:
- Vyresnioji vadovybė turėtų prisiimti atsakomybę už kibernetinio saugumo valdymą, patvirtindama kibernetinio saugumo strategijas ir pagrindines saugumo politikos kryptis ir paskirdama nepriklausomą vyriausiąjį informacijos saugumo pareigūną (arba lygiavertį asmenį);
- EUIBA turėtų turėti IT saugumo rizikos valdymo sistemą, apimančią visą jų IT infrastruktūrą, ir reguliariai atlikti rizikos vertinimus;
- EUIBA turėtų rengti sistemingą visiems darbuotojams, įskaitant vadovybę, skirtą informuotumo didinimo mokymą;
- EUIBA turėtų užtikrinti reguliarius savo kibernetinės gynybos auditus ir testus. Auditai taip pat turėtų apimti kibernetiniam saugumui skirtų išteklių tinkamumą;
- EUIBA turėtų nedelsdamos CERT-EU pranešti apie reikšmingus kibernetinio saugumo incidentus ir atitinkamus jų IT infrastruktūros pokyčius ir pažeidžiamumą;
- EUIBA savo biudžetuose turėtų padidinti ir numatyti CERT-EU skirtus išteklius, atsižvelgdamos į poreikius, nustatytus jos valdančiosios tarybos patvirtintame strateginiame pasiūlyme;
- Į reglamentą turėtų būti įtrauktos nuostatos dėl visų EUIBA atstovo, turinčio tinkamų įgaliojimų ir priemonių stebėti, kaip EUIBA laikosi bendrų kibernetinio saugumo taisyklių, ir teikti gaires, rekomendacijas ir raginimus imtis veiksmų, skyrimo.
Tikslinė įgyvendinimo data: 2023 m. I ketv.
99 EUIBA sukūrė bendradarbiavimo kibernetinio saugumo srityje mechanizmus, tačiau pažymėjome, kad galima sinergija nėra visapusiškai išnaudojama. Įdiegta oficiali keitimosi informacija struktūra, kurioje dalyvaujantys subjektai ir komitetai atlieka vienas kitą papildančius vaidmenis. Tačiau mažesnių EUIBA dalyvavimui tarpinstituciniuose forumuose trukdo riboti ištekliai, o decentralizuotų agentūrų ir bendrųjų įmonių atstovavimas CERT-EU valdančiojoje taryboje nėra optimalus. Taip pat nustatėme, kad EUIBA tarpusavyje nesistemingai dalijasi informacija apie su kibernetiniu saugumu susijusius projektus, saugumo vertinimus ir kitas paslaugų sutartis. Dėl to gali dubliuotis pastangos ir padidėti išlaidos. Atkreipėme dėmesį į veiklos sunkumus keičiantis neskelbtina neįslaptinta informacija šifruotu e. paštu arba vaizdo konferencijose dėl IT sprendimų sąveikumo stokos, nenuoseklių gairių dėl jų leidžiamo naudojimo ir bendrų informacijos žymėjimo ir tvarkymo taisyklių nebuvimo (žr. 45– 63 dalis).
2 rekomendacija. Pasisakyti už tolesnę EUIBA sąveiką pasirinktose srityse
Komisija, atsižvelgdama į Tarpinstitucinį skaitmeninės transformacijos komitetą, turėtų skatinti EUIBA imtis šių veiksmų:
- priimti sprendimus, kaip užtikrinti saugių ryšių kanalų sąveikumą nuo užšifruoto elektroninio pašto iki vaizdo konferencijų, ir pasisakyti dėl neskelbtinos neįslaptintos informacijos bendrų žymėjimo ir tvarkymo taisyklių;
- sistemingai dalytis informacija apie su kibernetiniu saugumu susijusius projektus, galinčius turėti tarpinstitucinį poveikį, atliktus programinės įrangos saugumo vertinimus ir galiojančias sutartis su išorės tiekėjais;
- apibrėžti bendrų viešųjų pirkimų ir preliminariųjų sutarčių dėl kibernetinio saugumo paslaugų, kuriose gali dalyvauti visos EUIBA, kad būtų skatinama masto ekonomija, specifikacijas.
Tikslinė įgyvendinimo data: 2023 m. IV ketv.
100 Europos Sąjungos kibernetinio saugumo agentūra (ENISA) ir CERT-EU yra du pagrindiniai subjektai, kuriems pavesta remti EUIBA kibernetinio saugumo srityje. Tačiau dėl to, kad ištekliai riboti ir pirmenybė teikiama kitoms sritims, jos negalėjo suteikti EUIBA visos reikiamos paramos, visų pirma kiek tai susiję su mažiau brandžių kibernetinio saugumo srities EUIBA gebėjimų stiprinimu (žr. 64–93 dalis).
3 rekomendacija. CERT-EU ir ENISA daugiau dėmesio skirti mažiau brandžioms EUIBA
CERT-EU ir ENISA turėtų:
- nustatyti prioritetines sritis, kuriose EUIBA reikia daugiausia paramos, pavyzdžiui, atlikdamos brandos vertinimus;
- įgyvendinti gebėjimų stiprinimo veiksmus pagal susitarimo memorandumą.
Tikslinė įgyvendinimo data: 2022 m. IV ketv.
Šią ataskaitą priėmė III kolegija, vadovaujama Audito Rūmų narės Bettinos Jakobsen, 2022 m. vasario 22 d. Liuksemburge.
Audito Rūmų vardu
Pirmininkas
Klaus-Heiner LEHNE
Priedai
I priedas. Apklaustų EUIBA sąrašas
EUIBA pavadinimas | Tipas |
---|---|
Europos Parlamentas (EP) | Institucija (ES sutarties 13 straipsnio 1 dalis) |
Europos Sąjungos Taryba ir Europos Vadovų Taryba (TGS) | Institucija (ES sutarties 13 straipsnio 1 dalis) |
Europos Komisija (EK) | Institucija (ES sutarties 13 straipsnio 1 dalis) |
Europos Sąjungos Teisingumo Teismas (ESTT) | Institucija (ES sutarties 13 straipsnio 1 dalis) |
Europos Centrinis Bankas (ECB) | Institucija (ES sutarties 13 straipsnio 1 dalis) |
Europos Audito Rūmai (EAR) | Institucija (ES sutarties 13 straipsnio 1 dalis) |
Europos išorės veiksmų tarnyba (EIVT) | Įstaiga (ES sutarties 27 straipsnio 3 dalis) |
Europos ekonomikos ir socialinių reikalų komitetas (EESRK) ir Europos regionų komitetas (RK)37 | Įstaiga (ES sutarties 13 straipsnio 4 dalis) |
Europos investicijų bankas (EIB) | Įstaiga ( SESV 308 straipsnis) |
Europos darbo institucija | Decentralizuota agentūra |
Europos Sąjungos energetikos reguliavimo institucijų bendradarbiavimo agentūra (ACER) | Decentralizuota agentūra |
Europos elektroninių ryšių reguliuotojų institucijos biuras (BEREC biuras) | Decentralizuota agentūra |
Bendrijos augalų veislių tarnyba (BAVT) | Decentralizuota agentūra |
Europos darbuotojų saugos ir sveikatos agentūra (EU-OSHA) | Decentralizuota agentūra |
Europos sienų ir pakrančių apsaugos agentūra (Frontex / EBCGA) | Decentralizuota agentūra |
Europos Sąjungos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūra (eu-LISA) | Decentralizuota agentūra |
Europos Sąjungos prieglobsčio agentūra (EUAA) | Decentralizuota agentūra |
Europos Sąjungos aviacijos saugos agentūra (EASA) | Decentralizuota agentūra |
Europos bankininkystės institucija (EBI) | Decentralizuota agentūra |
Europos ligų prevencijos ir kontrolės centras (ECDC) | Decentralizuota agentūra |
Europos profesinio mokymo plėtros centras (Cedefop) | Decentralizuota agentūra |
Europos cheminių medžiagų agentūra (ECHA) | Decentralizuota agentūra |
Europos aplinkos agentūra (EEA) | Decentralizuota agentūra |
Europos žuvininkystės kontrolės agentūra (EŽKA) | Decentralizuota agentūra |
Europos maisto saugos tarnyba (EFSA) | Decentralizuota agentūra |
Europos gyvenimo ir darbo sąlygų gerinimo fondas (Eurofound) | Decentralizuota agentūra |
Europos Sąjungos kosmoso programos agentūra (EUSPA) | Decentralizuota agentūra |
Europos lyčių lygybės institutas (EIGE) | Decentralizuota agentūra |
Europos draudimo ir profesinių pensijų institucija (EIOPA) | Decentralizuota agentūra |
Europos jūrų saugumo agentūra (EMSA) | Decentralizuota agentūra |
