iStock Photo Getty Images +
Poročilo opozarja na zaskrbljenost zaradi številnih tveganj, vključno s tveganji za varnost dobavne verige, pomanjkanjem kibernetskih strokovnjakov in tveganji, ki jih predstavljajo zlonamerne dejavnosti kibernetskih kriminalcev in akterjev groženj, ki jih podpira država.
V oceni tveganja so bila podrobneje opredeljena tehnična in netehnična tveganja. V telekomunikacijskem in elektroenergetskem sektorju so tveganja v dobavni verigi še vedno glavna skrb, zlasti v zvezi z uvajanjem 5G in infrastrukturo za energijo iz obnovljivih virov. Kot stalna, a pereča vprašanja v obeh sektorjih, zlasti kar zadeva operativno tehnologijo, so bili opredeljeni tudi izsiljevalsko programje, brisalci podatkov in izkoriščanje ranljivosti ničtega dne.
Za sektor električne energije so najbolj kritično tveganje zlonamerni notranji akterji, ki jih spodbujajo težave pri ustreznem preverjanju novega osebja in privabljanju lokalnih talentov na področju kibernetske varnosti. Med glavnimi grožnjami za telekomunikacijski sektor so napadi prek infrastruktur za gostovanje in napadi, ki izvirajo iz velikih bot omrežij.
Poleg tega sta bila fizična sabotaža kabelske infrastrukture in motenje satelitskih signalov opredeljena kot posebni tveganji, ki ju je še posebej težko ublažiti.
Za zmanjšanje teh tveganj so v poročilu predstavljena številna priporočila na štirih področjih, na katerih so potrebne izboljšave, ki jih je mogoče povzeti, kot sledi:
- Odpornost in kibernetsko varnost je mogoče izboljšati z izmenjavo dobrih praks na področju zmanjševanja izsiljevalskega programja, spremljanja ranljivosti, varnosti človeških virov in upravljanja sredstev. Poleg tega je treba okrepiti sodelovanje s tehnično mrežo držav članic, skupino za odzivanje na incidente na področju računalniške varnosti (skupineCSIRT), organi kazenskega pregona in mednarodnimi partnerji. Države članice bi morale izvesti nadaljnje samoocene za sektorje v skladu z direktivo VOIS 2 in direktivo o odpornosti kritičnih subjektov.
- Izboljšati je treba skupno situacijsko zavedanje o kibernetskih razmerah in izmenjavo informacij ter vključiti geopolitične razmere, morebitno fizično škodo in dezinformacije.
- Načrtovanje ravnanja v nepredvidljivih razmerah, krizno upravljanje in operativno sodelovanje je treba izboljšati s skrajšanjem mej med sektorji in organi za kibernetsko varnost v postopkih.
- Varnost dobavne verige bi bilo treba nadalje obravnavati z nadaljnjimi ocenami odvisnosti od ponudnikov iz tretjih držav z visokim tveganjem in razvojem okvira EU za varnost dobavne verige.
Glede na kritičnost infrastruktur in omrežij v okviru tega poročila in glede na hitro razvijajoče se grožnje ter brez poseganja v pristojnosti držav članic v zvezi z nacionalno varnostjo se države članice, Komisija in agencija ENISA spodbujajo, naj čim prej izvedejo te ukrepe za povečanje odpornosti na podlagi dela, ki se je že začelo v zvezi z izvajanjem nekaterih priporočil.
Za več informacij prenesite spodnje poročilo.
Ozadje
Svet je v svojih sklepih o oblikovanju stališča Evropske unije glede kibernetskih vprašanj z dne 23. maja 2022 „pozval Komisijo, visokega predstavnika in skupino za sodelovanje na področju varnosti omrežij in informacij, naj v sodelovanju z ustreznimi civilnimi in vojaškimi organi in agencijami ter vzpostavljenimi mrežami, vključno z mrežo EU CyCLONe, izvedejo oceno tveganja in pripravijo scenarije tveganj z vidika kibernetske varnosti v primeru grožnje državam članicam ali partnerskim državam ali morebitnega napada nanje ter jih predstavijo ustreznim organom Sveta“.
Poleg tega je Svet v sklepih z dne 23. maja 2023 o politiki EU za kibernetsko obrambo „navedene akterje pozval, naj zagotovijo, da se ocene tveganja, scenariji in naknadna priporočila upoštevajo pri opredeljevanju in prednostnem razvrščanju ukrepov in podpore na ravni EU in po potrebi na nacionalni ravni“. Svet poleg tega poziva, „naj scenarije tveganja upoštevajo vsi zadevni akterji v postopkih ocenjevanja tveganja, pa tudi pri razvoju vaj za kibernetsko varnost“.
Ocena tveganja temelji na nedavnem poročilu o kibernetski varnosti in odpornosti komunikacijskih infrastruktur in omrežij EU, ki je bilo objavljeno februarja 2024.
Več informacij o politikah za kibernetsko varnost je na voljo na spletni strani .