ES iestāžu, struktūru un aģentūru kiberdrošība: sagatavotības līmenis kopumā neatbilst apdraudējumam

Kopsavilkums

I ES Kiberdrošības aktā kiberdrošība ir definēta kā “darbības, kas jāveic, lai aizsargātu tīklu un informācijas sistēmas, to lietotājus un citas personas, kuras skar kiberdraudi”. Tā kā ES iestādes, struktūras un aģentūras (EUIBA) apstrādā sensitīvu informāciju, tās var kļūt par pievilcīgu mērķi iespējamajiem uzbrucējiem, it īpaši grupām, kuras spēj veikt augstas sarežģītības maskētus uzbrukumus kiberspiegošanas un citos nolūkos. Neraugoties uz EUIBA institucionālo neatkarību un administratīvo autonomiju, starp tām pastāv cieša saikne. Tāpēc nepilnības atsevišķās EUIBA varētu pakļaut citas iestādes drošības apdraudējumiem.

II Ņemot vērā, ka kiberuzbrukumu skaits pret EUIBA strauji pieaug, šīs revīzijas mērķis bija noteikt, vai EUIBA kopumā ir izstrādājušas atbilstošus pasākumus aizsardzībai pret kiberdraudiem. Mēs secinām, ka EUIBA kopiena nav sasniegusi kibersagatavotības līmeni, kas būtu atbilstošs draudiem.

III Konstatējām, ka svarīga laba kiberdrošības prakse ne vienmēr tika īstenota, tostarp daži būtiski kontroles mehānismi, un vairākas EUIBA acīmredzami nepietiekami tērē līdzekļus kiberdrošībai. Tāpat arī dažās EUIBA vēl neīsteno stabilu kiberdrošības pārvaldību: daudzos gadījumos nav IT drošības stratēģiju vai arī augstākā vadība tās nav apstiprinājusi, drošības politika ne vienmēr ir oficiāli apstiprināta, un risku novērtējumā neietilpst visa IT vide. Ne visas EUIBA regulāri gūst neatkarīgu pārliecību par savu kiberdrošību.

IV Kiberdrošības apmācība ne vienmēr ir sistemātiska. Tikai nedaudz vairāk nekā puse no EUIBA piedāvā pastāvīgu kiberdrošības apmācību IT personālam un IT drošības speciālistiem. Tikai dažas EUIBA nodrošina obligātu kiberdrošības apmācību vadītājiem, kuri ir atbildīgi par IT sistēmām, kas satur sensitīvu informāciju. Pikšķerēšanas mācības ir svarīgs rīks personāla apmācībā un informētības palielināšanā, bet ne visās EUIBA tās tiek sistemātiski izmantotas.

V Lai gan EUIBA ir izveidojušas struktūras sadarbībai un informācijas apmaiņai kiberdrošības jomā, novērojām, ka iespējamā sinerģija netiek pilnībā izmantota. EUIBA sistemātiski nenodod cita citai informāciju par projektiem saistībā ar kiberdrošību, drošības novērtējumiem un pakalpojumu līgumiem. Turklāt tādi komunikācijas pamatrīki kā šifrēts e-pasts vai videokonferences risinājumi nav pilnībā savietojami. Tā rezultātā informācijas apmaiņa var kļūt mazāk droša, var dublēties centieni, kā arī pieaugt izmaksas.

VI ES iestāžu un aģentūru datorapdraudējumu reaģēšanas vienība (CERT-EU) un Eiropas Savienības Kiberdrošības aģentūra (ENISA) ir divas galvenās vienības, kuru uzdevums ir nodrošināt EUIBA atbalstu kiberdrošības jomā. Tomēr, ņemot vērā ierobežotos resursus vai citas prioritārās jomas, tās nav spējušas sniegt EUIBA visu nepieciešamo atbalstu, it īpaši saistībā ar mazāk nobriedušu EUIBA spēju palielināšanu. Lai gan EUIBA augstu novērtē CERT-EU, vienības efektivitāti apdraud pieaugošā darba slodze, nestabils finansējums un personāla trūkums, kā arī nepietiekama sadarbība ar dažām EUIBA, kuras ne vienmēr savlaicīgi sniedz informāciju par ievainojamību un par būtiskiem kiberdrošības incidentiem, kas tās ir ietekmējuši vai var ietekmēt citus.

VII Pamatojoties uz šiem secinājumiem, mēs iesakām:

• Komisijai uzlabot EUIBA kiberdrošības sagatavotību, ierosinot tiesību aktus nolūkā ieviest kopīgus saistošus noteikumus par kiberdrošību visām EUIBA un palielināt CERT-EU pieejamos resursus;
• Iestāžu komitejas digitālās pārveides jautājumos kontekstā Komisijai veicināt turpmāku EUIBA sinerģiju konkrētās jomās;
• CERT-EU un ENISA pievērst vairāk uzmanības EUIBA, kuru kiberdrošība nav tik spēcīga.

Ievads

Kas ir kiberdrošība?

01 ES Kiberdrošības aktā¹ kiberdrošība ir definēta kā “darbības, kas jāveic, lai aizsargātu tīklu un informācijas sistēmas, to lietotājus un citas personas, kuras skar kiberdraudi”. Kiberdrošības pamatā ir informācijas drošība, kas nozīmē informācijas konfidencialitātes, integritātes un pieejamības saglabāšanu² fiziskā vai elektroniskā veidā. Turklāt tīklu un informācijas sistēmu, kurās šāda informācija tiek glabāta, aizsardzība ir pazīstama kā informācijas tehnoloģijas (IT) drošība (sk. 1. attēlu).

02 Kiberdrošības disciplīnā ietilpst kiberincidentu apzināšana, novēršana, atklāšana, reaģēšana uz tiem un to seku pārvarēšana. Piemēram, incidenti var būt gan nejauša informācijas atklāšana, gan uzbrukumi, kuru mērķis ir apdraudēt kritisko infrastruktūru, gan identitātes un personas datu zagšana³.

03 Kiberdrošības satvars aptver daudzus elementus, tostarp tīkla un informācijas sistēmu drošības prasības un tehniskos kontroles mehānismus, kā arī atbilstošus pārvaldības pasākumus un personāla informētības programmas kiberdrošības jomā.

Kiberdrošība ES iestādēs, struktūrās un aģentūrās

04 Tā kā ES iestādes, struktūras un aģentūras (EUIBA) apstrādā sensitīvu informāciju, tās var kļūt par pievilcīgu mērķi iespējamajiem uzbrucējiem, it īpaši grupām, kuras spēj veikt augstas sarežģītības maskētus uzbrukumus (“attīstīts pastāvīgs apdraudējums”) kiberspiegošanas un citos nolūkos⁴. Sekmīgiem kiberuzbrukumiem pret EUIBA var būt būtiskas politiskas sekas, tie var kaitēt ES reputācijai kopumā un mazināt uzticēšanos tās iestādēm.

05 Covid-19 pandēmija ir likusi EUIBA, tāpat kā citām organizācijām visā pasaulē, strauji paātrināt digitālo pārveidi un pāriet uz attālinātu darbu. Tādējādi ir ievērojami pieaudzis iespējamo piekļuves punktu skaits uzbrucējiem (turpmāk – “uzbrukumu tvērums”), paplašinot katras organizācijas perimetru ar interneta savienojumiem mājokļos un mobilajām ierīcēm, kā dēļ rodas jaunas izmantojamas ievainojamības. Attālinātas piekļuves pakalpojumi ir viens no visbiežāk izmantotajiem veidiem, ko izmanto grupas, kuras uzbrūk EUIBA ar attīstītu pastāvīgu apdraudējumu, lai iegūtu sākotnējo piekļuvi to tīkliem⁵.

06 Kiberincidentu skaits pieaug, it īpaši bažas rada dramatiska pieauguma tendence saistībā ar būtiskiem incidentiem, kas ietekmē EUIBA⁶. Šajā jomā 2021. gadā ir sasniegts rekords. Būtiski incidenti ir tādi incidenti, kas nedz atkārtojas, nedz ir vienkārši. Tie parasti ir saistīti ar jaunu metožu un tehnoloģiju izmantošanu, un to izmeklēšana un seku pārvarēšana var ilgt vairākas nedēļas un pat mēnešus. Laikā no 2018. gada līdz 2021. gadam būtisko incidentu skaits ir pieaudzis vairāk nekā desmit reižu⁷. Pēdējo divu gadu laikā vien būtiski incidenti ir skāruši vismaz 22 atsevišķas EUIBA. Kā nesenu piemēru var minēt kiberuzbrukumu Eiropas Zāļu aģentūrai, kad tika nopludināti sensitīvi dati un ar tiem manipulēja tā, lai mazinātu uzticēšanos vakcīnām⁸.

07 EUIBA ir ļoti neviendabīga grupa, kas sastāv no iestādēm, aģentūrām un vairākām dažādām struktūrām. Septiņas ES iestādes ir dibinātas ar Līgumiem. Savukārt ES decentralizētās aģentūras un citas struktūras ir izveidotas uz sekundāro tiesību aktu pamata, un katra no tām ir atsevišķa juridiska persona. Ir dažādu juridisko formu aģentūras – sešas Komisijas izpildaģentūras un 37 ES decentralizētās aģentūras⁹. EUIBA ietver arī ES birojus, diplomātisko korpusu (Eiropas Ārējās darbības dienestu), kopuzņēmumus un citas struktūras. Katra EUIBA vienība ir atbildīga par savām kiberdrošības prasībām un savu drošības pasākumu īstenošanu.

08 Lai stiprinātu EUIBA kiberdrošību, 2012. gadā Komisija izveidoja EUIBA datorapdraudējumu reaģēšanas vienību (CERT-EU) kā pastāvīgu darba grupu. CERT-EU darbojas kā kiberdrošības informācijas apmaiņas un incidentu reaģēšanas koordinācijas centrs ES iestādēm, struktūrām un aģentūrām un sadarbojas ar citām datordrošības incidentu reaģēšanas vienībām (CSIRT) dalībvalstīs un ar specializētiem IT drošības uzņēmumiem. CERT-EU organizāciju un darbību pašlaik reglamentē 2018. gada iestāžu vienošanās¹⁰ (IV) starp EUIBA, kurām šī vienība kalpo, sauktas arī par “izveidotājiem”. Pašlaik ir 87 izveidotāji.

09 Vēl cits svarīgs dalībnieks EUIBA atbalstam ir Eiropas Savienības Kiberdrošības aģentūra (ENISA), kuras mērķis ir sasniegt augstu kopīgu kiberdrošības līmeni visā ES. ENISA ir dibināta 2004. gadā ar uzdevumu paplašināt informācijas un komunikācijas tehnoloģijas (IKT) produktu, procesu un pakalpojumu ar kiberdrošības sertifikācijas shēmām uzticamību, sadarboties ar EUIBA un dalībvalstīm, kā arī palīdzēt tām sagatavoties kiberdraudiem. ENISA palīdz EUIBA spēju veidošanā un operatīvajā sadarbībā.

10 Neatkarīgi no EUIBA institucionālās neatkarības starp tām pastāv cieša saikne. Katru dienu tās apmainās ar informāciju un kopīgi lieto vairākas sistēmas un tīklus. Atsevišķu EUIBA nepilnības var pakļaut citas struktūras drošības draudiem, jo daudzu kiberuzbrukumu pamatā nav tikai viens pasākums mērķa vai galamērķa sasniegšanai¹¹. Sekmīgu uzbrukumu pret vājāku EUIBA var izmantot kā iespēju uzbrukt arī citām iestādēm. EUIBA ir arī saikne ar publiskām un privātām organizācijām dalībvalstīs, un, tā kā tās nav pietiekami sagatavotas kiberdraudiem, EUIBA var pakļaut kiberdraudiem arī šīs organizācijas.

11 Pašlaik EUIBA informācijas drošībai un kiberdrošībai nav juridiskā satvara. Uz tām neattiecas plašākie ES tiesību akti par kiberdrošību, 2016. gada TID direktīva¹², kā arī tās ierosinātā pārskatītā redakcija, TID2 direktīva¹³. Tāpat arī nav visaptverošas informācijas par summu, koEUIBA velta kiberdrošībai.

