Αύξηση πόρων και θέσπιση κανόνων για την κυβερνοασφάλεια
Ο αριθμός των κυβερνοεπιθέσεων στα όργανα της Ε.Ε. σημειώνει ραγδαία αύξηση
του Κων/νου Σ. Μαργαρίτη
Η πολεμική σύγκρουση Ρωσίας -Ουκρανίας έχει ανοίξει πολλά μέτωπα και θα κληθούν τα αρμόδια όργανα να τα διαχειριστούν. Τα δεδομένα έχουν αλλάξει και οι επιθέσεις στο Διαδίκτυο πολλαπλασιάστηκαν. Οι πολίτες νιώθουν ανασφαλείς και εξετάζουν όλες τις ειδήσεις από πολλές πλευρές.
Ο αριθμός των κυβερνοεπιθέσεων στα όργανα της Ε.Ε. σημειώνει ραγδαία αύξηση. Ο βαθμός ετοιμότητας των οργάνων αυτών στον τομέα της κυβερνοασφάλειας ποικίλλει και συνολικά δεν είναι ανάλογος των εντεινόμενων απειλών. Δεδομένης της ισχυρής αλληλοσύνδεσής τους, υπάρχει το ενδεχόμενο οι αδυναμίες του ενός να εκθέσουν τα άλλα σε απειλές κατά της ασφάλειάς τους.
Αυτό είναι το συμπέρασμα ειδικής έκθεσης του Ευρωπαϊκού Ελεγκτικού Συνεδρίου, η οποία εξετάζει τον βαθμό ετοιμότητας των φορέων διακυβέρνησης της Ε.Ε. κατά των κυβερνοαπειλών. Οι ελεγκτές συνιστούν τη θέσπιση δεσμευτικών κανόνων για την κυβερνοασφάλεια και την αύξηση των πόρων που διατίθενται στην ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT-ΕΕ).
Επίσης, σύμφωνα με τους ελεγκτές, η Ευρωπαϊκή Επιτροπή πρέπει να προωθήσει την περαιτέρω συνεργασία μεταξύ των ενωσιακών οργάνων, ενώ η CERT - Ε.Ε. και ο οργανισμός της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια πρέπει να αυξήσουν την εστίασή τους σε αυτά που διαθέτουν μικρότερη πείρα στη διαχείριση της κυβερνοασφάλειας.
Τα σημαντικά περιστατικά κυβερνοασφάλειας στα διάφορα όργανα της Ε.Ε. υπερδεκαπλασιάστηκαν μεταξύ 2018 και 2021 – η τηλεργασία αύξησε σημαντικά τον αριθμό των δυνητικών σημείων πρόσβασης για τους επιτιθέμενους. Τα σημαντικά περιστατικά προκαλούνται κατά κανόνα από πολύπλοκες κυβερνοεπιθέσεις, που συνήθως προϋποθέτουν τη χρήση νέων μεθόδων και τεχνολογιών και μπορεί να χρειαστούν εβδομάδες, αν όχι μήνες, για τη διερεύνησή τους και την ανάκαμψη από αυτά.
Ενδεικτικό παράδειγμα ήταν η κυβερνοεπίθεση στον ευρωπαϊκό οργανισμό φαρμάκων, όταν διέρρευσαν ευαίσθητα δεδομένα, τα οποία παραποιήθηκαν έτσι ώστε να υπονομευθεί η εμπιστοσύνη των πολιτών στα εμβόλια.
«Τα θεσμικά και λοιπά όργανα και οι οργανισμοί της Ε.Ε. αποτελούν ελκυστικούς στόχους για δυνητικούς επιτιθέμενους, ιδίως για ομάδες που είναι ικανές να εκτελούν εξαιρετικά εξελιγμένες αόρατες επιθέσεις στο πλαίσιο κυβερνοκατασκοπείας ή για άλλους κακόβουλους σκοπούς», δήλωσε η κυρία Bettina Jakobsen, μέλος του ΕΕΣ και επικεφαλής του ελέγχου. «Επιθέσεις αυτού του είδους μπορεί να έχουν σημαντικές πολιτικές προεκτάσεις, να βλάψουν τη συνολική φήμη της Ε.Ε. και να υπονομεύσουν την εμπιστοσύνη στους θεσμούς της. Η Ε.Ε. πρέπει να εντείνει τις προσπάθειές της για την προστασία των οργανισμών της».