Europos vaistų agentūra (EMA) | Decentralizuota agentūra |
Europos narkotikų ir narkomanijos stebėsenos centras (ENNSC) | Decentralizuota agentūra |
Europos Sąjungos kibernetinio saugumo agentūra (ENISA) | Decentralizuota agentūra |
Europos Sąjungos teisėsaugos mokymo agentūra (CEPOL) | Decentralizuota agentūra |
Europos policijos biuras (Europolas) | Decentralizuota agentūra |
Europos Sąjungos geležinkelių agentūra (ESGA) | Decentralizuota agentūra |
Europos vertybinių popierių ir rinkų institucija (ESMA) | Decentralizuota agentūra |
Europos mokymo fondas (ETF) | Decentralizuota agentūra |
Europos Sąjungos pagrindinių teisių agentūra (FRA) | Decentralizuota agentūra |
Europos Sąjungos intelektinės nuosavybės tarnyba [iki 2016 m. kovo 23 d. – OHIM] (EUIPO) | Decentralizuota agentūra |
Bendra pertvarkymo valdyba (BPV) | Decentralizuota agentūra |
Europos Sąjungos bendradarbiavimo baudžiamosios teisenos srityje agentūra (Eurojustas) | Decentralizuota agentūra |
Europos Sąjungos įstaigų vertimo centras (CdT) | Decentralizuota agentūra |
Europos prokuratūra | Decentralizuota agentūra |
Europos inovacijos ir technologijos institutas (EIT) | Įstaiga, sukurta pagal mokslinių tyrimų ir inovacijų programą |
Europos dangaus oro eismo valdymo mokslinių tyrimų bendroji įmonė (SESAR) | Bendroji įmonė pagal SESV |
Bendroji įmonė „Elektroniniai komponentai ir sistemos siekiant Europos lyderystės“ (ECSEL) | Bendroji įmonė pagal SESV |
2 kuro elementų ir vandenilio bendroji įmonė (2 KEV) | Bendroji įmonė pagal SESV |
2 naujoviškų vaistų iniciatyvos bendroji įmonė (2 NVI) | Bendroji įmonė pagal SESV |
Bendroji įmonė „Švarus dangus 2“ (Švarus dangus 2) | Bendroji įmonė pagal SESV |
Biologinės pramonės sektorių bendroji įmonė BTI (BPS) | Bendroji įmonė pagal SESV |
Bendroji technologijų iniciatyva „Shift2Rail“ (S2R) | Bendroji įmonė pagal SESV |
Europos našiosios kompiuterijos bendroji įmonė (EuroHPC) | Bendroji įmonė pagal SESV |
Europos ITER įgyvendinimo bendroji įmonė – Branduolių sintezės energija (F4E) | Bendroji įmonė pagal SESV |
Europos Sąjungos patariamoji misija Ukrainoje (EUAM Ukraine) | Civilinė misija (BSGP) |
ES pasienio patariamoji misija Libijoje (EUBAM Libya) | Civilinė misija (BSGP) |
ES pajėgumų stiprinimo misija Nigeryje (EUCAP Sahel Niger) | Civilinė misija (BSGP) |
ES stebėsenos misija Gruzijoje (EUMM Georgia) | Civilinė misija (BSGP) |
ES koordinavimo biuras Palestinos policijai remti (EUPOL COPPS) | Civilinė misija (BSGP) |
ES patariamoji misija Centrinės Afrikos Respublikoje (EUAM Central-African Republic) | Civilinė misija (BSGP) |
ES patariamoji misija Irake (EUAM Iraq) | Civilinė misija (BSGP) |
ES pasienio pagalbos misija Rafah perėjimo punkte (EUBAM Rafah) | Civilinė misija (BSGP) |
ES pajėgumų stiprinimo misija Malyje (EUCAP Sahel Mali) | Civilinė misija (BSGP) |
ES pajėgumų stiprinimo misija Somalyje (EUCAP Somalia) | Civilinė misija (BSGP) |
ES teisinės valstybės misija Kosove (EULEX Kosovo) | Civilinė misija (BSGP) |
II priedas. Papildoma informacija apie pagrindinius tarpinstitucinius komitetus
Tarpinstitucinis skaitmeninės transformacijos komitetas (ICDT)
ICDT yra forumas, skirtas keistis informacija ir bendradarbiavimui IT srityje skatinti. Jis buvo įsteigtas 2020 m. gegužės mėn. ir pakeitė buvusį „Comité Interinstitutionnel de l’Informatique“ (CII). ICDT sudaro EUIBA IT padalinių vadovai. ICDT turi kibernetinio saugumo pogrupį (ICDT CSSG), kurio vaidmuo – skatinti EUIBA bendradarbiavimą kibernetinio saugumo srityje. Jis yra keitimosi informacija forumas.
