Riskinarviointiraportti kyberuhkien sietokyvystä EU:n televiestintä- ja sähköaloilla

Mietinnössä tuodaan esiin huoli useista riskeistä, kuten toimitusketjun turvallisuuteen kohdistuvista riskeistä, kyberalan ammattilaisten puutteesta ja kyberrikollisten ja valtion tukemien uhkatoimijoiden haitallisen toiminnan aiheuttamista riskeistä.

Riskinarvioinnissa tunnistettiin tarkemmin tekniset ja ei-tekniset riskit. Sekä televiestintä- että sähköalalla toimitusketjun riskit ovat edelleen suurin huolenaihe, erityisesti 5G:n käyttöönoton ja uusiutuvan energian infrastruktuurien osalta. Kiristysohjelmat, datan pyyhkijät ja nollapäivähaavoittuvuuksien hyödyntäminen todettiin myös jatkuviksi mutta kiireellisiksi huolenaiheiksi molemmilla aloilla, erityisesti operatiivisen teknologian osalta.

Sähköalalla kriittisin tunnistettu riski on pahantahtoiset sisäpiiriläiset, joita vauhdittaa vaikeus arvioida asianmukaisesti uutta henkilöstöä ja houkutella paikallisia kyberturvallisuusosaajia. Televiestintäalalla suurimpia uhkia ovat verkkovierailuinfrastruktuurien kautta tehdyt hyökkäykset ja suurista bottiverkoista peräisin olevat hyökkäykset.

Lisäksi kaapeli-infrastruktuurin fyysisen sabotaasin ja satelliittisignaalien häirinnän todettiin olevan erityisiä riskejä, joita on erityisen vaikea lieventää.

Näiden riskien lieventämiseksi kertomuksessa esitetään neljällä osa-alueella useita parannussuosituksia, jotka voidaan tiivistää seuraavasti: 

1. Resilienssiä ja kyberturvallisuutta voidaan parantaa jakamalla hyviä käytäntöjä kiristysohjelmien lieventämisestä, haavoittuvuuden seurannasta, henkilöstöturvallisuudesta ja omaisuudenhallinnasta. Lisäksi on tehostettava yhteistyötä jäsenvaltioiden teknisen verkoston, tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (CSIRT),lainvalvontaviranomaisten ja kansainvälisten kumppaneiden kanssa.  Jäsenvaltioiden olisi tehtävä uusia itsearviointeja aloilla NIS 2 -direktiivin ja kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin mukaisesti.
2. Kollektiivista kybertilannetietoisuutta ja tietojen jakamista on parannettava, ja siihen on sisällytettävä geopoliittinen tilanne, mahdolliset fyysiset haitat ja disinformaatio. 
3. Valmiussuunnittelua, kriisinhallintaa ja operatiivista yhteistyötä on parannettava lyhentämällä eri alojen ja kyberturvallisuusviranomaisten välisiä raja-aitoja menettelyissä.
4. Toimitusketjun turvallisuuteen olisi puututtava edelleen tekemällä seuranta-arviointeja riippuvuuksista suuririskisistä kolmansien maiden tarjoajista ja kehittämällä EU:n kehys toimitusketjun turvallisuudelle.

Kun otetaan huomioon tämän kertomuksen soveltamisalaan kuuluvien infrastruktuurien ja verkkojen kriittisyys ja nopeasti kehittyvä uhkaympäristö ja rajoittamatta kansallista turvallisuutta koskevaa jäsenvaltioiden toimivaltaa, jäsenvaltioita, komissiota ja ENISAa kannustetaan panemaan nämä häiriönsietokykyä parantavat toimenpiteet täytäntöön mahdollisimman pian joidenkin suositusten täytäntöönpanon osalta jo aloitetun työn perusteella.

Lataa alla oleva raportti saadaksesi lisätietoja.

Taustaa

Neuvosto kehotti 23 päivänä toukokuuta 2022 antamissaan päätelmissä Euroopan unionin kybertoimien kehittämisestä ”komissiota, korkeaa edustajaa ja verkko- ja tietoturva-alan yhteistyöryhmää tekemään koordinoidusti asiaankuuluvien siviili- ja sotilaselinten ja -virastojen sekä vakiintuneiden verkostojen, kuten EU CyCLONen, kanssa riskinarvioinnin ja laatimaan riskiskenaarioita kyberturvallisuuden näkökulmasta tilanteessa, jossa jäsenvaltioihin tai kumppanimaihin kohdistuu uhka tai mahdollinen hyökkäys, ja esittämään ne asiaankuuluville neuvoston elimille”.

Lisäksi 23. toukokuuta 2023 antamissaan päätelmissä EU:n kyberpuolustuspolitiikasta neuvosto ”kehotti edellä mainittuja toimijoita varmistamaan, että riskinarvioinnit, skenaariot ja myöhemmät suositukset otetaan huomioon määriteltäessä ja priorisoitaessa toimenpiteitä ja tukea EU:n ja tarvittaessa kansallisella tasolla”. Lisäksi neuvosto kehottaa ”kaikkia asiaankuuluvia toimijoita ottamaan riskiskenaariot huomioon riskinarviointiprosesseissa sekä kyberharjoitusten kehittämisessä”.

Riskinarviointi on jatkoa helmikuussa 2024 julkaistulle raportille EU:n viestintäinfrastruktuurien ja -verkkojen kyberturvallisuudesta ja häiriönsietokyvystä.

Voit lukea lisätietoja kyberturvallisuuskäytännöistä.