Curtea de Conturi Europeană: Organismele UE trebuie să-şi intensifice pregătirea în materie de securitate cibernetică

Organismele UE trebuie să-şi intensifice pregătirea în materie de securitate cibernetică în condiţiile în care numărul de atacuri cibernetice îndreptate împotriva organismelor UE este în creştere vertiginoasă, arată un raport publicat de Curtea de Conturi Europeană.

Potrivit sursei citate, nivelul de pregătire al acestora în materie de securitate cibernetică variază şi, per ansamblu, nu este proporţional cu ameninţările din ce în ce mai mari şi dat fiind că organismele UE sunt puternic interconectate, un punct slab al unuia le poate expune pe celelalte la ameninţări de securitate.

"Aceasta este concluzia unui raport special publicat de Curtea de Conturi Europeană, care examinează cât de pregătite sunt entităţile din guvernanţa UE să facă faţă ameninţărilor cibernetice. Auditorii recomandă să se introducă norme obligatorii în materie de securitate cibernetică şi să se pună mai multe resurse la dispoziţia Centrului de răspuns la incidente de securitate cibernetică (CERT-UE). De asemenea, în opinia auditorilor, Comisia Europeană ar trebui să promoveze un nivel mai mare de cooperare între organismele UE, iar CERT-UE şi Agenţia Uniunii Europene pentru Securitate Cibernetică ar trebui să pună un accent mai puternic pe acele organisme care au mai puţină experienţă în gestionarea securităţii cibernetice", se precizează în comunicatul Curţii de Conturi Europene.

Numărul incidentelor semnificative de securitate cibernetică în organismele UE a crescut de peste 10 ori între 2018 şi 2021. Telemunca a mărit considerabil numărul de puncte potenţiale de acces pentru atacatori. Incidentele semnificative sunt cauzate în general de atacuri cibernetice complexe, care implică de regulă utilizarea de metode şi tehnologii noi, pentru investigarea şi redresarea în urma lor fiind uneori nevoie de săptămâni sau chiar de luni întregi.

Potrivit sursei citate, un astfel de exemplu a fost atacul cibernetic asupra Agenţiei Europene pentru Medicamente, soldat cu divulgarea unor date sensibile şi manipularea acestora cu scopul de a se submina încrederea în vaccinuri.

"Instituţiile, organele şi agenţiile UE sunt ţinte atractive pentru potenţialii atacatori, în special pentru grupuri capabile să execute atacuri disimulate extrem de sofisticate în scopuri de spionaj cibernetic sau cu alte intenţii criminale. Astfel de atacuri pot avea implicaţii politice considerabile, pot afecta reputaţia generală a UE şi pot submina încrederea în instituţiile acesteia. UE trebuie să-şi intensifice eforturile pentru a-şi proteja propriile organizaţii", a declarat Bettina Jakobsen, membra Curţii care a condus acest audit.

Principala constatare a auditorilor a fost că instituţiile, organele şi agenţiile UE nu sunt întotdeauna bine protejate împotriva ameninţărilor cibernetice. Acestea nu dispun de o abordare consecventă în materie de securitate cibernetică, nu au introdus în toate cazurile controale esenţiale şi bune practici importante în domeniu şi nu oferă sistematic formare cu privire la securitatea cibernetică. Nivelul resurselor alocate pentru securitatea cibernetică variază considerabil şi o serie de organisme ale UE cheltuiesc mult mai puţin în acest domeniu decât omologi comparabili. Deşi diferenţele dintre nivelurile de securitate cibernetică ar putea fi justificate teoretic de profilurile de risc diferite ale fiecărei organizaţii şi de nivelurile variabile de sensibilitate a datelor gestionate de acestea, auditorii subliniază faptul că deficienţele în materie de securitate cibernetică ale unui singur organism UE pot expune mai multe alte organizaţii la ameninţări în domeniu (organismele UE sunt conectate atât între ele, cât şi, adesea, cu organizaţii publice şi private din statele membre).

Centrul de răspuns la incidente de securitate cibernetică şi Agenţia Uniunii Europene pentru Securitate Cibernetică (ENISA) sunt cele două entităţi principale ale UE care au misiunea de a acorda sprijin în materie de securitate cibernetică. Din cauza resurselor limitate sau a faptului că s-a acordat prioritate altor domenii, ele nu au fost însă în măsură să ofere organismelor UE tot sprijinul de care acestea au nevoie.

În opinia auditorilor, schimbul de informaţii este de asemenea o problemă: de exemplu, nu toate organismele UE raportează în timp util cu privire la vulnerabilităţi şi la incidentele semnificative de securitate cibernetică cu care s-au confruntat şi care pot avea un impact asupra altor organisme.

Potrivit comunicatului, instituţiile, organele şi agenţiile UE nu dispun în prezent de un cadru juridic pentru securitatea informaţiilor şi securitatea cibernetică. Ele nu fac obiectul celui mai cuprinzător act legislativ al UE privind securitatea cibernetică, şi anume Directiva NIS din 2016, şi nici al noii directive revizuite propuse, Directiva NIS2. De asemenea, nu există informaţii complete cu privire la sumele cheltuite de acestea pentru securitatea cibernetică. Strategia UE privind uniunea securităţii pentru perioada 2020-2025, comunicare publicată de Comisia Europeană în iulie 2020, include norme comune privind securitatea informaţiilor şi securitatea cibernetică pentru toate organismele UE.

În Strategia de securitate cibernetică a UE pentru deceniul digital, publicată în decembrie 2020, Comisia s-a angajat să propună un regulament privind norme comune în materie de securitate cibernetică pentru toate organismele UE. Această strategie propunea totodată un nou temei juridic pentru CERT-UE în vederea consolidării mandatului şi a finanţării acestuia.

Raportul special nr. 05/2022, intitulat "Securitatea cibernetică a instituţiilor, organelor şi agenţiilor UE; Per ansamblu, nivelul de pregătire
nu este proporţional cu ameninţările", este disponibil pe site-ul Curţii.

Curtea s-a aplecat asupra provocărilor pentru o politică eficace a UE în domeniul securităţii cibernetice şi într-un document de analiză din 2019, se precizează în comunicat.