ICDT sprendimų priėmimo įgaliojimai apsiriboja klausimais, kurie neturi įtakos „tam, kaip institucijos vykdo savo misiją“ ir „nekliudo kiekvienos institucijos valdymui“. Dėl sprendimų, kurie viršija jo kompetenciją, ICDT gali teikti rekomendacijas ES institucijų ir įstaigų generalinių sekretorių kolegijai.
Pagal ICDT įgaliojimus jo nariai yra kiekvienos ES institucijos ir įstaigos atstovai ir vienas ES agentūrų (ICTAC) paskirtas atstovas. Šiuo metu ICDT pirmininkauja Tarybos generalinis sekretoriatas.
ICDT kibernetinio saugumo pogrupis (IRT CSSG)
Dabartinės sudėties ICDT CSSG buvo įsteigtas 2020 m. rugsėjo mėn., pakeitęs buvusį CII nuolatinio saugumo pogrupį. Palyginti su pirmtaku, ICDT CSSG laikosi labiau struktūrizuoto, ambicingesnio ir į rezultatus orientuoto požiūrio. Jo veiklą vykdo darbo grupės (DB), kurios reguliariai susitinka ir daugiausia dėmesio skiria pagrindiniams bendriems klausimams:
- DB1 „Bendrieji standartai, lyginamoji analizė ir branda“
- DB2 „Dalijimosi platformos metodai ir priemonės bei sutartys“
- DB3 „Debesijos saugumas“
- DB4 „Kibernetinių įgūdžių talentų ugdymas“
- DB5 „Kibernetinis sąmoningumas“
- DB6„Vaizdo konferencijų saugumas“
Pagal CSSG įgaliojimus jo sekretoriatas yra atsakingas už reguliarią darbo grupių veiklos pažangos stebėseną ir ataskaitų teikimą. Jis reguliariai teikia ataskaitas ICDT kibernetinio saugumo pogrupio pirmininkui ir pirmininko pavaduotojui, reguliariai rinkdamas darbo grupės koordinatorių informaciją. Kiekvienų metų pabaigoje CSSG taip pat turi pateikti apibendrinamąją veiklos ataskaitą.
Šiuo metu ICDT CSSG pirmininkauja Komisija, o ICTAC atstovas yra pirmininko pavaduotojas. Nors CSSG neturi sprendimų priėmimo galios, jis gali rekomenduoti ICDT priimti sprendimus svarbiais klausimais.
Agentūrų tinklas
ES agentūrų tinklas (EUAN) yra neoficialus tinklas, kurį 2012 m. įsteigė ES agentūrų vadovai. Šiuo metu EUAN sudaro 48 decentralizuotos ES agentūros ir bendrosios įmonės. Jo tikslas – suteikti tinklo nariams keitimosi informacija ir bendradarbiavimo bendro intereso srityse platformą. IRT patariamasis komitetas (ICTAC) yra EUAN pogrupis, atsakingas už bendradarbiavimo IRT srityje, įskaitant kibernetinį saugumą, skatinimą.
