AdobeStock © WS Studio 1985
ES IKT piegādes ķēdes drošības rīkkopa nodrošina horizontālu, kopīgu un nesaistošu pieeju tam, kā identificēt, novērtēt un mazināt IKT piegādes ķēžu kiberdrošības riskus. Pēc ES Padomes 2022. gada secinājumiem par IKT piegādes ķēdes drošību rīkkopa tika izstrādāta TID sadarbības grupā. Tās pamatā ir visu apdraudējumu pieeja, un tajā ir definēti galvenie jēdzieni, kas saistīti ar IKT piegādes ķēdes drošību. Tā kā tā ir strikti agnostiska, tajā ir izklāstīti riska scenāriji, kas ietekmē Savienības digitālo ekosistēmu, un ieteikti riska mazināšanas pasākumi, tostarp kritiski svarīgu piegādātāju novērtēšanas satvara izveide, vairāku pārdevēju stratēģiju veicināšana un atkarības no augsta riska piegādātājiem pārvarēšana.
Saskaņā ar TID 2 direktīvu IKT piegādes ķēdes drošības rīkkopa sniedz būtisku ieguldījumu Savienības līmeņa koordinētos kritiski svarīgu IKT piegādes ķēžu drošības riska novērtējumos saskaņā ar TID 2 direktīvas 22. pantu. Tā ir izstrādāta ne tikai, lai palīdzētu dalībvalstīm, bet arī lai atbalstītu publiskā un privātā sektora dalībniekus to risku novērtēšanā un pārvaldībā, kas saistīti ar IKT pakalpojumiem, IKT sistēmām un IKT produktu piegādes ķēdēm.
Dalībvalstu rīcībā tagad ir strukturēts brīvprātīgu pasākumu kopums, ko var pielāgot valsts kontekstam un prioritātēm. Nākamajos pasākumos TID sadarbības grupa pēc gada pārskatīs rīkkopas piemērošanu. Tas palīdzēs novērtēt progresu, apmainīties ar paraugpraksi, apzināt problēmas un vajadzības gadījumā ieteikt pielāgojumus.
Turklāt TID sadarbības grupa ir pieņēmusi rezultātus, kas gūti divos Savienības līmeņa koordinētos drošības riska novērtējumos, kurus dalībvalstis izstrādājušas ar Komisijas un ENISA atbalstu. Pirmajā novērtējumā galvenā uzmanība ir pievērsta satīklotiem un automatizētiem transportlīdzekļiem (CAV) un to piegādes ķēdēm, savukārt otrajā izvērtē kiberdrošības riskus, kas saistīti ar atklāšanas aprīkojumu, ko ES tiesībaizsardzības un drošības operatori izmanto ES robežšķērsošanas vietās.
Abu ziņojumu galvenais mērķis ir sniegt visaptverošu pārskatu par konstatētajiem kiberdrošības riskiem, to iespējamām sekām un riska mazināšanas pasākumiem, ko uzskata par nepieciešamiem to novēršanai. Satīklotu un automatizētu transportlīdzekļu novērtējums liecina, ka CAV, sniedzot daudzus potenciālus ieguvumus drošībai un energoefektivitātei, rada jaunus un būtiskus kiberdrošības riskus. CAV apstrādā personas un sensitīvus datus, un dažos gadījumos tos var izmantot kā ieroci.
Lai novērstu šos riskus, TID sadarbības grupa cita starpā iesaka Komisijai kopā ar dalībvalstīm noteikt samērīgus pasākumus, lai mazinātu risku ES piegādes ķēdēm no augsta riska piegādātājiem, jo īpaši, ja tas attiecas uz apstrādes un lēmumu pieņemšanas sistēmām, sakaru un savienojamības sistēmām un transportlīdzekļu vadības sistēmām, kas var saņemt attālinātus atjauninājumus. Ziņojumā arī ierosināti turpmāki pētījumi, lai novērtētu kiberuzbrukumu ietekmi uz uzlādes infrastruktūru plašākā energotīklā.
Otrajā koordinētajā riska novērtējumā galvenā uzmanība ir pievērsta atklāšanas iekārtām. Tā mērķis ir sniegt visaptverošu pārskatu par kiberdrošības riskiem, kas saistīti ar atklāšanas iekārtām, kuras kopumā tiek uzskatītas par ES kritiskās infrastruktūras daļu, un to sekām, kā arī to novēršanai nepieciešamajiem riska mazināšanas pasākumiem neatkarīgi no tā, vai atklāšanas iekārtas tiek izmantotas atsevišķā kontekstā vai savstarpēji savienotā un sadarbspējīgā vidē.
Kompromitētas atklāšanas iekārtas var vadīt attālināti, izmantot kā uzbrukuma vektoru vai neitralizēt, lai atbalstītu ļaunprātīgas darbības. Starpgadījumus var izraisīt arī cilvēka kļūdas, sistēmas kļūmes vai dabas parādības. Turklāt pašā atklāšanas iekārtu tirgū, kurā dominē ierobežots skaits trešo valstu izcelsmes ražotāju, ir konstatēti nopietni trūkumi un papildu problēmas ES drošībai, jo īpaši attiecībā uz tirgus dažādošanu, iekārtu un aprīkojuma daļu pieejamību un kritiskās infrastruktūras drošību utt.
Lai efektīvi pārvaldītu šos riskus, šajā novērtējumā ir noteikti vairāki riska mazināšanas pasākumi, piemēram, ES līmeņa pasākumu efektīva piemērošana augsta riska piegādātājiem un iepirkuma prakses uzlabošana, nosakot drošības prasības ES finansējumam. Citi ieteikumi attiecas uz apkopes praksi un drošības protokoliem iekārtu izmantošanai un piekļuvei tām.