12 Komisija 2020. gada jūlijā publicēja paziņojumu par ES Drošības savienības stratēģiju¹⁴ 2020.–2025. gadam. Tās galvenās prasības ietver “vienotus noteikumus par informācijas drošību un kiberdrošību ES iestādēm, struktūrām un aģentūrām”. Šis jaunais satvars ir paredzēts spēcīgas un efektīvas operatīvās sadarbības stiprināšanai, CERT-EU uzņemoties centrālo lomu. ES Kiberdrošības stratēģijā digitālajai desmitgadei¹⁵, kas ir publicēta 2020. gada decembrī, Komisija apņēmās ierosināt regulu par vienotiem kiberdrošības noteikumiem visām EUIBA. Tāpat arī ierosināts izveidot jaunu CERT-EU juridisko pamatu, lai stiprinātu tās pilnvaras un finansējumu.

Revīzijas tvērums un pieeja

13 Ņemot vērā, ka kiberuzbrukumu skaits strauji pieaug un ka nepilnības vienā EUIBA var pakļaut citas iestādes drošības apdraudējumam, šīs revīzijas mērķis bija noteikt, vai EUIBA kopumā ir izveidoti atbilstoši pasākumi aizsardzībai pret kiberdraudiem. Lai atbildētu uz šo galveno revīzijas jautājumu, mēs skatījām turpmāk minētos trīs apakšjautājumus.

1. Vai visas EUIBA ir pieņēmušas svarīgu kiberdrošības praksi?
2. Vai starp EUIBA pastāv efektīva sadarbība kiberdrošības jomā?
3. Vai ENISA un CERT-EU nodrošina EUIBA pietiekamu atbalstu kiberdrošības jomā?

14 Revīzijas laiks ir saskaņots ar ES Drošības savienības stratēģiju. Novērtējot EUIBA pašreizējos kiberdrošības pasākumus, mūsu mērķis ir identificēt jomas, kurās vajadzīgi uzlabojumi, ko Komisija var ņemt vērā, sagatavojot tiesību akta priekšlikumu kopīgiem saistošiem noteikumiem par kiberdrošību visām EUIBA.

15 Revīzijā izskatīti notikumi un iniciatīvas kiberdrošības jomā laikā no 2018. gada janvāra (kad tika izveidota CERT-EU iestāžu vienošanās) līdz 2021. gada oktobrim.

16 Revīzijas tvērumā mēs aprobežojāmies ar kibernoturību un neklasificētām sistēmām. Uzsvars likts uz sagatavotības aspektiem (darbības, kas atbilst “identificēt, aizsargāt, atklāt”). “Reaģēt” un “pārvarēt” darbības bija ārpus mūsu tvēruma. Tomēr mēs pārbaudījām dažus organizatoriskos elementus attiecībā uz reaģēšanu uz incidentiem. Turklāt datu aizsardzības, tiesībaizsardzības, kiberaizsardzības un kiberdiplomātijas aspekti neietilpst mūsu tvērumā (sk. 2. attēlu).

17 Mūsu revīzijas konstatējumu pamatā ir plaša pieejamās dokumentācijas analīze, ko papildina intervijas. Mēs veicām pašnovērtējuma apsekojumu, iesaistot 65 EUIBA, lai iegūtu informāciju par to kiberdrošības pasākumiem un skatījumu uz iestāžu sadarbību. Mēs apsekojām visas EUIBA, uz kurām attiecas ERP revīzijas tiesības un kuras pārvalda savu IT infrastruktūru, kā arī paši savu iestādi. Starp tām ir iestādes, decentralizētās aģentūras, kopuzņēmumi un struktūras. Mēs apsekojām arī civilās misijas, kas ir ES budžeta finansētas pagaidu autonomas vienības un ir neatkarīgas, vērtējot no IT perspektīvas. I pielikumā sniegts apsekoto EUIBA pilns saraksts. Eiropas Ombuds un Eiropas Datu aizsardzības uzraudzītājs neietilpa šīs revīzijas tvērumā.

18 Apsekojumam bija 100 % atbilžu līmenis, un tas tika izmantots kā sākuma punkts turpmākai analīzei. Turklāt mēs izvēlējāmies septiņu EUIBA izlasi, kas pārstāv EUIBA neviendabīgumu, un to sniegtās atbildes papildinājām ar intervijām un dokumentācijas pieprasījumiem. Mūsu izmantotie atlases kritēriji ietvēra juridisko pamatu, lielumu (personāla un budžeta ziņā) un sektoru. EUIBA izlasē ietilpa Eiropas Komisija, Eiropas Parlaments, ES Kiberdrošības aģentūra (ENISA), Eiropas Banku iestāde (EBI), Eiropas Jūras drošības aģentūra (EMSA), ES padomdevēja misija Ukrainā (EUAM Ukraine) un Kopuzņēmums novatorisku zāļu jomā uzsāktās ierosmes īstenošanai (kopuzņēmums IMI).

19 Mēs arī rīkojām videosanāksmes ar CERT-EU, Aģentūru tīkla IKT konsultatīvo komiteju (ICTAC), Iestāžu komiteju digitālās pārveides jautājumos (ICDT) un citām attiecīgām ieinteresētajām personām.

Apsvērumi

EUIBA ir ļoti atšķirīgi kiberdrošības brieduma līmeņi, un tās ne vienmēr ievēro labu praksi

20 Šajā iedaļā izskatīti EUIBA individuālie pasākumi un kiberdrošības satvari. Mēs novērtējām, vai to pieeja kiberdrošībai ir konsekventa un atbilstoša IT drošības pārvaldības, riska pārvaldības, resursu sadales, informētības apmācības, kontroles pasākumu un neatkarīgas pārliecības jomā.

IT drošības pārvaldība EUIBA bieži vien nav labi izstrādāta, un riska novērtējumi nav visaptveroši

Daudzās EUIBA pastāv IT drošības pārvaldības nepilnības

21 Labai pārvaldībai ir būtiska loma efektīvā informācijas un IT sistēmu drošības satvarā, jo tajā ir noteikti organizācijas mērķi un sniegts virziens ar prioritāšu noteikšanas un lēmumu pieņemšanas starpniecību. Kā norāda Informācijas sistēmu revīzijas un kontroles asociācija (ISACA)¹⁶, IT drošības pārvaldības satvarā parasti jāiekļauj vairāki elementi:

• visaptveroša drošības stratēģija, kas pēc būtības ir saistīta ar uzņēmējdarbības mērķiem;
• reglamentējošas drošības politikas, kurās izskatīts katrs stratēģijas, kontroles pasākumu un regulēšanas aspekts;
• pilnīgs standartu kopums katrai politikai, kurā aprakstīti politikas ievērošanai nepieciešamie operatīvie pasākumi;
• institucionalizēti uzraudzības procesi atbilstības nodrošināšanai un atgriezeniskās saites sniegšanai par efektivitāti;
• efektīva organizatoriskā struktūra bez interešu konfliktiem.

22 DaudzāsEUIBA mēs konstatējām IT drošības pārvaldības trūkumus. Tikai 58 % no EUIBA (38 no 65) ir valdes / augstākās vadības līmenī apstiprināta IT drošības stratēģija vai vismaz IT drošības plāns. Sadalījums pa EUIBA veidiem liecina, ka viszemākais procentuālais īpatsvars ir civilajām misijām un decentralizētajām aģentūrām (kas kopā veido 71 % no apsekotajām EUIBA) (sk. 1. tabulu). Augstākās vadības līmenī apstiprinātas IT drošības stratēģijas vai IT drošības plāna neesamība rada risku, ka augstākā līmeņa vadība neapzinās IT drošības problēmas vai nenosaka tās kā pietiekami augstu prioritāti.

23 Mēs pārbaudījām septiņu izlasē iekļauto EUIBA IT drošības stratēģijas/plānus (sk. 18. punktu). Konstatējām, ka EUIBA stratēģijas ir samērā labi saistītas ar to darbības mērķiem. Piemēram, Komisijas IT drošības stratēģija aptver Eiropas Komisijas Digitālās stratēģijas¹⁷ IT drošības dimensiju un ir paredzēta tās ceļveža un mērķu atbalstam. Tomēr tikai trīs mūsu izlasē iekļautās EUIBA savā IT drošības stratēģijā/plānā bija iekļāvušas konkrētus mērķus un termiņu to sasniegšanai.

24 Drošības politikā ir izklāstīti noteikumi un procedūras, kas ir jāievēro personām, kas lieto vai pārvalda informāciju un IT resursus. Tie palīdz mazināt kiberdrošības riskus un informē par to, kas jādara incidentu gadījumā. Mēs konstatējām, ka 78 % EUIBA ir oficiāla informācijas drošības politika, bet tikai 60 % ir oficiāla IT drošības politika (informācijas un IT drošības definīcijas sk. 1. attēlā). Tāpat arī konstatējām, ka četrām no septiņām mūsu izlasē iekļautajām EUIBA drošības politika atbilst to IT drošības stratēģijai. Tomēr trijās no šīm četrām EUIBA IT drošības politiku tikai daļēji papildina atjaunināti detalizēti drošības standarti, kuros aprakstīti operatīvie pasākumi, kas nepieciešami politikas īstenošanai. Oficiālu drošības standartu trūkums palielina risku, ka IT drošības problēmas netiks pienācīgi un konsekventi risinātas visā EUIBA. Turklāt ir grūtāk novērtēt organizācijas atbilstību tās IT drošības politikai. No septiņām izlasē iekļautajām EUIBA tikai Komisijai ir strukturētas procedūras, lai uzraudzītu atbilstību tās IT drošības politikai un standartiem, lai gan tās izmanto tikai ierobežots skaits ģenerāldirektorātu (ĢD) (sk. 1. izcēlumu).

25 Vēl cits svarīgs labas kiberdrošības pārvaldības elements ir galvenā informācijas drošības speciālista (GIDS) iecelšana. Lai gan tas nav tieši noteikts ISO 27 000 saimes standartos¹⁸, GIDS vai līdzvērtīga amata esamība ir kļuvusi par plaši īstenotu praksi visās organizācijās un ir daļa no ISACA vadlīnijām. Parasti GIDS uzņemas vispārēju atbildību par organizācijas informācijas un IT drošības programmām. Lai izvairītos no jebkāda interešu konflikta, GIDS ir jābūt zināmai neatkarības pakāpei no IT funkcijas/departamenta¹⁹.

26 Saskaņā ar mūsu veikto apsekojumu 60 % EUIBA nav iecēlušas neatkarīgu GIDS vai līdzvērtīgu amata izpildītāju. Pat tad, ja GIDS (vai līdzvērtīgu personu) ieceļ, tā pienākumi dažādās EUIBA pēc būtības ir ļoti atšķirīgi un EUIBA tā funkcijas izprot dažādi. It īpaši mazās un vidējās EUIBA GIDS parasti ir saistīts ar operatīvākiem pienākumiem, nav funkcionāli neatkarīgs no IT departamenta. Tādējādi GIDS autonomija īstenot drošības prioritātes var būt ierobežota. ENISA pašlaik izstrādā ES Kiberdrošības prasmju satvaru, kurā viens no mērķiem ir izveidot vienotu izpratni par pienākumiem, kompetencēm un prasmēm.

EUIBA IT drošības risku novērtējumi pārsvarā neaptver visu IT vidi

27 Visos starptautiskajos IT drošības standartos uzsvērts, ka svarīgi ir noteikt piemērotu metodi drošības risku novērtēšanai un risināšanai attiecībā uz IT sistēmām un tajās esošajiem datiem. Riski ir jānovērtē periodiski, lai aplūkotu izmaiņas organizācijas informācijas drošības prasībās un novērstu riskus, ar ko tā sastopas²⁰. Pēc novērtējumiem ir jāsagatavo riska mazināšanas plāns (vai IT drošības plāns).

28 Lielākā daļa apsekoto EUIBA (58 no 65) norādīja, ka ievēro satvaru vai metodoloģiju riska novērtējumu veikšanai attiecībā uz savām IT sistēmām. Tomēr visām EUIBA nav vienotas metodoloģijas. Vismaz 26 EUIBA daļēji vai pilnībā izmanto Komisijas izstrādātās metodoloģijas, konkrēti, 31 % EUIBA izmantoja 2018. gada IT drošības risku pārvaldības metodoloģiju (ITSRM2). Pārējās ievēro metodoloģijas atbilstoši labi zināmiem nozares standartiem (piemēram, ISO27 001, ISO27 005, Nacionālā Standartu un tehnoloģijas institūta kiberdrošības satvaru (NIST-CSF) vai Interneta drošības centra (CIS) kontroles mehānismus) vai arī izmanto citas iekšējās metodoloģijas.