Informacinių ir ryšių technologijų patariamasis komitetas (ICTAC)
ICTAC skatina agentūrų ir bendrųjų įmonių bendradarbiavimą IRT srityje. Jo tikslas – rasti perspektyvius ir ekonomiškus bendrų problemų sprendimus, keistis informacija ir prireikus priimti bendras pozicijas. Pagal ICTAC įgaliojimų aprašą visuotiniai susirinkimai, kuriuose dalyvauja visi jo nariai, vyksta du kartus per metus. Taip pat kas mėnesį vyksta reguliarūs ICTAC atstovų susitikimai CSSG darbo grupėse, ICTAC atstovas dalyvauja CSSG ir ICTAC trejeto susitikimuose. Trejetą sudaro dabartiniai, ankstesni ir būsimi ICTAC pirmininkai (kiekvienas pirmininkas dirba vienerius metus). Trejeto vaidmuo – remti dabartinį (-ę) pirmininką (-ę) visais klausimais, susijusiais su jo / jos vaidmeniu, įskaitant jo / jos pavadavimą, jei to reikia atsižvelgiant į aplinkybes.
Akronimai ir santrumpos
APT: pažangiosios nuolatinės grėsmės
CERT-EU: EUIBA kompiuterinių incidentų tyrimo tarnyba
CIS: ryšių ir informacinės sistemos
CISO: vyriausiasis informacijos saugumo pareigūnas
CSA: Kibernetinio saugumo aktas
CSIRT: Reagavimo į kompiuterių saugumo incidentus tarnyba
DIGIT GD: Informatikos generalinis direktoratas
ENISA: Europos Sąjungos kibernetinio saugumo agentūra
EUAN: Europos Sąjungos agentūrų tinklas
EUIBA: Europos Sąjungos institucijos, įstaigos ir agentūros
EU-LISA: Europos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūra
FTE: Full Time Equivalent
ICDT CSSG: Tarpinstitucinis skaitmeninės transformacijos komiteto Kibernetinio saugumo pogrupis
ICDT: Tarpinstitucinis skaitmeninės transformacijos komitetas
ICTAC: Informacinių ir ryšių technologijų patariamasis komitetas
IIA: Interinstitutional Agreement
IRT: informacinės ir ryšių technologijos
ISACA: Informacinių sistemų audito ir kontrolės asociacija
ITCB: Informacinių technologijų ir kibernetinio saugumo valdyba
SLA: susitarimas dėl paslaugų lygio
SM: susitarimo memorandumas
TIS: tinklų ir informacijos saugumas
Žmogiškųjų išteklių GD: Žmogiškųjų išteklių ir saugumo generalinis direktoratas
Terminų žodynėlis
Duomenų viliojimas: siunčiami laiškai, kurie tariamai kilę iš patikimo šaltinio, siekiant suklaidinti gavėjus, kad jie atidarytų kenkėjiškus saitus arba pasidalytų asmens duomenimis.
EUIBA kompiuterinių incidentų tyrimo tarnyba: keitimosi informacija ir reagavimo į incidentus koordinavimo centras, kurio klientai (dalyviai) yra ES institucijos, įstaigos ir agentūros.
Kibernetinė erdvė: pasaulinė interneto aplinka, kurioje žmonės bendrauja kompiuterių ir kitų prijungtų įrenginių tinklais, taip pat bendraujama taikant programinę įrangą ir paslaugas.
Kibernetinis saugumas: IT tinklų ir infrastruktūros bei juose esančios informacijos apsaugos nuo išorinės grėsmės priemonės.
Kibernetinis šnipinėjimas: veiksmas ar praktika gauti paslaptis ir informaciją iš interneto, tinklų ar atskirų kompiuterių be informacijos turėtojo leidimo ir žinios.
Organizacijos kibernetinio saugumo patikra kibernetiniu išpuoliu: realus kibernetinių atakų modeliavimas naudojant netikėtumo elementą ir metodus, neseniai pastebėtus realiame pasaulyje, daugiausia dėmesio skiriant konkretiems tikslams, naudojant kelias puolimo linijas.
Pažangioji nuolatinė grėsmė: išpuolis, kai leidimo neturintis naudotojas prisijungia prie sistemos ar tinklo, kad pavogtų neskelbtinus duomenis, ir lieka ten ilgą laiką.
