Kockázatértékelési jelentés az uniós távközlési és villamosenergia-ágazat kiberrezilienciájáról

A jelentés aggályokra mutat rá számos kockázattal kapcsolatban, beleértve az ellátási lánc biztonságát fenyegető kockázatokat, a kiberszakemberek hiányát, valamint a kiberbűnözők és az államilag támogatott fenyegetést jelentő szereplők rosszindulatú tevékenységei által jelentett kockázatokat.

A kockázatértékelés részletesebben azonosította a technikai és nem technikai kockázatokat. Mind a távközlési, mind a villamosenergia-ágazatban továbbra is az ellátási lánccal kapcsolatos kockázatok jelentik a fő problémát, különösen az 5G kiépítése és a megújulóenergia-infrastruktúrák tekintetében. A zsarolóvírusokat, az adattörlőket és a nulladik napi sebezhetőségek kihasználását szintén folyamatos, de sürgető problémaként azonosították mindkét ágazatban, különösen az operatív technológia tekintetében.

A villamosenergia-ágazat esetében a legkritikusabb azonosított kockázat a rosszindulatú bennfentesek, akiket az új személyzet megfelelő átvilágításával és a helyi kiberbiztonsági tehetségek vonzásával kapcsolatos nehézségek ösztönöznek. A távközlési ágazatban a fő fenyegetések közé tartoznak a barangolási infrastruktúrákon keresztüli támadások és a nagy bothálózatokból eredő támadások.

Emellett a kábelinfrastruktúra fizikai szabotázsa és a műholdas jelek zavarása olyan konkrét kockázatként került azonosításra, amelyet különösen nehéz mérsékelni.

E kockázatok csökkentése érdekében a jelentés számos ajánlást fogalmaz meg négy javításra szoruló területen, amelyek a következőképpen foglalhatók össze: 

1. A reziliencia és a kiberbiztonsági helyzet javítható a zsarolóvírusok visszaszorításával, a sebezhetőség nyomon követésével, az emberi erőforrások biztonságával és az eszközkezeléssel kapcsolatos bevált gyakorlatok megosztásával. Emellett fokozni kell az együttműködést a tagállamok technikai hálózatával, a számítógép-biztonsági eseményekre reagáló csoporttal (CSIRT),a bűnüldöző szervekkel és a nemzetközi partnerekkel.  A tagállamoknak további önértékeléseket kell végezniük az ágazatokra vonatkozóan a NIS 2 irányelvnek és a CER-irányelvnek megfelelően.
2. Javítani kell a kollektív kiberbiztonsági helyzetismeretet és információmegosztást, és annak ki kell terjednie a geopolitikai környezetre, az esetleges fizikai károkra és a dezinformációra is. 
3. Javítani kell a vészhelyzeti tervezést, a válságkezelést és az operatív együttműködést az ágazatok és a kiberbiztonsági hatóságok közötti eljárások lerövidítése révén.
4. Az ellátási lánc biztonságával tovább kell foglalkozni a kiemelt kockázatot jelentő harmadik országbeli szolgáltatóktól való függőségek nyomon követő értékelésével és az ellátási lánc biztonságára vonatkozó uniós keret kidolgozásával.

Tekintettel az e jelentés hatálya alá tartozó infrastruktúrák és hálózatok kritikus jellegére, valamint a gyorsan változó fenyegetettségi helyzetre, továbbá a nemzetbiztonsággal kapcsolatos tagállami hatáskörök sérelme nélkül a Bizottság arra ösztönzi a tagállamokat, a Bizottságot és az ENISA-t, hogy az egyes ajánlások végrehajtásával kapcsolatban már megkezdett munka alapján a lehető leghamarabb hajtsák végre ezeket a rezilienciát fokozó intézkedéseket.

További információkért töltse le az alábbi jelentést.

Háttér

A Tanács az Európai Unió kiberbiztonsági helyzetének alakulásáról szóló, 2022. május 23-i következtetéseiben „felkérte a Bizottságot, a főképviselőt és a Kiberbiztonsági Együttműködési Csoportot, hogy az érintett polgári és katonai szervekkel és ügynökségekkel, valamint a létrehozott hálózatokkal, többek között az EU CyCLONe-nal együttműködve végezzenek kockázatértékelést, és kiberbiztonsági szempontból dolgozzanak ki kockázati forgatókönyveket a tagállamok vagy partnerországok elleni fenyegetés vagy lehetséges támadás esetén, és nyújtsák be azokat az érintett tanácsi szerveknek”.

Emellett az uniós kibervédelmi politikáról szóló, 2023. május 23-i következtetéseiben a Tanács „felkérte a fent említett szereplőket annak biztosítására, hogy az uniós és adott esetben nemzeti szintű intézkedések és támogatás meghatározása és rangsorolása során vegyék figyelembe a kockázatértékeléseket, a forgatókönyveket és az azokat követő ajánlásokat”. A Tanács felszólít továbbá arra, hogy „a kockázatértékelési folyamatokban, valamint a kibergyakorlatok kidolgozásában részt vevő valamennyi érintett szereplő vegye figyelembe a kockázati forgatókönyveket”.

A kockázatértékelés az uniós kommunikációs infrastruktúrák és hálózatok kiberbiztonságáról és rezilienciájáról szóló, 2024 februárjában közzétett közelmúltbeli jelentés nyomán készült.

További információk a kiberbiztonsági politikákról olvashatók.