29 No septiņām izlasē iekļautajām EUIBA tikai divas veic visaptverošus riska novērtējumus, kas attiecas uz visu IT vidi (t. i., visām savām IT sistēmām). Lielākā daļa veic atsevišķus riska novērtējumus tikai svarīgākajām IT sistēmām. Mēs konstatējām vairākus piemērus, kad riska novērtējumu veic pirms jaunu sistēmu ieviešanas. Tomēr mēs neatradām pierādījumus par turpmākiem riska novērtējumiem, kas būtu saistīti, piemēram, ar sekojošām izmaiņām sistēmās/infrastruktūrā.

EUIBA pieeja kiberdrošībai nav konsekventa, un ne vienmēr ir ieviesti būtiski kontroles mehānismi

Resursu piešķiršana kiberdrošībai dažādās EUIBA ļoti atšķiras

30 Apsekojumā lūdzām EUIBA iesniegt datus par kopējiem IT izdevumiem 2020. gadā un aplēsi par summu, kas ir iztērēta kiberdrošībai. Mūsu datos redzamas ievērojamas atšķirības IT izdevumu īpatsvarā, ko atsevišķas EUIBA ir piešķīrušas kiberdrošībai. Tā tas ir pat EUIBA ar līdzīgu darbinieku skaitu. Kā parādīts 3. attēlā, atšķirības parasti ir īpaši lielas starp tām EUIBA, kurās ir mazāk darbinieku.

31 Kiberdrošības izdevumu optimālo līmeni ir grūti novērtēt absolūtos skaitļos. Tas ir atkarīgs no daudziem faktoriem, tādiem kā organizācijas uzbrukumu tvērums, tās apstrādāto datu sensitivitāte, tās riska profils un vēlme uzņemties risku, kā arī sektora juridiskās/regulatīvās prasības. Tomēr mūsu datos uzsvērts, ka atšķirības ir ievērojamas, un to pamatojums nav vienmēr skaidri redzams. Dažas EUIBA kiberdrošībai tērē ievērojami mazāk nekā citas līdzīga lieluma struktūras, un tas var liecināt par nepietiekamiem tēriņiem, ja tās ir pakļautas līdzīgiem apdraudējumiem un riskiem.

32 Lielākā daļa EUIBA gan personāla, gan IT izdevumu ziņā ir vērtējamas kā mazas vai vidējas, divās trešdaļās EUIBA ir mazāk par 350 darbiniekiem. Mazākajā EUIBA ir tikai 15 darbinieki. Mazākajām EUIBA kiberdrošības pārvaldība ir sarežģītāka un prasa vairāk resursu. Lielākoties tās nevar gūt labumu no apjomradītiem ietaupījumiem, un tām nav pietiekamu iekšēju zināšanu. Pamatojoties uz mūsu apsekojumu un intervijām, tādām lielākajām iestādēm kā Komisija un Eiropas Parlaments ir speciālistu grupas, kas pilnu laiku strādā kiberdrošības pārvaldības jomā. Tomēr mazākajām EUIBA, kuru personāls un resursi ir īpaši ierobežoti, vispār nav speciālistu, un kiberdrošību nepilnu laiku pārvalda darbinieki, kuriem ir IT zināšanas. Tā kā EUIBA ir cieši savstarpēji saistītas, risks ir lielāks (sk. arī 10. punktu).

33 Apsekojumā mēs jautājām EUIBA, kādas bija galvenās problēmas, īstenojot efektīvu kiberdrošības politiku savās organizācijās (sk. 4. attēlu). Lielākais izaicinājums ir tas, ka kiberdrošības speciālisti ir nepietiekams resurss, un daudzām EUIBA ir grūtības tos piesaistīt, jo pastāv konkurence gan no privātā sektora, gan no citām EUIBA. Atkārtotas problēmas rada ilgas darbā pieņemšanas procedūras, konkurētnespējīgi līguma nosacījumi un pievilcīgu karjeras iespēju trūkums. Speciālistu trūkums rada būtisku risku efektīvai darbībai kiberdrošības jomā.

Lielākā daļa EUIBA piedāvā kāda veida kiberdrošības informētības apmācību, bet tā nav sistemātiska vai mērķtiecīga

34 Sistēmu un ierīču ievainojamības izmantošana nav vienīgais veids, kā iespējamie uzbrucēji var radīt kaitējumu. Viņi var arī pamudināt lietotājus atklāt sensitīvu informāciju vai lejupielādēt ļaunprogrammatūru, piemēram, izmantojot pikšķerēšanu vai sociālo inženieriju. Personāls ir katras organizācijas pirmā aizsardzības līnija. Tādēļ kiberinformētība un apmācības programmas ir būtisks efektīva kiberdrošības satvara elements.

35 Lielākā daļa apsekoto EUIBA (95 %) nodrošina visiem darbiniekiem kāda veida vispārīgu kiberinformētības apmācību, izņemot trīs EUIBA. Tomēr tikai 41 % EUIBA organizē specifisku apmācību vai informētības sesijas vadītājiem, un tikai 29 % nodrošina obligātu kiberdrošības apmācību vadītājiem, kuri atbild par IT sistēmām, kurās ir sensitīva informācija. Vadības informētībai un apņēmībai ir būtiska loma efektīvā kiberdrošības pārvaldībā. No vienpadsmit EUIBA, kuras norādīja uz vadības atbalsta neesamību kā problēmu efektīvai kiberdrošībai, tikai trijās tiek nodrošināta informētības apmācība vadībai. Pastāvīgu kiberdrošības apmācību IT personālam un IT drošības speciālistiem piedāvā attiecīgi 58 % un 51 % EUIBA.

36 Ne visās EUIBA ir mehānismi, ar ko uzraudzīt, vai personāls apmeklē kiberdrošības apmācību un vai viņu informētība un rīcība pēc tam ir mainījusies. Kiberinformētības sesijas var sniegt neformālu personāla sanāksmju kontekstā, it īpaši mazākās organizācijās. Galvenais veids, kādā organizācijas var novērtēt personāla informētību, ir periodiski pārbaudīt viņu rīcību, ieskaitot brieduma apsekojumu vai pikšķerēšanas mācības. Pēdējo piecu gadu laikā 55 % EUIBA organizēja vienu vai vairākas simulētas pikšķerēšanas kampaņas (vai līdzīgas mācības). Tā kā pikšķerēšana ir viens no galvenajiem draudiem, ar ko sastopas publiskās pārvaldes iestāžu personāls²¹, šīs mācības ir svarīgs rīks personāla apmācībā un informētības veicināšanā. Mēs konstatējām, ka Komisijas kiberinformētības pasākumi ir laba prakse un ir pieejami citām ieinteresētajām EUIBA (sk. 2. izcēlumu).

Būtiski kontroles mehānismi ne vienmēr ir ieviesti vai oficiāli iekļauti standartos

37 Mēs lūdzām EUIBA veikt pašnovērtējumu par to, kā tās īsteno atlasītus būtiskus kontroles mehānismus²². Mēs izvēlējāmies labākās prakses kopumu, ko pat mazākās organizācijas varētu pamatoti īstenot²³. Rezultāti ir apkopoti 5. attēlā. Lielākajā daļā apsekoto EUIBA atlasītie būtiskie kontroles mehānismi ir pieņemti. Tomēr dažās jomās kontroles mehānismi šķiet nepilnīgi vai ir ierobežoti vismaz 20 % EUIBA.

38 Septiņām izlasē iekļautajām EUIBA mēs pieprasījām pamatojuma dokumentus un attiecīgos standartus/politiku katram kontroles mehānismam, par kura ieviešanu tās ziņoja. Šos dokumentus mēs saņēmām par 62 % kontroles mehānismu. Kā tika noskaidrots intervijās, vairākos gadījumos tehniskie kontroles mehānismi bija ieviesti, bet tie nebija oficiāli iekļauti atjauninātos standartos vai politikā, un tas palielina risku, ka IT drošības jautājumi netiek konsekventi risināti vienā un tajā pašā EUIBA (sk. arī 24. punktu).

Vairākas EUIBA negūst regulāru neatkarīgu pārliecību par saviem kiberdrošības pasākumiem

39 Saskaņā ar ISACA²⁴ iekšējā revīzija ir viena no trim svarīgākajām organizācijas aizsardzības līnijām, un pārējās divas ir vadība un riska pārvaldība. Iekšējā revīzija veicina informācijas un IT drošības pārvaldības uzlabošanu. Mēs pārbaudījām, cik bieži EUIBA saņem neatkarīgu pārliecību par savu IT drošības satvaru, izmantojot iekšējas vai ārējas revīzijas un savas kiberaizsardzības proaktīvu testēšanu.

40 Komisijas Iekšējās revīzijas dienests (IRD) cita starpā ir atbildīgs par Komisijas un decentralizēto aģentūru, kopuzņēmumu un EĀDD IT revīzijas veikšanu. Dienesta pilnvaras attiecas uz 46 (70 %) no 65 EUIBA, ko mēs apsekojām, un pēdējo piecu gadu laikā IRD ir veicis ar IT drošību saistītas revīzijas sešās dažādās EUIBA. Turklāt HR ĢD kompetencē ir veikt IT drošības pārbaudes par tehniskās informācijas drošības aspektiem²⁵. Septiņas no pārējām EUIBA ziņoja, ka tām ir sava iekšējās revīzijas funkcija attiecībā uz IT aspektiem, bet divpadsmit EUIBA apsekojumā norādītās atbildes nebija pietiekamas, lai noteiktu, vai tām ir šādas iekšējās revīzijas spējas.

41 Ārējās IT drošības revīzijas, ko veic neatkarīgas struktūras, ir vēl viens veids, kā gūt neatkarīgu pārliecību. Lai gan kibervides aina strauji mainās, no 2015. gada sākuma līdz 2021. gada pirmajam ceturksnim 34 % EUIBA nebija veiktas nekādas iekšējas vai ārējas IT drošības revīzijas. Minētā skaitļa sadalījums pēc EUIBA veidiem atklāj, ka kopš 2015. gada 75 % ES struktūru, 66 % kopuzņēmumu un 45 % civilo misiju nav veikta iekšēja vai ārēja IT drošības revīzija.

42 Bez iekšējām un ārējām revīzijām organizācijas pārliecību par savu IT drošības satvaru var gūt, proaktīvi testējot savu kiberaizsardzību, lai konstatētu ievainojamību. Viena metode, kā to izdarīt, ir ielaušanās testi (zināma arī kā ētiskā uzlaušana), kas sastāv no atļautiem simulētiem kiberuzbrukumiem atsevišķām datorizētām sistēmām. Atbildot uz mūsu apsekojumu, 69 % EUIBA norādīja, ka pēdējo piecu gadu laikā tās ir veikušas vismaz vienu ielaušanās testu. Ielaušanās testus 45 % gadījumu veica CERT-EU.

43 “Sarkanās komandas” mācības ir vēl cits veids, kā pārbaudīt kiberaizsardzību ar simulētu uzbrukumu palīdzību, izmantojot paņēmienus, kas nesen izmantoti reālos uzbrukumos. Šādas darbības ir sarežģītākas un visaptverošākas nekā ielaušanās testi, jo tajās ir iesaistītas daudzas sistēmas un iespējamie uzbrukuma veidi. Šos vingrinājumus EUIBA veic retāk: 46 % EUIBA ziņoja, ka ir veikušas vismaz vienas sarkanās komandas mācības pēdējo piecu gadu laikā. CERT-EU veica 75 % šo mācību. Sarkanās komandas mācībām nepieciešams ievērojams darba ieguldījums, lai tās sagatavotu un veiktu, un pašlaik CERT-EU spēj veikt ne vairāk kā piecas līdz sešas mācības gadā.