Skverbimosi bandymai: IT sistemos saugumo vertinimo metodas, bandant pažeisti jos saugumo garantijas priemonėmis ir metodais, kuriuos paprastai naudoja priešininkai.
Socialinė inžinerija: informacijos saugumo srityje tai – psichologinis manipuliavimas siekiant apgauti žmones, kad jie atliktų veiksmą arba pasidalintų konfidencialia informacija.
Komisijos atsakymai
CERT-EU ir ENISA atsakymai
Galinės išnašos
3 Audito Rūmų apžvalga 02/2019 „Veiksmingos ES kibernetinio saugumo politikos iššūkiai“ (Apžvalginis pranešimas).
4 CERT-EU, „Threat Landscape Report“, 2021 m. birželio mėn.
5 Ten pat.
6 Ten pat.
7 Ten pat.
8 „Cyberattack on EMA – update 6“, 2021 1 25.
9 Audito Rūmų specialioji ataskaita 22/2020 „ES agentūrų ateitis. Didesnio lankstumo ir bendradarbiavimo galimybės“, 1 dalis.
11 ENISA, „Threat Landscape 2020“, sektorinių / teminių grėsmių analizė.
12 Direktyva (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti.
13 Pasiūlymas dėl direktyvos dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti.
16 ISACA, „Certified Information System Auditor review manual“, 2019 m.
17 Komunikatas Komisijai „Europos Komisijos skaitmeninė strategija. Skaitmenintas, į vartotojus orientuotas ir duomenimis grindžiamas Komisijos darbas“, C(2018) 7118 final, 2018 11 21.
18 ISO/IEC standard 27000:2018, 5 skyrius.
19 COBIT 5 informacijos saugumui, 4.2 skirsnis.
20 Žr. pavyzdį ISO/IEC 27000:2018, 4.5 skirsnis.
21 ENISA,„Threat Landscape 2020“, sektorinių / teminių grėsmių analizė.
22 Kontrolės priemonių rinkinys pagal CIS kontrolę Nr 7.1 – Interneto saugumo centro parengtą geriausios patirties sistemą.
23 CIS kontrolės 1 įgyvendinimo grupė (IG1).
24 ISACA, Kibernetinio saugumo auditas. Rizikos ir audito kontrolės vertinimas, 2017 m.
25 Sprendimas Nr. 2017/46 dėl Europos Komisijos ryšių ir informacinių sistemų saugumo.
26 2017 m. gruodžio 20 d. pasirašyto tarpinstitucinio susitarimo 7 straipsnis.
27 Europos Komisija, „The European Commission Cloud Strategy“, 2019 m.
28 ENISA užduotys išvardytos Reglamento (ES) 2019/881 II skyriuje (5–12 straipsniuose).
29 Europos Parlamento ir Tarybos reglamentas (ES) Nr. 526/2013, ENISA užduotys pagal šį reglamentą pateiktos 3 straipsnyje.
30 Reglamento (ES) Nr. 2019/881 6 straipsnis.
33 Europos Komisijos pranešimas spaudai. Sėkmingai įgyvendinus bandomąjį projektą, sustiprintas ES institucijų kibernetinis saugumas.
34 2017 m. gruodžio 20 d. pasirašyto tarpinstitucinio susitarimo 3.3 straipsnis.
35 Tarpinstitucinio susitarimo 3.2 straipsnis.
36 Tarpinstitucinio susitarimo 7 konstatuojamoji dalis.
37 EESRK ir RK laikomi viena EUIBA.
Kontaktas
EUROPOS AUDITO RŪMAI
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG
Tel. +352 4398-1
Užklausos: eca.europa.eu/lt/Pages/ContactForm.aspx
Interneto svetainė: eca.europa.eu
Twitter: @EUAuditors
Daug papildomos informacijos apie Europos Sąjungą yra internete. Ji prieinama per portalą Europa (https://europa.eu).
Liuksemburgas: Europos Sąjungos leidinių biuras, 2022
ISBN 978-92-847-7610-8 | ISSN 1977-5725 | doi:10.2865/588856 | QJ-AB-22-003-LT-N | |
HTML | ISBN 978-92-847-7606-1 | ISSN 1977-5725 | doi:10.2865/58183 | QJ-AB-22-003-LT-Q |
AUTORIŲ TEISĖS
© Europos Sąjunga, 2022 m.
