Τι κατέδειξε έκθεση του Ευρωπαϊκού Ελεγκτικού Συνεδρίου
Ο αριθμός των κυβερνοεπιθέσεων στα όργανα της ΕΕ σημειώνει ραγδαία αύξηση. Ο βαθμός ετοιμότητας των οργάνων αυτών στον τομέα της κυβερνοασφάλειας ποικίλλει και συνολικά δεν είναι ανάλογος των εντεινόμενων απειλών. Δεδομένης της ισχυρής αλληλοσύνδεσής τους, υπάρχει το ενδεχόμενο οι αδυναμίες του ενός να εκθέσουν τα άλλα σε απειλές κατά της ασφάλειάς τους.
Αυτό είναι το συμπέρασμα ειδικής έκθεσης του Ευρωπαϊκού Ελεγκτικού Συνεδρίου, η οποία εξετάζει τον βαθμό ετοιμότητας των φορέων διακυβέρνησης της ΕΕ κατά των κυβερνοαπειλών. Οι ελεγκτές συνιστούν τη θέσπιση δεσμευτικών κανόνων για την κυβερνοασφάλεια και την αύξηση των πόρων που διατίθενται στην ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT-ΕΕ).
Επίσης, σύμφωνα με τους ελεγκτές, η Ευρωπαϊκή Επιτροπή πρέπει να προωθήσει την περαιτέρω συνεργασία μεταξύ των ενωσιακών οργάνων, ενώ η CERT-ΕΕ και ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια πρέπει να αυξήσουν την εστίασή τους σε αυτά που διαθέτουν μικρότερη πείρα στη διαχείριση της κυβερνοασφάλειας.
Η τηλεργασία αύξησε σημαντικά τον αριθμό των δυνητικών σημείων πρόσβασης
Σύμφωνα με τους ελεγκτές, τα σημαντικά περιστατικά κυβερνοασφάλειας στα διάφορα όργανα της ΕΕ υπερδεκαπλασιάστηκαν μεταξύ 2018 και 2021· η τηλεργασία αύξησε σημαντικά τον αριθμό των δυνητικών σημείων πρόσβασης για τους επιτιθέμενους. Τα σημαντικά περιστατικά προκαλούνται κατά κανόνα από πολύπλοκες κυβερνοεπιθέσεις, που συνήθως προϋποθέτουν τη χρήση νέων μεθόδων και τεχνολογιών και μπορεί να χρειαστούν εβδομάδες, αν όχι μήνες, για τη διερεύνησή τους και την ανάκαμψη από αυτά. Ενδεικτικό παράδειγμα ήταν η κυβερνοεπίθεση στον Ευρωπαϊκό Οργανισμό Φαρμάκων, όταν διέρρευσαν ευαίσθητα δεδομένα, τα οποία παραποιήθηκαν έτσι ώστε να υπονομευθεί η εμπιστοσύνη των πολιτών στα εμβόλια.
«Τα θεσμικά και λοιπά όργανα και οι οργανισμοί της ΕΕ αποτελούν ελκυστικούς στόχους για δυνητικούς επιτιθέμενους, ιδίως για ομάδες που είναι ικανές να εκτελούν εξαιρετικά εξελιγμένες αόρατες επιθέσεις στο πλαίσιο κυβερνοκατασκοπείας ή για άλλους κακόβουλους σκοπούς», δήλωσε η Bettina Jakobsen, Μέλος του ΕΕΣ και επικεφαλής του ελέγχου. «Επιθέσεις αυτού του είδους μπορεί να έχουν σημαντικές πολιτικές προεκτάσεις, να βλάψουν τη συνολική φήμη της ΕΕ και να υπονομεύσουν την εμπιστοσύνη στους θεσμούς της. Η ΕΕ πρέπει να εντείνει τις προσπάθειές της για την προστασία των οργανισμών της.»
Κύρια διαπίστωση των ελεγκτών ήταν ότι δεν είναι πάντοτε επαρκής η προστασία των θεσμικών και λοιπών οργάνων και οργανισμών της ΕΕ από κυβερνοαπειλές. Η κυβερνοασφάλεια δεν προσεγγίζεται με συνέπεια, δεν εφαρμόζονται πάντοτε συναφείς βασικές δικλίδες και ορθές πρακτικές, ενώ δεν παρέχεται συστηματικά σχετική επιμόρφωση. Οι πόροι που διατίθενται για την κυβερνοασφάλεια ποικίλλουν σε μεγάλο βαθμό, καθώς διαπιστώθηκε ότι ορισμένα όργανα δαπανούν πολύ λιγότερο σε σχέση με άλλα παρόμοιου μεγέθους.
Αδυναμίες στον τομέα της κυβερνοασφάλειας
Μολονότι οι διαφορές στα επίπεδα κυβερνοασφάλειας θα μπορούσαν θεωρητικά να δικαιολογηθούν από τα διαφορετικά προφίλ κινδύνου κάθε οργανισμού και τα ποικίλα επίπεδα ευαισθησίας των δεδομένων που αυτοί χειρίζονται, οι ελεγκτές τονίζουν ότι οι αδυναμίες στον τομέα της κυβερνοασφάλειας ενός ενωσιακού οργάνου μπορούν να εκθέσουν σε κυβερνοαπειλές σειρά άλλων (τα όργανα της ΕΕ όχι μόνο αλληλοσυνδέονται, αλλά συχνά υπάρχει σύνδεση και με δημόσιους και ιδιωτικούς οργανισμούς στα κράτη μέλη).
Η ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CCERT-ΕΕ) και ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) αποτελούν τις δύο βασικές οντότητες που είναι επιφορτισμένες με την παροχή υποστήριξης σε θέματα κυβερνοασφάλειας. Ωστόσο, δεν κατάφεραν να παράσχουν στα όργανα της ΕΕ όλη τη στήριξη που αυτά χρειάζονται, λόγω των περιορισμένων πόρων ή του γεγονότος ότι προτεραιοποιήθηκαν άλλοι τομείς. Σύμφωνα με τους ελεγκτές, αδυναμίες παρουσιάζει επίσης η ανταλλαγή πληροφοριών: παραδείγματος χάριν, δεν προβαίνουν όλα τα όργανα της ΕΕ στην έγκαιρη κοινοποίηση πληροφοριών σχετικά με τα τρωτά σημεία και τα σημαντικά περιστατικά κυβερνοασφάλειας που έχουν πλήξει τα ίδια και ενδέχεται να πλήξουν και άλλα.