44 Izņemot divas nesen izveidotas EUIBA, 16 (25 %) no apsekotajām EUIBA pēdējo piecu gadu laikā nebija veikušas ielaušanās testus vai sarkanās komandas mācības. Kopumā septiņas EUIBA (10 %) nav guvušas nekāda veida neatkarīgu pārliecību par to IT drošības pasākumiem: viens kopuzņēmums, viena decentralizētā aģentūra un piecas civilās misijas.

EUIBA ir izveidojušas sadarbības mehānismus, bet pastāv trūkumi

45 Šajā iedaļā aplūkoti dalībnieki un komitejas EUIBA sadarbības veicināšanai kiberdrošības jomā, kā arī iestāžu pārvaldības un koordinēšanas pasākumi. Konkrētāk, mēs pārbaudījām divus iestāžu dalībniekus: ENISA un CERT-EU, kā arī divas iestāžu komitejas: Iestāžu komiteju digitālās pārveides jautājumos (ICDT), it īpaši tās kiberdrošības apakšgrupu (CSSG), un Informācijas un komunikācijas tehnoloģiju konsultatīvo padomi (ICTAC). Tāpat arī mēs novērtējām, cik lielā mērā šie dalībnieki ir panākuši sinerģiju, lai palielinātu EUIBA kiberdrošības sagatavotību.

Pastāv oficiāla struktūra EUIBA darbību koordinēšanai, lai gan ir daži pārvaldības problēmjautājumi

46 ICDT un ICTAC ir divas galvenās komitejas EUIBA sadarbības veicināšanai IT jomā. ICDT sastāvā ir ES iestāžu un struktūru IT vadītāji, un tā ir forums, kurā tiek veicināta informācijas apmaiņa un sadarbība. Tai ir kiberdrošības apakšgrupa (ICDT CSSG), kura ziņo ICDT un var ieteikt lēmumu pieņemšanu konkrētos jautājumos. Savukārt ICTAC ir ES Aģentūru tīkla (EUAN), proti, ES aģentūru vadītāju izveidota neformāla tīkla, apakšgrupa, kuras mērķis ir veicināt aģentūru un kopuzņēmumu sadarbību. Gan ICDT, gan ICTAC ir skaidri definēti, papildinoši pienākumi: ICTAC aptver decentralizētas aģentūras un kopuzņēmumus, bet ICDT – iestādes un struktūras. Pēc būtības ICDT un ICTAC ir samērā neformālas konsultatīvās grupas un forumi informācijas un labākās prakses apmaiņai. Plašāka informācija par šīm iestāžu komitejām ir sniegta II pielikumā.

EUIBA pārstāvniecība attiecīgajos forumos ne vienmēr ir pietiekama

47 Lai gan pārstāvniecības struktūras ir skaidras, ne visas EUIBA uzskata faktisko pārstāvniecību par pietiekamu. Lūgtas atbildēt uz apsekojuma jautājumu sniegt viedokli par apgalvojumu “Manas vajadzības tiek pietiekami ņemtas vērā attiecīgajos iestāžu forumos, un mana EUIBA ir pienācīgi pārstāvēta valdēs, kuras pieņem lēmumus,” 42 % EUIBA tam nepiekrita. Dažas no mazākajām EUIBA uzskatīja, ka tām nav pietiekamu resursu, lai aktīvi piedalītos iestāžu forumos.

48 CERT-EU valde, kas ir tās galvenā lēmējinstance, arī nepārstāv izveidotājus kopumā. CERT-EU sniedz pakalpojumus 87 EUIBA, kā arī trim struktūrām, kas nav EUIBA. Tomēr valdē ir pārstāvji tikai no 11 iestāžu vienošanās parakstītājiem (septiņas ES iestādes un EĀDD, Ekonomikas un sociālo lietu komiteja, Reģionu komiteja un Eiropas Investīciju banka) un ENISA pārstāvis; katram pārstāvim ir viena balss²⁶.

49 Vairāk nekā puse CERT-EU izveidotāju ir ES decentralizētās aģentūras un kopuzņēmumi, kuros kopā ir aptuveni 12 000 darbinieku. Oficiāli viņu intereses CERT-EU valdē pārstāv ENISA. Tomēr ENISA pilnvaras pārstāvēt ES aģentūras un kopuzņēmumus ir vājas, jo šīs struktūras to nav tieši iecēlušas vai ievēlējušas. Praksē decentralizēto aģentūru un kopuzņēmumu viedokļus valdes sēdēs pauž ICTAC pārstāvis, kuram tās ir ļauts apmeklēt, lai palīdzētu ENISA pildīt aģentūru pārstāvniecības pienākumus. Lai gan ICTAC pārstāvis pauž 48 EUIBA viedokļus un intereses, tam pašlaik valdē nav oficiālas vietas vai balss. 2021. gada aprīlī ICTAC nosūtīja CERT-EU valdei oficiālu pieprasījumu par balsstiesībām valdē. Ziņojuma rakstīšanas laikā šis pieprasījums vēl nebija izpildīts. Informācijas apkopojums par EUIBA pārstāvību lēmumu pieņemšanas valdēs un komitejās ir sniegts 6. attēlā.

50 EUIBA iestāžu kiberdrošības pārvaldība ir sadrumstalota, un pašlaik nevienai struktūrai nav visaptveroša pārskata par EUIBA kiberdrošības briedumu vai pilnvaru uzņemties vadošo lomu vai panākt kopīgu saistošu noteikumu izpildi. Gan ENISA, gan CERT-EU var vienīgi “sniegt atbalstu” un “palīdzēt” EUIBA. Attiecīgajām komitejām nav pilnvaru pieņemt lēmumus, un tās var tikai sniegt ieteikumus EUIBA. Turklāt piektdaļai apsekoto EUIBA nav skaidrs, pie kā vērsties, lai saņemtu konkrētu pakalpojumu, rīku vai risinājumu.

Starp galvenajiem dalībniekiem pastāv saprašanās memorandi, bet līdz šim tie nav devuši konkrētus rezultātus

51 Saprašanās memorands (SM) starp ENISA, CERT-EU, Eiropola Eiropas Kibernoziedzības apkarošanas centru (EC3) un Eiropas Aizsardzības aģentūru (EAA) tika parakstīts 2018. gada maijā. Tas ir vērsts uz piecām sadarbības jomām: informācijas apmaiņu, izglītību un apmācību, kiberdrošības mācībām, tehnisko sadarbību un stratēģiskajiem un administratīvajiem jautājumiem. Lai gan šis SM varētu palīdzēt izvairīties no dublēšanas, nosakot vienotu darba programmu, mēs neesam novērojuši pierādījumus par konkrētiem rezultātiem un kopīgām darbībām.

52 Kiberdrošības aktā (KDA), kas stājās spēkā 2019. gada jūnijā, bija paredzēta jaunas un konkrētas sadarbības kārtības parakstīšana starp CERT-EU un ENISA. Jāatzīmē, ka bija nepieciešams vairāk nekā pusotrs gads, lai 2021. gada februārī beidzot parakstītu SM. Šajā SM mēģināts izveidot strukturētu sadarbību starp CERT-EU un ENISA. Tajā noteiktas sadarbības jomas (spēju veidošana, operatīvā sadarbība un zināšanas un informācija) un noteikta aptuvena pienākumu sadale:CERT-EU uzņemsies vadību palīdzības sniegšanā EUIBA, bet ENISA sniegs ieguldījumu šajos centienos. SM nav definēti praktiski pasākumi, jo tie tiek precizēti gada sadarbības plānā. Pirmo gada sadarbības plānu 2021. gadam ENISA valde pieņēma 2021. gada jūlijā un CERT-EU valde – 2021. gada septembrī. Tādēļ ir pāragri revīzijā novērtēt, vai šim plānam ir bijuši kādi taustāmi rezultāti.

53 Tā kā abiem saprašanās memorandiem, kas minēti 51. un 52. punktā, ir kopīgi mērķi un sadarbības jomas, piemēram, apmācība, mācības vai informācijas apmaiņa, pastāv pārklāšanās un atkārtošanās risks.

Potenciālā sinerģija, ko rada sadarbība, vēl nav pilnībā izmantota

Sinerģijas sasniegšanai ir veikti pozitīvi pasākumi

54 ICTAC un ICDT CSSG komiteju darba programmās identificētas aktuālas tēmas, kurās sadarbības rezultātā var gūt efektivitātes pieaugumu. Praktiski tādu ierosmju piemēri, kas ļāvušas EUIBA gūt labumu no sinerģijas, ir:

• iestāžu pamatlīgumi;
• kopīgs negadījumu seku novēršanas centrs, ko decentralizētajām aģentūrām kopš 2019. gada uztur Eiropas Savienības Intelektuālā īpašuma birojs (EUIPO), ļaujot vismaz par 20 % ietaupīt izmaksas salīdzinājumā ar tirgus cenām (deviņas aģentūras ir pieņēmušas šo negadījumu seku novēršanas risinājumu);
• līgumi starp sešiem kopuzņēmumiem, kas atrodas vienā ēkā, par vienotas infrastruktūras un vienota IT drošības satvara izmantošanu (kopš 2014. gada).

55 Vēl cits svarīgs piemērs ir GovSec – sistēma, kas palīdz EUIBA veikt riska novērtējumus mākoņrisinājumu pieņemšanas kontekstā. Saskaņā ar mūsu apsekojumu 75 %EUIBA jau lieto kādas publiskas mākoņplatformas, un vairākas EUIBA, kas to vēl nedara, plāno pāriet uz mākoni. Kopš 2019. gada Komisija ir virzījusi “mākonis vispirms” pieeju, plānojot drošu daudzmākoņu hibrīdpakalpojuma piedāvājumu²⁷. Tāpat arī Komisija darbojas kā mākoņa brokeris visām EUIBA “Cloud II” pamatlīguma kontekstā. Drošības un datu aizsardzības risku pārvaldībai mākoņplatformās ir nepieciešamas jaunas prasmes un citādāka pieeja, salīdzinot ar tradicionālo IT infrastruktūru “telpās”. Efektīva informācijas drošības risku pārvaldība mākonī ir kopīgs izaicinājums visām EUIBA, un GovSec ir risinājuma piemērs, kas varētu atbilst vairāku, ja ne visu, EUIBA vajadzībām.

Sadarbība un prakses apmaiņa starp EUIBA joprojām nav optimāla

56 Iestāžu komiteju esamība automātiski nerada sinerģiju, un EUIBA ne vienmēr veic labākās prakses, zināšanu, metodoloģiju un gūto atziņu apmaiņu. Turklāt katras EUIBA ziņā ir lemt par savu iesaistes līmeni ICDT CSSG darbā. Lai gan ICDT CSSG locekļi apmeklē sanāksmes, viņi var sniegt ieguldījumu tikai tik, cik to ļauj viņu parastie darba pienākumi EUIBA, un tādēļ dažu darba grupu apstiprināto darbību virzība jau ir palēninājusies.

57 Mēs konstatējām konkrētas jomas, kurās EUIBA nav vienošanās par pieredzes un ierosmju apmaiņas kārtību. Piemēram, saskaņā ar “Tīklu aizsardzības spēju” (TAS) pamatlīgumu EUIBA var pieprasīt pētījumu, lai konsolidētu kiberdrošības prasības un rastu risinājumus. Tomēr netiek nodrošināts šādu veikto vai citu EUIBA pieprasīto pētījumu repozitorijs, un tāpēc EUIBA var pieprasīt vienu un to pašu pētījumu vairākas reizes. Turklāt EUIBA sistemātiski neatklāj cita citai, ka tām ir līgumattiecības ar konkrētiem piegādātājiem vai ka tās lieto konkrētu programmatūras risinājumu. Šis zināšanu trūkums var radīt papildu izmaksas un neizmantotu sinerģiju.

58 Tāpat arī EUIBA neveic savstarpēju, sistemātisku informācijas apmaiņu par kiberdrošības projektiem, ko tās īsteno, pat tad, ja šiem projektiem būtu ietekme uz vairākām iestādēm. ICDT CSSG pilnvarās ietilpst noteikums, ka EUIBA veic informācijas apmaiņu par jauniem projektiem, kas var potenciāli ietekmēt citu EUIBA kiberdrošību un/vai no tām izejošās informācijas aizsardzību. Tomēr ICDT CSSG nesaņem informāciju par šādiem projektiem.

59 Kad tiek izveidota jauna organizācija, tai sava IT infrastruktūra un IT drošības satvars ir jāveido no paša sākuma. Nav jaunām aģentūrām paredzēta “pakalpojumu kataloga”, rīkkopas vai skaidru vadlīniju/prasību. Rezultātā EUIBA starpā pastāv ievērojama IT vides nevienveidība, un katra organizācija var potenciāli brīvi un neatkarīgi iepirkt savu programmatūru, aparatūru, infrastruktūru un pakalpojumus. Tas pats notiek arī ar IT drošības satvaru, jo nav vienotu prasību un standartu. Šī situācija rada iespējamu centienu dublēšanos un neefektīvu ES naudas izlietojumu, kā arī palielina sarežģījumus CERT-EU sniedzamā nepieciešamā atbalsta ziņā.

Sensitīvas informācijas apmaiņā pastāv praktiski trūkumi

60 DažāmEUIBA joprojām nav atbilstošu risinājumu sensitīvas neklasificētas informācijas apmaiņai. Tās, kurām risinājumi ir, galvenokārt ir pieņēmušas dažādus savus produktus un sistēmas, un tas nozīmē, ka pastāv savietojamības problēma. Vienotas drošas platformas pastāv tikai konkrētiem mērķiem, piemēram, CERT-EU piedāvātās platformas visiem izveidotājiem sensitīvas informācijas apmaiņai par incidentiem, draudiem un ievainojamību.

61 Piemēram, vairāk nekā 20 % EUIBA nav šifrēta e-pasta pakalpojuma. Ir tādas EUIBA, kurām bieži vien ir savietojamības problēmas un savstarpēji neatzīti sertifikāti. ICTAC un ICDT jau gadiem apspriež iespējas pielāgojamam un savietojamam risinājumam, un 2018. gadā notika izmēģinājuma projekts. Tomēr jautājums vēl nav atrisināts.

62 Vēl cita problēma ir vienotu marķējumu neesamība sensitīvai neklasificētai informācijai. Marķējumi ir kategorizācijas, kas norāda informācijas turētājiem uz konkrētām aizsardzības prasībām attiecīgajai informācijai. EUIBA ir dažādi marķējumi, un tas sarežģī informācijas apmaiņu un pienācīgu apstrādi.

63 2020. gadā Covid-19 pandēmija piespieda EUIBA lielā mērogā pieņemt sakaru un videokonferenču rīkus, lai nodrošinātu darbības nepārtrauktību. Mēs identificējām vismaz 15 dažādus videokonferenču programmatūras risinājumus, ko lieto EUIBA. Pat tad, ja dažādasEUIBA lieto to pašu risinājumu/platformu, savietojamības joprojām bieži vien nav, pat visiem dalībniekiem lietojot to pašu programmatūras risinājumu. Turklāt EUIBA ir dažādas vadlīnijas par to, kādu informāciju (sensitivitātes ziņā) var kopīgot vai apspriest konkrētajā platformā. Šādas problēmas rada ekonomisku un operatīvu neefektivitāti un var radīt iespējamas problēmas saistībā ar drošību.

ENISA un CERT-EU vēl nav sniegušas EUIBA visu vajadzīgo atbalstu

64 Šajā iedaļā mēs pārbaudījām divas galvenās struktūras, kuru uzdevums ir sniegt EUIBA atbalstu kiberdrošībā: ENISA un CERT-EU. Mēs novērtējam, vai abu šo struktūru sniegtais atbalsts ir sasniedzis EUIBA un atbilst to vajadzībām, uzsverot konstatēto trūkumu iemeslus.

ENISA ir svarīgs dalībnieks ES kiberdrošības jomā, taču tās atbalsts līdz šim ir sasniedzis tikai nedaudzas EUIBA

65 2019. gada jūnijā stājās spēkā Kiberdrošības akts (KDA)²⁸, ar ko aizstāts iepriekšējais ENISA juridiskais pamats²⁹, tādējādi piešķirot aģentūrai lielākas pilnvaras. Konkrēti, tajā noteikts, ka ENISA ir aktīvi jāatbalsta gan dalībvalstis, gan EUIBA, lai uzlabotu kiberdrošību, izmantojot spēju veidošanu, operatīvās sadarbības paplašināšanu un sinerģijas izveidi. Spēju veidošanas jomā ENISA pašlaik ir pilnvarota palīdzēt EUIBA “to centienos attīstīt kiberdraudu un incidentu novēršanas, atklāšanas un analīzes spējas, jo īpaši atbalstot CERT-EU darbību”³⁰. Tāpat arī ENISA būtu jāpalīdz ES iestādēm attīstīt un pārskatīt ES kiberdrošības stratēģijas, veicināt to izplatīšanu un sekot līdzi īstenošanas virzībai.

66 Lai gan Kiberdrošības aktā ir skaidri noteikts, ka ENISA jāatbalsta EUIBA to kiberdrošības uzlabošanā, ENISA vēl nav pabeigusi nevienu rīcības plānu attiecībā uz tās mērķi palīdzēt EUIBA spēju veidošanā (sīkāku informāciju sk. 3. izcēlumā).

67 ENISA galvenā lēmumu pieņemšanas struktūra ir tās valde, kurā ir pa vienam loceklim, ko ieceļ katra no 27 dalībvalstīm, un divi Komisijas iecelti locekļi³¹ (sk. 6. attēlu). Katram loceklim ir viena balss, un lēmumus pieņem ar balsu vairākumu³². Rezultātā darbības attiecībā uz dalībvalstīm var būt ar augstāku prioritāti nekā darbības attiecībā uz EUIBA. Piemēram, ENISA 2018. gada darba programmā valde pieņēma lēmumu, ka pietiekamu resursu trūkuma dēļ par prioritātēm tiks noteiktas konkrētas darbības un tiks noņemtas trīs, no kurām viena bija “atbalsts esošo TID politiku/procedūru/prakses novērtēšanā ES iestādēs”. Šī darbība bija paredzēta, lai ļautu ENISA gūt pārskatu par EUIBA praksi un indikatīvo kiberdrošības briedumu, kas būtu pamatā turpmākām mērķtiecīgām darbībām.

68 TādēļENISA centieni sniegt proaktīvu palīdzību EUIBA, kā norādīts stratēģiskajos mērķos, nav pārvērsti operatīvos mērķos vai konkrētās darbībās. Atbalsts spēju veidošanas un operatīvās sadarbības jomā līdz šim ir bijis ierobežots, pēc pieprasījuma sniegts dažām konkrētām EUIBA.

69 Tāpat arī KDA noteikts, ka, lai palīdzētu EUIBA spēju veidošanā, ENISA ir jāsniedz pienācīgs atbalsts CERT-EU. Šīs revīzijas laikā šāds atbalsts ir aptvēris tikai dažas konkrētas darbības. Piemēram, 2019. gadā ENISA veica CERT-EU profesionālapskati ES CSIRT tīkla dalības kontekstā (ko nosaka TID direktīva).

70 Saskaņā ar atbildēm uz mūsu apsekojumu ENISA publicē augstas kvalitātes ziņojumus un vadlīnijas par kiberdrošību, un kādus no tiem izmanto EUIBA. Tomēr nav specifisku vadlīniju konkrēti EUIBA par to vidi un vajadzībām. EUIBA, it īpaši tām, kuru kiberdrošība ir mazāk attīstīta, ir nepieciešamas praktiskas vadlīnijas ne tikai par to, “kas” jādara, bet arī par to, “kā” to darīt. Līdz šim ENISA un CERT-EU ir sniegušas šādu atbalstu ierobežotā apmērā un nesistemātiski.

71 ENISA ir rīkojusi vairākus apmācību kursus par kiberdrošību, kas galvenokārt bija paredzēti dalībvalstu iestādēm, bet kuros piedalījās arī ierobežots skaits dalībnieku no EUIBA. Tā nodrošināja tikai divus pašmācības kursus, kas bija tieši paredzēti EUIBA. ENISA arī piedāvā tiešsaistes apmācību materiālu savā tīmekļa vietnē, kurai EUIBA var piekļūt, bet līdz šim tie galvenokārt ir bijuši kursi CSIRT tehniskajiem speciālistiem un kā tādi nav bijuši noderīgi lielākajai daļai EUIBA.

72 Papildus apmācībām ENISA var sniegt atbalstu EUIBA, izmantojot kiberdrošības mācības. 2020. gada oktobrī ENISA sadarbībā ar CERT-EU palīdzēja organizēt kiberdrošības mācības ICTAC, kas ir vienīgās mācības, kuras ENISA ir organizējusi konkrēti EUIBA dalībniekiem. Izņemot šīs mācības, ENISA ir palīdzējusi organizēt vairākas mācības pēc dažu EUIBA pieprasījuma (piemēram, EU-LISA, EMSA, Eiropas Parlamenta un Eiropola), galvenokārt to ieinteresētajām personām dalībvalstu iestādēs, arī ar dažu EUIBA darbinieku dalību.

73 KDA arī noteica jaunu ENISA lomu brīvprātīgi palīdzēt EUIBA īstenot ievainojamības atklāšanas politiku. Tomēr ENISA joprojām nav pārskata par atsevišķu EUIBA ievainojamības atklāšanas politiku, un tā nepalīdz šīmEUIBA šādu politiku izveidot un īstenot.

CERT-EU izveidotāji to augstu vērtē, taču tās līdzekļi nav samērīgi ar pašreizējiem kiberdrošības izaicinājumiem

74 Pēc vairākām iniciatīvām (sk. 7. attēlu) 2012. gada septembrī ar Komisijas lēmumu³³ tika izveidota datorapdraudējumu reaģēšanas vienība (CERT-EU) kā pastāvīga EUIBA darba grupa (sk. 08. punktu).

75 Lai gan CERT-EU darbība ir neatkarīga, tā joprojām ir darba grupa un nav tiesību subjekts. Tā ir administratīvi ievietota Eiropas Komisijā (DIGIT ĢD), no kuras tā saņem loģistikas un administratīvu atbalstu. CERT-EU mērķis ir padarītEUIBA IKT infrastruktūru drošāku, palielinot to spējas risināt kiberdraudu un ievainojamības jautājumus un novērst un atklāt kiberuzbrukumus, kā arī reaģēt uz tiem. CERT-EU strādā aptuveni 40 darbinieku, kuri ir organizēti speciālistu grupās, kas koncentrējas, piemēram, uz kiberdraudu izlūkošanu, digitālo kriminālistiku un reaģēšanu un incidentiem.

CERT-EU ir augsti novērtēts partneris ar pieaugošu darba slodzi

76 CERT-EU prasa atgriezenisko saiti un ieteikumus no saviem izveidotājiem, rīkojot seminārus katru ceturksni, ikgadējas divpusējas sanāksmes un apmierinātības apsekojumus. Saskaņā ar apmierinātības apsekojumiem un mūsu pašu apsekojumu izveidotāji pārsvarā ir apmierināti ar CERT-EU sniegtajiem pakalpojumiem. CERT-EU pakalpojumu kataloga attīstība apliecina vienības centienus pielāgoties EUIBA vajadzībām.

77 Kamēr lielas EUIBA ar nozīmīgām pašu spējām galvenokārt izmanto CERT-EU kā informācijas apmaiņas centru un draudu izlūkdatu avotu, mazākas EUIBA paļaujas uz CERT-EU, lai gūtu plašāku pakalpojumu klāstu, piemēram, monitoringa reģistru, ielaušanās testus, sarkanās komandas mācības un atbalstu reaģēšanā uz incidentiem. CERT-EU pakalpojumi ir īpaši vērtīgi mazākām EUIBA, ņemot vērā to ierobežoto iekšējo kompetenci un apjomradītu ietaupījumu trūkumu (sk. 31. un 33. punktu).

78 Pēdējo gadu laikā CERT-EU ir stiprinājusi savas spējas un procedūras, ņemot vērā dramatisko draudu un incidentu pieaugumu. CERT-EU informācijas produktu, jo īpaši brīdinājumu un piezīmju par draudiem, skaits pastāvīgi pieaug (8. attēls). 2020. gadā CERT-EU izdeva 171 piezīmi par draudiem un 53 brīdinājumus par draudiem (ievērojami vairāk nekā sākotnēji paredzētās 80 piezīmes un 40 brīdinājumi).