Europos Audito Rūmų pakartotinio naudojimo politika nustatyta Audito Rūmų sprendime Nr. 6-2019 dėl atvirųjų duomenų politikos ir pakartotinio dokumentų naudojimo.
Jeigu nenurodyta kitaip (pavyzdžiui, atskiruose pranešimuose dėl autorių teisių), ES priklausantis Audito Rūmų turinys yra licencijuojamas pagal Creative Commons Attribution 4.0 International (CC BY 4.0) licenciją. Todėl paprastai pakartotinis naudojimas yra leidžiamas, jeigu tai tinkamai pažymima ir nurodomi bet kokie padaryti pakeitimai. Tie asmenys, kurie pakartotinai naudoja Audito Rūmų turinį, neturi iškreipti pirminės prasmės ar minties. Audito Rūmai nėra atsakingi už bet kokius pakartotinio naudojimo padarinius.
Būtina gauti papildomą leidimą, jei tam tikrame turinyje vaizduojami privatūs asmenys, pavyzdžiui, Audito Rūmų darbuotojų nuotraukose, arba jame pateikiami trečiųjų asmenų kūriniai.
Gavus tokį leidimą, juo panaikinamas ir pakeičiamas pirmiau minėtas bendrasis leidimas ir jame aiškiai nurodomi bet kokie naudojimo apribojimai.
Siekiant naudoti ar atgaminti turinį, kuris nepriklauso ES, gali reikėti prašyti leidimo tiesiogiai iš autorių teisių turėtojų.
Programinei įrangai ar dokumentams, kuriems taikomos pramoninės nuosavybės teisės, pavyzdžiui, patentams, prekių ženklams, registruotiems dizainams, logotipams ir pavadinimams, Audito Rūmų pakartotinio naudojimo politika netaikoma.
Europos Sąjungos institucijų europa.eu domeno svetainėse pateikiamos nuorodos į trečiųjų asmenų svetaines. Audito Rūmai jų nekontroliuoja, todėl raginame peržiūrėti jose pateiktą privatumo ir autorių teisių politiką.
Audito Rūmų logotipo naudojimas
Audito Rūmų logotipas negali būti naudojamas be išankstinio Europos Audito Rūmų sutikimo.
Kaip susisiekti su ES
Asmeniškai
Visoje Europos Sąjungoje yra šimtai Europe Direct informacijos centrų. Artimiausio centro adresą rasite svetainėje https://europa.eu/european-union/contact_lt
Telefonu arba el. paštu
Europe Direct tarnyba atsakys į jūsų klausimus apie Europos Sąjungą. Su šia tarnyba galite susisiekti:
- nemokamu numeriu: 00 800 6 7 8 9 10 11 (kai kurie operatoriai už šiuos skambučius gali imti mokestį),
- šiuo standartiniu numeriu: +32 22999696 arba
- elektroniniu paštu svetainėje https://europa.eu/european-union/contact_lt
Kaip rasti informacijos apie ES
Internetas
Informacijos apie Europos Sąjungą visomis oficialiosiomis ES kalbomis galima rasti svetainėje Europa (https://europa.eu/european-union/index_lt)
ES leidiniai
Nemokamų ir mokamų ES leidinių galite atsisiųsti arba užsisakyti https://op.europa.eu/lt/publications. Jeigu jums reikia daugiau nemokamų leidinių egzempliorių, kreipkitės į Europe Direct arba į vietos informacijos centrą (žr. https://europa.eu/european-union/contact_lt)
ES teisė ir susiję dokumentai
Norėdami susipažinti su ES teisine informacija, įskaitant visus ES teisės aktus nuo 1951 m. visomis oficialiosiomis kalbomis, apsilankykite svetainėje EUR-Lex (http://eur-lex.europa.eu)
ES atvirieji duomenys
ES atvirųjų duomenų portale (http://data.europa.eu/lt) galima susipažinti su ES duomenų rinkiniais. Duomenis galima nemokamai parsisiųsti ir pakartotinai naudoti tiek komerciniais, tiek nekomerciniais tikslais.