Κύρια διαπίστωση των ελεγκτών ήταν ότι δεν είναι πάντοτε επαρκής η προστασία των θεσμικών και λοιπών οργάνων και οργανισμών της Ε.Ε. από κυβερνοαπειλές. Η κυβερνοασφάλεια δεν προσεγγίζεται με συνέπεια, δεν εφαρμόζονται πάντοτε συναφείς βασικές δικλίδες και ορθές πρακτικές, ενώ δεν παρέχεται συστηματικά σχετική επιμόρφωση. Οι πόροι που διατίθενται για την κυβερνοασφάλεια ποικίλλουν σε μεγάλο βαθμό, καθώς διαπιστώθηκε ότι ορισμένα όργανα δαπανούν πολύ λιγότερο σε σχέση με άλλα παρόμοιου μεγέθους.
Μολονότι οι διαφορές στα επίπεδα κυβερνοασφάλειας θα μπορούσαν θεωρητικά να δικαιολογηθούν από τα διαφορετικά προφίλ κινδύνου κάθε οργανισμού και τα ποικίλα επίπεδα ευαισθησίας των δεδομένων που αυτοί χειρίζονται, οι ελεγκτές τονίζουν ότι οι αδυναμίες στον τομέα της κυβερνοασφάλειας ενός ενωσιακού οργάνου μπορούν να εκθέσουν σε κυβερνοαπειλές σειρά άλλων (τα όργανα της Ε.Ε. όχι μόνο αλληλοσυνδέονται, αλλά συχνά υπάρχει σύνδεση και με δημόσιους και ιδιωτικούς οργανισμούς στα κράτη - μέλη).
Η ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CCERT –Ε.Ε.) και ο οργανισμός της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια (ENISA) αποτελούν τις δύο βασικές οντότητες που είναι επιφορτισμένες με την παροχή υποστήριξης σε θέματα κυβερνοασφάλειας. Ωστόσο, δεν κατάφεραν να παράσχουν στα όργανα της Ε.Ε. όλη τη στήριξη που αυτά χρειάζονται, λόγω των περιορισμένων πόρων ή του γεγονότος ότι είχαν προτεραιότητα άλλοι τομείς.
Σύμφωνα με τους ελεγκτές, αδυναμίες παρουσιάζει επίσης η ανταλλαγή πληροφοριών: παραδείγματος χάριν, δεν προβαίνουν όλα τα όργανα της Ε.Ε. στην έγκαιρη κοινοποίηση πληροφοριών σχετικά με τα τρωτά σημεία και τα σημαντικά περιστατικά κυβερνοασφάλειας που έχουν πλήξει τα ίδια και ενδέχεται να πλήξουν και άλλα.
Μέχρι στιγμής, δεν έχει θεσπιστεί νομικό πλαίσιο για την ασφάλεια των πληροφοριών και την κυβερνοασφάλεια στα θεσμικά και λοιπά όργανα και στους οργανισμούς της Ε.Ε., καθώς αυτά δεν υπόκεινται στην ευρύτερη νομοθεσία της Ε.Ε. για την κυβερνοασφάλεια, την οδηγία NIS του 2016, ούτε στην προτεινόμενη αναθεώρησή της, την οδηγία NIS2. Επίσης, δεν υπάρχουν ολοκληρωμένες πληροφορίες σχετικά με τα ποσά που αυτά δαπανούν για την κυβερνοασφάλεια.
Η Ε.Ε. πρότεινε επίσης τη θέσπιση νέας νομικής βάσης για τη CERT - Ε.Ε., με σκοπό την ενίσχυση της εντολής και της χρηματοδότησής της.