79 Tāpat arī CERT-EU atbalsta EUIBA, apstrādājot kiberdrošības incidentus. Lai gan 52 % EUIBA ir iekšēja reaģēšanas grupa vai vismaz incidentu koordinators, pārējie 48 % incidentu gadījumā paļaujas uz CERT-EU un/vai citiem ārējiem pakalpojumu sniedzējiem. Tomēr pat lielas EUIBA ar pašu reaģēšanas spējām var prasīt atbalstu no CERT-EU, lai risinātu sarežģītus incidentus.

80 Kopējais CERT-EU risināto incidentu skaits pieauga no 561 incidenta 2019. gadā līdz 884 incidentiem 2020. gadā. It īpaši būtisku incidentu skaits ir pieaudzis no tikai viena 2018. gadā līdz 13 incidentiem 2020. gadā. 2021. gadā būtisko incidentu skaits sasniedza 17, pieaugot no 13 incidentiem 2020. gadā, kurā jau bija lielākais šādu incidentu skaits. Šos būtiskos incidentus parasti izraisa ļoti sarežģīti draudi. Tie var ietekmēt vairākas EUIBA, ietvert kontaktu ar iestādēm, un parasti iesaistītajām pusēm un CERT-EU jāstrādā nedēļām un pat mēnešiem, lai tos izmeklētu un novērstu.

81 CERT-EU ir arī galvenais proaktīvu novērtējumu un EUIBA kiberaizsardzības testu nodrošinātājs. Kopsavilkums par CERT-EU darbību šajā jomā ir sniegts 9. attēlā. Turklāt, sākot ar 2020. gadu, CERT-EU veic arī ārējo tīklu skenēšanu.

Izveidotāji savlaicīgi nesniedz CERT-EU attiecīgu informāciju

82 IV³⁴ norādīts, ka izveidotājiem ir jāziņo CERT-EU par būtiskiem kiberdrošības incidentiem. Tomēr praksē tas ne vienmēr notiek. IV nav noteikts izpildes mehānisms, lai CERT-EU izveidotājiem būtu obligāti un savlaicīgi jāziņo par “būtiskiem” incidentiem. “Būtisku incidentu” vispārējā definīcija IV dod EUIBA rīcības brīvību jautājumā par incidenta ziņošanu. CERT-EU vadība norāda, ka daži izveidotāji nav savlaicīgi snieguši informāciju par būtiskiem incidentiem, traucējot CERT-EU darbību kā kiberdrošības informācijas apmaiņas un incidentu reaģēšanas koordinēšanas centram visām EUIBA. Piemēram, viens izveidotājs, kurš tika pakļauts ļoti sarežģītiem draudiem, neinformēja CERT-EU un nemeklēja atbalstu. Tas liedza CERT-EU vākt kiberdraudu izlūkdatus, kas būtu bijuši noderīgi, atbalstot citus dalībniekus, kuri saskaras ar tādiem pašiem draudiem. Šis uzbrukums ietekmēja vismaz sešas EUIBA.

83 Tāpat arī izveidotāji nav aktīvi un savlaicīgi snieguši CERT-EU informāciju par kiberdrošības draudiem un ievainojamību, kas tos ietekmē, lai gan IV³⁵ šāda prasība ir noteikta. CERT-EU Digitālās kriminālistikas un incidentu reaģēšanas vienība nav saņēmusi paziņojumus par ievainojamību vai trūkumiem kontroles mehānismos, kas būtu atklāti ārpus tās aktīvi izmeklēto incidentu konteksta. Izveidotāji neveic proaktīvu apmaiņu ar attiecīgajiem iekšējo vai ārējo drošības revīziju konstatējumiem.

84 Turklāt IV nav noteikts obligāts EUIBA pienākums ziņot CERT-EU par būtiskām izmaiņām to IT vidē; tā rezultātā izveidotāji nav sistemātiski informējuši CERT-EU par attiecīgajām izmaiņām. Piemēram, EUIBA ne vienmēr informē CERT-EU par jebkādām izmaiņām savā IP intervālā (t. i., par savas infrastruktūras interneta adrešu sarakstu). CERT-EU ir nepieciešams atjaunināt IP intervālus, piemēram, lai veiktu skenēšanu, atklājot būtisku ievainojamību. Tā kā EUIBA neinformē CERT-EU par šādām izmaiņām, tas ietekmē vienības spēju sniegt atbalstu. Neziņošana CERT-EU ietekmē arī spēju uzraudzīt sistēmas, un ir nepieciešams vairāk darba, lai labotu neprecīzus datus uzraudzības rīkos. Kā norāda vadība, CERT-EU dažreiz atklāj iepriekš nezināmu IT infrastruktūru, risinot kādu incidentu. Turklāt bez konkrētiem gadījumiem CERT-EU pašreiz nav visaptveroša pārskata par EUIBA kopienas IT sistēmām un tīkliem.

85 Tā kā IV nav nekāda izpildes mehānisma, EUIBA paziņojumi CERT-EU, kas ir būtisks elements, lai EUIBA kopienas kiberdrošības sagatavotības centrā būtu CERT-EU, joprojām būs nesistemātiski.

CERT-EU resursi ir nestabili un neatbilst pašreizējam draudu līmenim

86 IV³⁶ norādīts, ka “CERT-EU vajadzībām būtu jānodrošina ilgtspējīgs finansējums un personāls, vienlaikus nodrošinot izmaksu lietderību un pienācīgu pastāvīgu pamatpersonālu”. Vissvarīgākais CERT-EU aktīvs ir augsti kvalificēts un specializēts personāls. 10. attēlā ir parādītas CERT-EU darbinieku skaita izmaiņas no tās izveides 2011. gadā līdz mūsdienām.

87 Vairāk nekā divām trešdaļām CERT-EU darbinieku ir pagaidu līgumi. Viņu alga kiberdrošības speciālistu tirgū nav ļoti konkurētspējīga, un CERT-EU vadība norāda, ka kļūst arvien grūtāk pieņemt darbā un noturēt speciālistus. Tā kā algas vecākajiem kandidātiem nav pietiekami pievilcīgas, CERT-EU nākas pieņemt darbā jaunākus darbiniekus un ieguldīt laiku viņu apmācībā. Turklāt līgumu maksimālais termiņš ir seši gadi, un tas nozīmē, ka CERT-EU nav citas iespējas, kā vien ļaut nolīgtajiem darbiniekiem aiziet, kad viņi ir sasnieguši zināšanu virsotni. Personāla nomaiņa īpaši izteikta bija 2020. gadā: 21 % darbinieku aizgāja no CERT-EU, un visus darbiniekus nevarēja aizvietot. Attiecībā uz iepriekšējiem gadiem 9 % darbinieku aizgāja 2019. gadā, bet 2018. gadā – 13 %.

88 CERT-EU vadība uzsvēra, ka pašlaik CERT-EU Digitālās kriminālistikas un incidentu reaģēšanas vienība bieži ir pārslogota, un citas vienības nespēj tikt galā ar pieprasījumu. Rezultātā CERT-EU nākas samazināt savu darbību. Piemēram,CERT-EU pašlaik neveic savu izveidotāju brieduma novērtējumu, jo trūkst resursu. CERT-EU “brīdinājumu par aizdomīgu darbību” pakalpojums tika ieviests vēlāk, nekā paredzēts, tāpat resursu nepietiekamības dēļ. Turklāt vairāki intervētie izveidotāji minēja ilgo laiku, ko viņiem nācās gaidīt, lai piekļūtu CERT-EU pakalpojumiem.

89 Līdz šim ierobežotie resursi ir spieduši CERT-EU īpaši koncentrēties uz tradicionālās “telpās” esošās IT infrastruktūras aizsardzību pret būtiskiem draudiem no (parasti nacionālo valstu atbalstītām) grupām, kas rada attīstītu pastāvīgu apdraudējumu. Taču CERT-EU vadība norāda, ka EUIBA ir paplašinājušas IT perimetru (iekļaujot arī mākoni, mobilās ierīces un tāldarba rīkus), tāpēc ir nepieciešama paplašināta uzraudzība un aizsardzība, un lielāka uzmanība ir jāpievērš arī zemāka līmeņa draudiem (piemēram, kibernoziedzībai un izspiedējprogrammatūrai).

90 IV nav noteikts, ka CERT-EU ir jābūt operatīvajām spējām divdesmit četras stundas diennaktī, septiņas dienas nedēļā. CERT-EU pašlaik nav nedz resursu, nedz piemērotas cilvēkresursu sistēmas, lai pastāvīgi un strukturēti strādātu ārpus darba laika, pat ja kiberuzbrukumi ne vienmēr notiek oficiālajās darba stundās. Pašām EUIBA tikai 35 no 65 apsekotajām ir IT speciālists, kurš ir sasniedzams ārpus darba laika.

91 Lai finansētu CERT-EU darbību, valde 2012. gadā apstiprināja pakalpojumu līmeņa vienošanās (PLV) modeli. Visi izveidotāji saņem pamata pakalpojumus bez maksas un var maksāt, lai iegūtu paplašinātus pakalpojumus, parakstot PLV. CERT-EU budžets 2020. gadā bija 3 745 000 EUR; no šīs summas 6 % bija finansēti no ES budžeta un 94 % – no PLV. Tomēr izveidotāji ir ļoti dažādi: kādu IT drošības prasības ir nobriedušas, bet citiem ir pieticīgi IT budžeti un ļoti zems kiberdrošības brieduma līmenis. Tādēļ PLV diskusiju rezultātā pastāv kombinācija: dažām EUIBA ir augstas drošības prasības, bet citām EUIBA ir zināma nevēlēšanās vai nespēja ieguldīt.

92 Turklāt PLV ir atsevišķi jāatjauno katru gadu. Tā ir ne tikai administratīva nasta, bet arī rada naudas plūsmas problēmas, jo CERT-EU vienlaikus neienāk līdzekļi no visām PLV. Turklāt aģentūras jebkurā brīdī var izbeigt PLV. Pastāv apburtā loka risks, ka zaudētu ieņēmumu dēļ CERT-EU ir jāsamazina pakalpojumi un rodas nespēja izpildīt pieprasījumu, kas savukārt liek citām EUIBA izbeigt PLV un pāriet pie privātiem pakalpojumu sniedzējiem. Ņemot vērā šos apsvērumus, pašreizējais finansējuma modelis nav ideāls, lai nodrošinātu stabilu un optimālu pakalpojuma līmeni.

93 Saskaroties ar strauji mainīgo kiberdrošības apdraudējumu ainu (sk. 06. un 80. punktu), CERT-EU valde 2020. gada 19. februāra sēdē apstiprināja stratēģisku priekšlikumu par CERT-EU, lai paplašinātu tās kiberdrošības pakalpojumus un attīstītu “pilnīgas operatīvās spējas”. Priekšlikumam bija pievienota CERT-EU personāla un finansējuma vajadzību analīze. Šajā analīzē secināts, ka CERT-EU būtu nepieciešamas 14 papildu pastāvīgo administratoru amata vietas, ko pakāpeniski pievienotu laikā no 2021. gada līdz 2023. gadam. Tad CERT-EU no 2023. gada darbotos ar pilnām spējām. Saskaņā ar šo priekšlikumu finansējuma ziņā CERT-EU vajadzētu palielināt budžetu par 7,6 miljoniem EUR laikā no 2021. gada līdz 2023. gadam, sasniedzot 11,3 miljonus EUR 2024. gadā.

94 Tomēr, neraugoties uz to, ka ir apstiprināts stratēģiskais priekšlikums par papildu resursu nodrošināšanu CERT-EU, EUIBA vēl nav panākušas vienošanos par praktisko kārtību, pirmkārt, attiecībā uz 2021.–2023. gada pārejas periodu un, otrkārt, ilgtermiņā pēc gaidāmās kiberdrošības regulas stāšanās spēkā (sk. 12. punktu).

Secinājumi un ieteikumi

95 Mēs secinām, ka ES iestāžu, struktūru un aģentūru (EUIBA) kopiena nav sasniegusi kibersagatavotības līmeni, kas būtu atbilstošs draudiem. Mūsu darbā redzams, ka EUIBA ir dažādi kiberdrošības brieduma līmeņi, un, tā kā tās ir savstarpēji saistītas gan viena ar otru, gan ar publiskām un privātām organizācijām dalībvalstīs, kiberdrošības nepilnības vienā EUIBA var pakļaut kiberdraudiem vairākas citas organizācijas.

96 Konstatējām, ka svarīga laba kiberdrošības prakse ne vienmēr tika īstenota, tostarp daži būtiski kontroles mehānismi. Stabila kiberdrošības pārvaldība ir būtiska informācijas un IT sistēmu drošībai, tomēr dažās EUIBA tā vēl nav nodrošināta: daudzos gadījumos nav IT drošības stratēģiju un plānu vai arī augstākā vadība tās neapstiprina, drošības politika ne vienmēr ir oficiāli noformēta, kā arī riska novērtējumā neietilpst visa IT vide. Kiberdrošības izdevumi ir nevienmērīgi, jo dažas EUIBA acīmredzami tērē pārāk maz salīdzinājumā ar līdzīga lieluma struktūrām (sk. 21.–33., 37. un 38. punktu).

97 Kiberinformētība un apmācības programmas ir svarīgs efektīva kiberdrošības satvara elements. Tomēr tikai 29 % EUIBA nodrošina obligātu kiberdrošības apmācību vadītājiem, kuri ir atbildīgi par IT sistēmām, kas satur sensitīvu informāciju, un piedāvātā apmācība bieži vien ir neformāla. Pēdējo piecu gadu laikā 55 % EUIBA organizēja vienu vai vairākas simulētas pikšķerēšanas kampaņas (vai līdzīgas mācības). Šīs mācības ir svarīgs rīks personāla apmācībā un informētības palielināšanā, bet ne visās EUIBA tās tiek sistemātiski izmantotas (sk. 34.–36. punktu). Turklāt ne visas EUIBA regulāri saņem neatkarīgu pārliecību par kiberdrošību (sk. 39.–44. punktu).

98 EUIBA, kas izmanto CERT-EU pakalpojumus, to augstu vērtē, tomēr vienība ir pārslogota. Darba slodze draudu izlūkdatu un incidentu risināšanas jomā kopš 2018. gada strauji pieaug. Būtiski kiberdrošības incidenti ir pieauguši vairāk nekā desmitkārt. Vienlaikus EUIBA ne vienmēr sniedz savlaicīgu informāciju par būtiskiem incidentiem, ievainojamību un svarīgām izmaiņām savā IT infrastruktūrā. Tas mazina CERT-EU efektivitāti, jo tā nevar brīdināt citas potenciāli skartās EUIBA, un tas var novest pie tā, ka būtiski incidenti paliek neatklāti. Turklāt CERT-EU resursi ir nestabili un pašlaik neatbilst pašreizējam draudu līmenim vai EUIBA vajadzībām. CERT-EU valde 2020. gadā apstiprināja stratēģisku priekšlikumuCERT-EU nepieciešamo papildu resursu nodrošināšanai, bet izveidotāji vēl nav vienojušies par praktisku kārtību šādu resursu nodrošināšanai. Tā rezultātā CERT-EU darbinieki nevar apmierināt pieprasījumu un ir spiesti samazināt darbības (sk. 74.–93. punktu).

1. ieteikums. Uzlabot visu EUIBA kiberdrošības sagatavotību, ieviešot kopīgus saistošus noteikumus un palielinot CERT-EU pieejamos resursus

Komisijai savā gaidāmajā priekšlikumā par regulu, ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību visās EUIBA, jāiekļauj turpmāk minētie principi.

1. Augstākā līmeņa vadībai ir jāuzņemas atbildība par kiberdrošības pārvaldību, apstiprinot kiberdrošības stratēģijas un galvenās drošības politikas, kā arī ieceļot neatkarīgu galveno informācijas drošības speciālistu (vai līdzvērtīgu amatpersonu).
2. EUIBA ir jābūt IT drošības riska pārvaldības satvaram, kas aptver visu IT infrastruktūru, un ir jāveic regulāri riska novērtējumi.
3. EUIBA ir visiem darbiniekiem, tostarp vadībai, jānodrošina sistemātiska informētības apmācība.
4. EUIBA ir jānodrošina regulāras kiberaizsardzības revīzijas un testēšana. Revīzijās jāiekļauj arī kiberdrošībai veltīto resursu atbilstība.
5. EUIBA nekavējoties jāziņo CERT-EU par būtiskiem kiberdrošības incidentiem un attiecīgām izmaiņām un ievainojamību to IT infrastruktūrā.
6. EUIBA jāpalielina CERT-EU piešķirtie resursi un jāiezīmē tie savā budžetā saskaņā ar valdes apstiprinātajos stratēģiskajos priekšlikumos noteiktajām vajadzībām.
7. Regulā jāiekļauj noteikumi par tādas vienības iecelšanu, kura pārstāv visas EUIBA un kurai ir attiecīgās pilnvaras un līdzekļi, lai uzraudzītu visu EUIBA atbilstību kopīgajiem kiberdrošības noteikumiem un izdotu norādījumus, ieteikumus un aicinājumus rīkoties.

Ieviešanas mērķtermiņš: 2023. gada 1. ceturksnis.

99 EUIBA ir izveidoti mehānismi sadarbībai kiberdrošības jomā, tomēr novērojām, ka iespējamā sinerģija netiek pilnībā izmantota. Pastāv formalizēta informācijas apmaiņas struktūra, kurā dalībniekiem un komitejām ir papildinoša loma. Tomēr mazāko EUIBA dalību iestāžu forumos kavē ierobežoti resursi, un decentralizēto aģentūru un kopuzņēmumu pārstāvniecība CERT-EU valdē nav optimāla. Mēs arī konstatējām, ka EUIBA sistemātiski nenodod cita citai informāciju par projektiem saistībā ar kiberdrošību, drošības novērtējumiem un citiem pakalpojumu līgumiem. Tādējādi var būt nepieciešams dubultot pūles, kā arī pieaug izmaksas. Mēs konstatējām darbības grūtības sensitīvas neklasificētas informācijas apmaiņā, izmantojot šifrētu e-pastu vai videokonferenci, IT risinājumu sadarbspējas trūkuma dēļ, nekonsekventu vadlīniju par to atļauto izmantošanu un kopīgu informācijas marķējumu un apstrādes noteikumu trūkuma dēļ (sk. 45.– 63. punktu).

2. ieteikums. Iestāties par turpmāku EUIBA sinerģiju izraudzītās jomās

Iestāžu komitejas digitālās pārveides jautājumos kontekstā Komisijai jāveicina šādas EUIBA darbības:

1. jāpieņem drošu sakaru kanālu savietojamības risinājumi, sākot no šifrēta e-pasta līdz videokonferencēm, un jāatbalsta vienoti marķējumi un vienoti apstrādes noteikumi sensitīvai neklasificētai informācijai;
2. jāveic sistemātiska informācijas apmaiņa par projektiem saistībā ar kiberdrošību, kas potenciāli var ietekmēt citas iestādes, programmatūras drošības novērtējumiem un spēkā esošajiem līgumiem ar ārējiem piegādātājiem;
3. jādefinē vienotu iepirkumu un pamatlīgumu specifikācijas kiberdrošības pakalpojumiem, kuros var piedalīties visas EUIBA, lai veicinātu apjomradītus ietaupījumus.

Ieviešanas mērķtermiņš: 2023. gada 4. ceturksnis.

100 Eiropas Savienības Kiberdrošības aģentūra (ENISA) un CERT-EU ir divas galvenās struktūras, kuru uzdevums ir atbalstīt EUIBA kiberdrošības jomā. Tomēr, tā kā resursi ir ierobežoti un prioritāte ir piešķirta citām jomām, tās nav spējušas sniegt EUIBA visu nepieciešamo atbalstu, jo īpaši attiecībā uz tādu EUIBA spēju veidošanu, kas kiberdrošības jomā ir mazāk attīstītas (sk. 64.–93. punktu).

3. ieteikums. Palielināt CERT-EU un ENISA koncentrēšanos uz mazāk nobriedušām EUIBA

CERT-EU un ENISA:

1. jāidentificē prioritārās jomas, kurās EUIBA ir nepieciešams lielākais atbalsts, piemēram, veicot brieduma novērtējumus;
2. jāīsteno spēju veidošanas darbības saskaņā ar SM.

Ieviešanas mērķtermiņš: 2022. gada 4. ceturksnis.

Šo ziņojumu 2022. gada 22. februārī Luksemburgā pieņēma III apakšpalāta, kuru vada Revīzijas palātas locekle Bettina Jakobsen.

Pielikumi

I pielikums. Apsekoto EUIBA saraksts

II pielikums. Papildu informācija par galvenajām iestāžu komitejām

Iestāžu komiteja digitālās pārveides jautājumos (ICDT)

ICDT ir forums informācijas apmaiņai un sadarbības veicināšanai IT jomā. Komiteja ir dibināta 2020. gada maijā, aizvietojot iepriekšējo Comité Interinstitutionnel de l'Informatique (CII). ICDT sastāvu veido EUIBA IT departamentu vadītāji. ICDT ir kiberdrošības apakšgrupa (ICDT CSSG), kuras loma ir veicināt EUIBA sadarbību kiberdrošībā un būt par informācijas apmaiņas forumu.

ICDT lēmējvara attiecas tikai uz jautājumiem, kas neietekmē “to, kā iestādes pilda savu misiju,” un “neapdraud pārvaldību katrā iestādē”. Lēmumos ārpus atbildības sfēras ICDT var sniegt ieteikumus ES iestāžu un struktūru ģenerālsekretāru kolēģijai.

Saskaņā ar ICDT pilnvarām tās locekļi ir katras ES iestādes un struktūras pārstāvji, kā arī viens ES aģentūru (ICTAC) iecelts pārstāvis. ICDT pašlaik vada Padomes Ģenerālsekretariāts.

ICDT Kiberdrošības apakšgrupa (ICDT CSSG)

ICDT CSSG pašreizējā konfigurācijā tika izveidota 2020. gada septembrī, aizvietojot iepriekšējās CII pastāvīgo drošības apakšgrupu. Salīdzinot ar priekšgājēju, ICDT CSSG ir strukturētāka, vērienīga un uz rezultātiem vērsta pieeja. Tās darbību veic darba grupas (TF), kas regulāri tiekas un koncentrējas uz galvenajām biežākajām problēmām:

• TF1 “Vienoti standarti, etalona noteikšana un briedums”
• TF2 “Platformas metožu un rīku, un līgumu apmaiņa”
• TF3 “Mākoņa drošība”
• TF4 “Kiberprasmju talantu pilnveidošana”
• TF5 “Kiberinformētība”
• TF6 “Videokonferenču drošība”

Atbilstoši CSSG pilnvarām sekretariāts atbild par darba grupu darbības progresa uzraudzību un ziņošanu. Tas regulāri ziņo ICDT kiberdrošības apakšgrupas vadītājam un vadītāja vietniekam, regulāri apkopo darba grupu koordinatoru ieguldījumu. Katra gada beigās CSSG ir arī jāsniedz kopsavilkuma ziņojums par darbību.

Pašlaik Komisija vada ICDT CSSG, un ICTAC pārstāvis ir vadītāja vietnieks. Lai gan CSSG nav lēmējvaras, tā var ieteikt ICDT lēmumus par aktuāliem jautājumiem.

Aģentūru tīkls

ES aģentūru tīkls (EUAN) ir neformāls tīkls, ko 2012. gadā izveidoja ES aģentūru vadītāji. Pašlaik EUAN sastāvā ir 48 decentralizētas ES aģentūras un kopuzņēmumi. Tā mērķis ir nodrošināt apmaiņas un sadarbības platformu Tīkla dalībniekiem kopīgu interešu jomās. IKT konsultatīvā komiteja (ICTAC) ir EUAN apakšgrupa, kas atbild par sadarbības veicināšanu IKT jomā, tostarp kiberdrošībā.

