Ataskaitoje atkreipiamas dėmesys į susirūpinimą keliančius klausimus dėl įvairių rūšių rizikos, įskaitant riziką tiekimo grandinės saugumui, kibernetinio saugumo specialistų trūkumą ir kibernetinių nusikaltėlių ir valstybės remiamų grėsmę keliančių subjektų piktavališkos veiklos keliamą riziką.
Rizikos vertinime išsamiau nustatyta techninė ir netechninė rizika. Tiek telekomunikacijų, tiek elektros energijos sektoriuose didžiausią susirūpinimą tebekelia tiekimo grandinės rizika, visų pirma susijusi su 5G ryšio diegimu ir atsinaujinančiųjų išteklių energijos infrastruktūra. Išpirkos reikalavimo programinė įranga, duomenų valytuvai ir nulinės dienos pažeidžiamumo išnaudojimas taip pat buvo įvardyti kaip nuolatiniai, bet neatidėliotini susirūpinimą keliantys klausimai abiejuose sektoriuose, ypač kai tai susiję su operacinėmis technologijomis.
Elektros energijos sektoriuje didžiausia nustatyta rizika yra piktavališki vidaus subjektai, kuriuos skatina sunkumai tinkamai tikrinti naujus darbuotojus ir pritraukti vietos kibernetinio saugumo talentus. Telekomunikacijų sektoriuje pagrindinės grėsmės yra atakos per tarptinklinio ryšio infrastruktūras ir atakos iš didelių robotų tinklų.
Be to, nustatyta, kad kabelinės infrastruktūros fizinis sabotažas ir palydovinių signalų trukdymas yra specifinė rizika, kurią ypač sunku sumažinti.
Siekiant sumažinti šią riziką, ataskaitoje pateikiama keletas rekomendacijų keturiose tobulintinose srityse, kurias galima apibendrinti taip:
- Atsparumą ir kibernetinio saugumo padėtį galima pagerinti dalijantis gerąja patirtimi, susijusia su išpirkos reikalavimo programinės įrangos naudojimo mažinimu, pažeidžiamumo stebėsena, žmogiškųjų išteklių saugumu ir turto valdymu. Be to, reikia stiprinti bendradarbiavimą su techninių valstybių narių tinklu, Reagavimo į kompiuterių saugumo incidentus tarnyba (CSIRT),teisėsaugos institucijomis ir tarptautiniais partneriais. Valstybės narės turėtų atlikti tolesnius sektorių įsivertinimus pagal TIS 2 direktyvą ir CER direktyvą.
- Reikia gerinti kolektyvinį informuotumą apie kibernetinę padėtį ir dalijimąsi informacija, be kita ko, atsižvelgiant į geopolitines aplinkybes, galimą fizinę žalą ir dezinformaciją.
- Reikia gerinti nenumatytų atvejų planavimą, krizių valdymą ir operatyvinį bendradarbiavimą sutrumpinant ribas tarp sektorių ir kibernetinio saugumo institucijų procedūrose.
- Tiekimo grandinės saugumo klausimas turėtų būti toliau sprendžiamas atliekant tolesnius priklausomybės nuo didelės rizikos trečiųjų valstybių tiekėjų vertinimus ir kuriant ES tiekimo grandinės saugumo sistemą.
Atsižvelgiant į infrastruktūros ir tinklų svarbą šios ataskaitos taikymo srityje ir į sparčiai kintančią grėsmių padėtį, taip pat nedarant poveikio valstybių narių kompetencijai nacionalinio saugumo srityje, valstybės narės, Komisija ir ENISA raginamos kuo greičiau įgyvendinti šias atsparumo didinimo priemones, remiantis jau pradėtu darbu įgyvendinant kai kurias rekomendacijas.
Norėdami gauti daugiau informacijos, atsisiųskite toliau pateiktą ataskaitą.
Pagrindiniai faktai
Taryba savo 2022 m. gegužės 23 d. išvadose dėl Europos Sąjungos pozicijos kibernetiniais klausimais parengimo „prašo Komisijos, vyriausiojo įgaliotinio ir TIS bendradarbiavimo grupės, koordinuojant veiksmus su atitinkamomis civilinėmis ir karinėmis įstaigomis bei agentūromis ir sukurtais tinklais, įskaitant EU CyCLONe, atlikti rizikos vertinimą ir parengti rizikos scenarijus kibernetinio saugumo požiūriu esant grėsmei ar galimam išpuoliui prieš valstybes nares ar šalis partneres ir pateikti juos atitinkamiems Tarybos organams“.
Be to, 2023 m. gegužės 23 d. išvadose dėl ES kibernetinės gynybos politikos Taryba „prašo pirmiau nurodytų subjektų užtikrinti, kad apibrėžiant priemones ir paramą ES ir atitinkamais atvejais nacionaliniu lygmeniu ir nustatant jų prioritetus būtų atsižvelgiama į rizikos vertinimus, scenarijus ir vėlesnes rekomendacijas“. Be to, Taryba ragina „visus atitinkamus subjektus apsvarstyti rizikos scenarijus rizikos vertinimo procesuose, taip pat rengiant kibernetines pratybas“.
Rizikos vertinimas grindžiamas naujausia ataskaita dėl ES ryšių infrastruktūros ir tinklų kibernetinio saugumo ir atsparumo, kuri buvo paskelbta 2024 m. vasario mėn.
Daugiau informacijos apie kibernetinio saugumo politiką rasite čia.