ESB-stofnanir verða að auka viðbúnað sinn á netöryggi

Netárásum á stofnanir ESB fjölgar mikið. Stigið
viðbúnaður netöryggis innan ESB-stofnana er breytilegur og er í heildina ekki
í samræmi við vaxandi ógnir. Þar sem ESB stofnanir eru eindregið
samtengd, veikleiki í einum getur valdið öðrum öryggisógnum.
Þetta er niðurstaða sérstakrar skýrslu Evrópudómstólsins
Endurskoðendur sem skoðar hversu viðbúnir stjórnarstofnanir ESB eru
gegn netógnum. Endurskoðendur mæla með því að bindandi netöryggi
innleiða ætti reglur og hversu mikið fjármagn er tiltækt
Fjölga ætti neyðarviðbragðsteymi tölvu (CERT-EU). The
Framkvæmdastjórn Evrópusambandsins ætti einnig að stuðla að frekari samvinnu á milli ESB
stofnanir, segja endurskoðendur, en CERT-EU og Evrópusambandsstofnunin fyrir
Netöryggi ætti að auka áherslu þeirra á þær ESB-stofnanir sem hafa minna
reynslu af stjórnun netöryggis.*

Umtalsverðum netöryggistilvikum í stofnunum ESB fjölgaði meira en
tífalt á milli 2018 og 2021; fjarvinna hefur aukist töluvert
fjölda hugsanlegra aðgangsstaða fyrir árásarmenn. Veruleg atvik
eru yfirleitt af völdum flókinna netárása sem venjulega fela í sér notkun
af nýjum aðferðum og tækni, og getur tekið vikur ef ekki mánuði að
rannsaka og jafna sig. Eitt dæmi var netárásin á
Lyfjastofnun Evrópu, þar sem viðkvæmum gögnum var lekið og unnið með þær
að grafa undan trausti á bóluefnum.

„*Stofnanir, stofnanir og stofnanir ESB eru aðlaðandi markmið fyrir möguleika
árásarmenn, sérstaklega hópar sem geta framkvæmt mjög háþróaða
laumuspilsárásir í netnjósnum og öðrum glæpsamlegum tilgangi*", sagði
Bettina Jakobsen, fulltrúi ECA sem stýrði úttektinni. „*Slíkar árásir geta haft
veruleg pólitísk áhrif, skaða almennt orðspor ESB,
og grafa undan trausti á stofnunum þess. ESB verður að auka viðleitni sína til að
vernda eigin samtök.*“

Meginniðurstaða endurskoðenda var að stofnanir ESB, stofnanir og
stofnanir eru ekki alltaf vel varin gegn netógnum. Þau gera það ekki
nálgast netöryggi stöðugt, nauðsynlegt eftirlit og lykill
Góðir starfshættir netöryggis eru ekki alltaf til staðar, og netöryggi
þjálfun er ekki skipulega veitt. Úthlutun fjármagns til
Netöryggi er mjög mismunandi og fjöldi ESB-stofnana er að eyða
töluvert minna en sambærilegir jafnaldrar. Þó munur á
Netöryggisstig gæti fræðilega verið réttlætt með mismunandi áhættu
snið hverrar stofnunar og mismunandi næmisstigs
gögn sem þeir meðhöndla leggja endurskoðendur áherslu á að veikleikar netöryggis í a
Ein stofnun ESB getur afhjúpað nokkrar aðrar stofnanir fyrir netöryggi
hótanir (ESB-stofnanir eru allar tengdar hver öðrum og oft opinberum og
einkaaðila í aðildarríkjum).

Tölvuneyðarteymi (CERT-EU) og Evrópusambandið
Netöryggisstofnunin (ENISA) eru tvær meginstofnanir ESB sem hafa það hlutverk að gegna
veita stuðning við netöryggi. Það hefur þeim hins vegar ekki tekist
veita ESB aðilum allan þann stuðning sem þeir þurfa, vegna auðlinda
takmarkanir eða forgangur á öðrum sviðum. Upplýsingamiðlun er
líka galli, segja endurskoðendurnir: til dæmis bera ekki allar ESB-stofnanir
út tímanlega skýrslugjöf um veikleika og umtalsvert netöryggi
atvik sem hafa haft áhrif á þau og geta haft áhrif á aðra.

Eins og er er enginn lagarammi fyrir upplsingaryggi og
netöryggi í stofnunum, stofnunum og stofnunum ESB. Þau eru ekki háð
við víðtækustu löggjöf ESB um netöryggi, NIS-tilskipuninni frá 2016, eða
við fyrirhugaða endurskoðun hennar, NIS2 tilskipunina. Það er líka nr
tæmandi upplýsingar um þá upphæð sem ESB-stofnanir eyða í
Netöryggi. Sameiginlegu reglurnar um upplýsingaöryggi og um
netöryggi allra ESB-stofnana er innifalið í orðsendingunni um ESB
Stefna öryggisbandalagsins fyrir tímabilið 2020-2025, gefin út af
Framkvæmdastjórnin í júlí 2020. Í netöryggisstefnu ESB fyrir stafræna
Áratug, birt í desember 2020, skuldbatt framkvæmdastjórnin sig til að leggja til a
reglugerð um sameiginlegar netöryggisreglur fyrir allar stofnanir ESB. Það líka
lagt til að komið verði á fót nýjum lagagrundvelli fyrir CERT-EU til að styrkja
umboð þess og fjármögnun.

e>

Fáðu

Deildu þessari grein: