- Przysłowia i powiedzenia są repozytorium mądrości. Jedno z nich brzmi następująco: „szewc bez butów chodzi”
16 grudnia 2020 roku Unia Europejska ogłosiła nową „Strategię Cyberbezpieczeństwa” – „THE EU’S CYBERSECURITY STRATEGY FOR THE DIGITAL DECADE”
Tymczasem, pod koniec marca, Europejski Trybunał Obrachunkowy opublikował „Special report” zatytułowany „Cybersecurity of EU institutions, bodies and agencies”, czyli „Cyberbezpieczeństwo instytucji, organów i agencji UE”.
Raport jest wynikiem analizy dokumentacji, wywiadów i ankiet. Przy czym ankiety objęły wszystkie podmioty unijne zaś analiza dokumentacji i wywiady miały miejsce w odniesieniu do 7 celowo wybranych podmiotów.
Badanie dotyczy okresu styczeń 2018 – październik 2021 – a więc objęło niemal roczny okres od przyjęcia Strategii Cyberbezpieczeństwa.
Dokument liczy około 60 stron (w zależności od wersji językowej – jest również wersja polska). Wyniki odnoszą się do badania przeprowadzonego wśród 65 instytucji unijnych, począwszy od Parlamentu Europejskiego a kończąc na >Misji EU w zakresie praworządności w Kosowie<.
Ogólny wniosek zawarty w publikacji brzmi: „Poziom przygotowania ogólnie nieadekwatny do zagrożeń”
Główne tezy:
EUIBA wykazują bardzo zróżnicowane poziomy zaawansowania w zakresie cyberbezpieczeństwa i nie zawsze przestrzegają dobrych praktyk
- Zarządzanie bezpieczeństwem IT w EUIBA często nie jest dobrze rozwinięte, a oceny ryzyka nie są kompleksowe
- EUIBA nie mają spójnego podejścia do cyberbezpieczeństwa, a podstawowe środki bezpieczeństwa nie zawsze są stosowane
- W szeregu EUIBA rozwiązania w zakresie cyberbezpieczeństwa nie podlegają regularnie przeprowadzanej procedurze niezależnego poświadczenia
W ramach EUIBA ustanowiono mechanizmy współpracy, ale występują niedociągnięcia
- Ustanowiono sformalizowaną strukturę, dzięki której EUIBA koordynują swoje działania, lecz występują pewne problemy związane z zarządzaniem
- Potencjalna synergia w ramach współpracy nie jest jeszcze w pełni wykorzystana
Jak dotąd ENISA i CERT-UE nie zapewniły EUIBA wszelkiego niezbędnego wsparcia
- ENISA jest kluczowym podmiotem w dziedzinie cyberbezpieczeństwa w UE, ale jak dotąd jej wsparcie dotarło do bardzo niewielu EUIBA
- CERT-UE jest wysoko ceniony przez podmioty uczestniczące, ale środki będące do jego dyspozycji są niewspółmierne do obecnych wyzwań w zakresie cyberbezpieczeństwa
W Raporcie czytamy m.in.:
Trybunał stwierdził, że nie zawsze wdrażane były kluczowe dobre praktyki w zakresie cyberbezpieczeństwa (w tym niektóre niezbędne środki bezpieczeństwa), a szereg EUIBA przeznacza jednoznacznie zbyt mało funduszy na cyberbezpieczeństwo. Co więcej, w niektórych EUIBA nie ustanowiono jeszcze solidnego systemu zarządzania cyberbezpieczeństwem. W wielu przypadkach brakuje strategii w zakresie bezpieczeństwa IT lub strategie takie nie zostały zatwierdzone przez kadrę kierowniczą wyższego szczebla, polityka bezpieczeństwa nie zawsze jest sformalizowana, a oceny ryzyka nie obejmują całego środowiska informatycznego. Nie we wszystkich EUIBA cyberbezpieczeństwo podlega regularnie przeprowadzanej procedurze niezależnego poświadczenia.
Szkolenia w zakresie cyberbezpieczeństwa nie zawsze są przeprowadzane systematycznie. Jedynie nieco ponad połowa EUIBA oferuje na bieżąco szkolenia w tym obszarze dla informatyków i specjalistów w dziedzinie bezpieczeństwa informatycznego, a niewielka ich liczba zapewnia obowiązkowe szkolenia w zakresie cyberbezpieczeństwa dla kierowników odpowiedzialnych za systemy informatyczne zawierające informacje szczególnie chronione. Ćwiczenia polegające na symulacji phishingu są ważnym narzędziem szkolenia personelu i podnoszenia poziomu świadomości, ale nie wszystkie EUIBA przeprowadzają je systematycznie.
Chociaż w EUIBA ustanowiono struktury współpracy i wymiany informacji na temat cyberbezpieczeństwa, Trybunał zauważył, że nie wykorzystuje się w pełni potencjalnej synergii w tym obszarze. EUIBA nie wymieniają się systematycznie między sobą informacjami na temat projektów związanych z cyberbezpieczeństwem ani informacjami na temat ocen bezpieczeństwa i umów o świadczenie usług. Ponadto podstawowe narzędzia komunikacji, takie jak rozwiązania umożliwiające szyfrowanie poczty elektronicznej lub wideokonferencji, nie są w pełni interoperacyjne, co może prowadzić do mniej bezpiecznej wymiany informacji, dublowania wysiłków i wzrostu kosztów.
Trybunał Obrachunkowy zalecił, żeby:
- Komisja zwiększyła stopień przygotowania EUIBA w zakresie cyberbezpieczeństwa, przedstawiając w tym celu wniosek ustawodawczy w sprawie wprowadzenia wspólnych wiążących zasad w tym obszarze obowiązujących wszystkie instytucje, organy i agencje UE oraz zapewniając większe zasoby na rzecz CERT-UE;
- Komisja, w ramach Międzyinstytucjonalnego Komitetu ds. Transformacji Cyfrowej, promowała dalszą synergię między EUIBA w wybranych obszarach;
- CERT-UE i ENISA w większym stopniu koncentrowały się na tych EUIBA, które są mniej zaawansowane pod względem cyberbezpieczeństwa.
Na Raport odpowiedziała już Komisja Europejska. W dokumencie zawierającym stanowisko KE czytamy:
Komisja z zadowoleniem przyjmuje sprawozdanie Europejskiego Trybunału Obrachunkowego w sprawie cyberbezpieczeństwa instytucji, organów i agencji UE. Odnotowuje, że w sprawozdaniu podkreślono znaczenie wspólnych ram prawnych dotyczących bezpieczeństwa informacji i cyberbezpieczeństwa dla wszystkich EUIBA w celu podniesienia ogólnego poziomu cyberbezpieczeństwa we wszystkich obszarach. Komisja zauważa, że główne uwagi i zalecenia Europejskiego Trybunału Obrachunkowego nie dotyczą cyberbezpieczeństwa operacyjnego samej Komisji, lecz raczej jej strategicznej roli w zakresie proponowania przepisów mających na celu poprawę zaawansowania cyfrowego EUIBA. (…) Zgodnie z powyższym Komisja popiera główne uwagi i zalecenia zawarte w sprawozdaniu
Oba dokumenty, tj. Raport Trybunału Obrachunkowego oraz Odpowiedź Komisji Europejskiej są dostępne w języku polskim. Szczerze zachęcamy do zapoznania się z treścią Raportu ETO.