Informācijas un komunikāciju tehnoloģiju konsultatīvā komiteja (ICTAC)

ICTAC veicina aģentūru un kopuzņēmumu sadarbību IKT jomā. Tās mērķis ir rast dzīvotspējīgus un ekonomiskus risinājumus kopīgām problēmām, veikt informācijas apmaiņu un attiecīgos gadījumos pieņemt vienotu nostāju. Saskaņā ar ICTAC vispārējiem noteikumiem kopsapulces, kurās sapulcējas visi tās locekļi, notiek divreiz gadā. Notiek arī regulāras ikmēneša sanāksmes ICTAC pārstāvjiem CSSG darba grupās, ICTAC pārstāvim CSSG un ICTAC “trijotnei”. Trijotne sastāv no ICTAC pašreizējā, iepriekšējā un nākamā priekšsēdētāja (katrs priekšsēdētājs ir amatā vienu gadu). Trijotnes loma ir atbalstīt pašreizējo priekšsēdētāju visos jautājumos par viņa/viņas pienākumiem, ieskaitot aizvietošanu, ja apstākļu dēļ nepieciešams.

Akronīmi un saīsinājumi

APA: attīstīts pastāvīgs apdraudējums

CERT-EU: EUIBA datorapdraudējumu reaģēšanas vienība

CIS: sakaru un informācijas sistēmas

CSIRT: datordrošības incidentu reaģēšanas vienība

DIGIT ĢD: Informātikas ģenerāldirektorāts

ENISA: Eiropas Savienības Kiberdrošības aģentūra

EUAN: Eiropas Savienības Aģentūru tīkls

EUIBA Eiropas Savienības iestādes, struktūras un aģentūras

EU-LISA: Eiropas Aģentūra lielapjoma IT sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā

FTE: pilnslodzes ekvivalents

GIDS: galvenais informācijas drošības speciālists

HR ĢD: Cilvēkresursu un drošības ģenerāldirektorāts

ICDT: Iestāžu komiteja digitālās pārveides jautājumos

ICDT CSSG: Iestāžu komitejas digitālās pārveides jautājumos Kiberdrošības apakšgrupa

ICTAC: Informācijas un komunikāciju tehnoloģiju konsultatīvā komiteja

IKT: Informācijas un komunikācijas tehnoloģijas

ISACA: Informācijas sistēmu audita un vadības asociācija

ITCB: Informācijas tehnoloģiju un kiberdrošības padome

IV: Iestāžu vienošanās

KDA: Kiberdrošības akts

PLV: pakalpojumu līmeņa vienošanās

SM: saprašanās memorands

TID: tīklu un informācijas drošība

Glosārijs

Attīstīts pastāvīgs apdraudējums: uzbrukums, kurā nesankcionēts lietotājs piekļūst sistēmai vai tīklam, lai zagtu sensitīvus datus, un paliek tur ilgāku laiku.

EUIBA datorapdraudējumu reaģēšanas vienība: informācijas apmaiņas un incidentu reaģēšanas koordinācijas centrs, kura klienti (“izveidotāji”) ir ES iestādes, struktūras un aģentūras.

Ielaušanās testēšana: IT sistēmas drošības novērtēšanas metode, mēģinot uzlauzt tās drošības pasākumus ar rīkiem un paņēmieniem, ko parasti izmanto pretinieki.

Kiberdrošība: pasākumi IT tīklu un infrastruktūras, kā arī tajā esošās informācijas aizsardzībai no ārējiem draudiem.

Kiberspiegošana: noslēpumu un informācijas iegūšanas darbība vai prakse no interneta, tīkliem vai atsevišķiem datoriem bez informācijas turētāja atļaujas vai ziņas.

Kibertelpa: globāla tiešsaistes vide, kurā cilvēki, programmatūras un pakalpojumi komunicē, izmantojot datoru un citu saistītu ierīču tīklus.

Pikšķerēšana: e-pastu sūtīšana, radot iespaidu, ka tos sūta uzticams avots, lai panāktu, ka saņēmēji atver ļaunprātīgas saites vai nodot personas datus.

Sarkanā komanda: reālistiska kiberuzbrukumu simulācija, izmantojot pārsteiguma elementu un paņēmienus, kādi nesen ir novēroti reālajā pasaulē, koncentrējoties uz konkrētiem mērķiem un izmantojot vairākas uzbrukuma līnijas.

Sociālā inženierija: informācijas drošības jomā psiholoģiska manipulācija, lai pieviltu cilvēkus tā, ka tie veic konkrētu rīcību vai sniedz konfidenciālu informāciju.

Komisijas atbildes

https://www.eca.europa.eu/lv/Pages/DocItem.aspx?did=60922

CERT-EU un ENISA atbildes

https://www.eca.europa.eu/lv/Pages/DocItem.aspx?did=60922

Laika grafiks

https://www.eca.europa.eu/lv/Pages/DocItem.aspx?did=60922

Beigu piezīmes

¹ Regula (ES) 2019/881.

² ISO/IEC 27 000:2018.

³ ERP apskats Nr. 02/2019: Problēmas, kas traucē īstenot efektīvu ES kiberdrošības politiku (Informatīvais apskats).

⁴ CERT-EU, Threat Landscape Report, 2021. gada jūnijs.

⁵ Turpat.

⁶ Turpat.

⁷ Turpat.

⁸ Cyberattack on EMA – update 6, 25.1.2021.

⁹ ERP īpašais ziņojums Nr. 22/2020: ES aģentūru nākotne – iespējama lielāka elastība un sadarbība, 01. punkts.

¹⁰ OV C 12, 13.1.2018., 1. lpp.

¹¹ ENISA, Threat Landscape 2020, sektoru/tematiska draudu analīze.

¹² Direktīva (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā.

¹³ Priekšlikums direktīvai par pasākumiem nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā.

¹⁴ COM(2020) 605 final.

¹⁵ JOIN(2020) 18 final.

¹⁶ ISACA, Certified Information System Auditor review manual, 2019.

¹⁷ Communication to the Commission, European Commission digital Strategy: A digitally transformed, user-focused and data-driven Commission, C(2018) 7118 final, 21.11.2018.

¹⁸ ISO/IEC standarts 27 000:2018, 5. nodaļa.

¹⁹ COBIT 5 for Information Security, 4.2. iedaļa.

²⁰ Sk., piemēram, ISO/IEC 27 000:2018, 4.5. iedaļu.

²¹ ENISA, Thread Landscape 2020, sektoru/tematiska draudu analīze.

²² Kontroles mehānismu kopums iegūts no CIS Controls 7.1, kas ir Interneta drošības centra izveidota labākās prakses sistēma.

²³ CIS Controls īstenošanas grupa 1 (IG1).

²⁴ ISACA, Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.

²⁵ Lēmums (ES) 2017/46 par komunikācijas un informācijas sistēmu drošību Eiropas Komisijā.

²⁶ Iestāžu vienošanās (IV), 7. pants, parakstīta 20.12.2017.

²⁷ Eiropas Komisija, The European Commission Cloud Strategy, 2019.

²⁸ ENISA uzdevumi ir uzskaitīti Regulas (ES) 2019/881 II nodaļā (5.–12. pants).

²⁹ Eiropas Parlamenta un Padomes Regula (ES) Nr. 526/2013; ENISA uzdevumus saskaņā ar šo regulu sk. 3. pantā.

³⁰ Regula (ES) 2019/881, 6. pants.

³¹ KDA, 14. pants.

³² KDA, 18. pants.

³³ Eiropas Komisijas paziņojums presei “Pēc sekmīgi īstenotas eksperimentālas programmas ES iestādēs uzlabota kiberdrošība”.

³⁴ Iestāžu vienošanās (IV), 3.3. pants, parakstīta 20.12.2017.

³⁵ Iestāžu vienošanās (IV), 3.2. pants.

³⁶ Iestāžu vienošanās (IV), 7. apsvērums.

³⁷ EESK un ERK uzskata par vienu EUIBA.

Kontaktinformācija

EIROPAS REVĪZIJAS PALĀTA
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG

Tālrunis: +352 4398-1
Uzziņām: eca.europa.eu/lv/Pages/ContactForm.aspx
Tīmekļa vietne: eca.europa.eu
Twitter: @EUAuditors

Plašāka informācija par Eiropas Savienību ir pieejama portālā Europa (https://europa.eu).

Luksemburga: Eiropas Savienības Publikāciju birojs, 2022

PDF	ISBN 978-92-847-7577-4	ISSN 1977-5717	doi:10.2865/65558	QJ-AB-22-003-LV-N
HTML	ISBN 978-92-847-7603-0	ISSN 1977-5717	doi:10.2865/67725	QJ-AB-22-003-LV-Q

AUTORTIESĪBAS

© Eiropas Savienība, 2022.

Eiropas Revīzijas palātas (ERP) atkalizmantošanas politiku nosaka ar ERP Lēmumu Nr. 6–2019 par atvērto datu politiku un dokumentu atkalizmantošanu.

Ja vien nav norādīts citādi (piemēram, individuālās autortiesību norādēs), ERP saturs, kurš pieder ES, ir licencēts saskaņā ar šādu starptautisku licenci: Creative Commons Attribution 4.0 International (CC BY 4.0) licence. Tādējādi atkalizmantošana parasti ir atļauta, ja tiek sniegtas pienācīgas atsauces un norādītas visas izmaiņas. ERP satura atkalizmantošana nedrīkst sagrozīt tā sākotnējo nozīmi vai jēgu. ERP nav atbildīga par atkalizmantošanas sekām.

Jāsaņem papildu atļauja, ja konkrētā saturā attēlotas identificējamas privātpersonas, piem., ERP darbinieku fotoattēlos, vai ja tas ietver trešās personas darbu.

Ja šāda atļauja ir saņemta, tā atceļ un aizstāj iepriekš minēto vispārējo atļauju un skaidri norāda uz visiem izmantošanas ierobežojumiem.

Lai izmantotu vai reproducētu saturu, kas nepieder ES, var būt nepieciešams prasīt atļauju tieši autortiesību īpašniekiem.

Programmatūra vai dokumenti, uz kuriem attiecas rūpnieciskā īpašuma tiesības, proti, patenti, preču zīmes, reģistrēti dizainparaugi, logotipi un nosaukumi, nav iekļauti ERP atkalizmantošanas politikā.

Eiropas Savienības iestāžu un struktūru tīmekļa vietnēs, kas izvietotas domēnā europa.eu, ir atrodamas saites uz trešo personu tīmekļa vietnēm. Tā kā ERP šīs vietnes nekontrolē, iesakām rūpīgi iepazīties ar to privātuma un autortiesību politiku.

ERP logotipa izmantošana

ERP logotipu nedrīkst izmantot bez ERP iepriekšējas piekrišanas.

Kā sazināties ar ES

Klātienē
Visā Eiropas Savienībā ir simtiem Europe Direct informācijas centru. Sev tuvākā centra adresi varat atrast tīmekļa lapā https://europa.eu/european-union/contact_lv

Pa tālruni vai e-pastu
Europe Direct ir dienests, kas atbild uz jūsu jautājumiem par Eiropas Savienību. Ar šo dienestu varat sazināties šādi:

• pa bezmaksas tālruni: 00 800 6 7 8 9 10 11 (daži operatori par šiem zvaniem var iekasēt maksu);
• pa šādu parasto tālruņa numuru: +32 22999696;
• pa e-pastu, izmantojot šo tīmekļa lapu: https://europa.eu/european-union/contact_lv

Kā atrast informāciju par ES

Internetā
Informācija par Eiropas Savienību visās oficiālajās ES valodās ir pieejama portālā Europa: https://europa.eu/european-union/index_lv

ES publikācijas
ES bezmaksas un maksas publikācijas varat lejupielādēt vai pasūtīt šeit: https://op.europa.eu/lv/publications. Vairākus bezmaksas publikāciju eksemplārus varat saņemt, sazinoties ar Europe Direct vai tuvāko informācijas centru (sk. https://europa.eu/european-union/contact_lv).

ES tiesību akti un ar tiem saistītie dokumenti
Ar visu ES juridisko informāciju, arī kopš 1951. gada pieņemtajiem ES tiesību aktiem visās oficiālajās valodās, varat iepazīties vietnē EUR-Lex: http://eur-lex.europa.eu

ES atklātie dati
ES atklāto datu portāls (http://data.europa.eu/lv) dod piekļuvi ES datu kopām. Datus var lejupielādēt un bez maksas izmantot kā komerciāliem, tā nekomerciāliem mērķiem.