EuropaWieści

European Union at Risk

Ciekawy raport Trybunału Obrachunkowego

Ważne
  • Przysłowia i powiedzenia są repozytorium mądrości. Jedno z nich brzmi następująco: „szewc bez butów chodzi”

16 grudnia 2020 roku Unia Europejska ogłosiła nową „Strategię Cyberbezpieczeństwa” – „THE EU’S CYBERSECURITY STRATEGY FOR THE DIGITAL DECADE”

Tymczasem, pod koniec marca, Europejski Trybunał Obrachunkowy opublikował „Special report” zatytułowany „Cybersecurity of EU institutions, bodies and agencies”, czyli „Cyberbezpieczeństwo instytucji, organów i agencji UE”.

Raport jest wynikiem analizy dokumentacji, wywiadów i ankiet. Przy czym ankiety objęły wszystkie podmioty unijne zaś analiza dokumentacji i wywiady miały miejsce w odniesieniu do 7 celowo wybranych podmiotów.

Badanie dotyczy okresu styczeń 2018 – październik 2021 – a więc objęło niemal roczny okres od przyjęcia Strategii Cyberbezpieczeństwa.

Dokument liczy około 60 stron (w zależności od wersji językowej – jest również wersja polska). Wyniki odnoszą się do badania przeprowadzonego wśród 65 instytucji unijnych, począwszy od Parlamentu Europejskiego a kończąc na >Misji EU w zakresie praworządności w Kosowie<.

Ogólny wniosek zawarty w publikacji brzmi: „Poziom przygotowania ogólnie nieadekwatny do zagrożeń

Główne tezy:

EUIBA wykazują bardzo zróżnicowane poziomy zaawansowania w zakresie cyberbezpieczeństwa i nie zawsze przestrzegają dobrych praktyk

  • Zarządzanie bezpieczeństwem IT w EUIBA często nie jest dobrze rozwinięte, a oceny ryzyka nie są kompleksowe
  • EUIBA nie mają spójnego podejścia do cyberbezpieczeństwa, a podstawowe środki bezpieczeństwa nie zawsze są stosowane
  • W szeregu EUIBA rozwiązania w zakresie cyberbezpieczeństwa nie podlegają regularnie przeprowadzanej procedurze niezależnego poświadczenia

W ramach EUIBA ustanowiono mechanizmy współpracy, ale występują niedociągnięcia

  • Ustanowiono sformalizowaną strukturę, dzięki której EUIBA koordynują swoje działania, lecz występują pewne problemy związane z zarządzaniem
  • Potencjalna synergia w ramach współpracy nie jest jeszcze w pełni wykorzystana

Jak dotąd ENISA i CERT-UE nie zapewniły EUIBA wszelkiego niezbędnego wsparcia

  • ENISA jest kluczowym podmiotem w dziedzinie cyberbezpieczeństwa w UE, ale jak dotąd jej wsparcie dotarło do bardzo niewielu EUIBA
  • CERT-UE jest wysoko ceniony przez podmioty uczestniczące, ale środki będące do jego dyspozycji są niewspółmierne do obecnych wyzwań w zakresie cyberbezpieczeństwa

W Raporcie czytamy m.in.:

Trybunał stwierdził, że nie zawsze wdrażane były kluczowe dobre praktyki w zakresie cyberbezpieczeństwa (w tym niektóre niezbędne środki bezpieczeństwa), a szereg EUIBA przeznacza jednoznacznie zbyt mało funduszy na cyberbezpieczeństwo. Co więcej, w niektórych EUIBA nie ustanowiono jeszcze solidnego systemu zarządzania cyberbezpieczeństwem. W wielu przypadkach brakuje strategii w zakresie bezpieczeństwa IT lub strategie takie nie zostały zatwierdzone przez kadrę kierowniczą wyższego szczebla, polityka bezpieczeństwa nie zawsze jest sformalizowana, a oceny ryzyka nie obejmują całego środowiska informatycznego. Nie we wszystkich EUIBA cyberbezpieczeństwo podlega regularnie przeprowadzanej procedurze niezależnego poświadczenia.

Szkolenia w zakresie cyberbezpieczeństwa nie zawsze są przeprowadzane systematycznie. Jedynie nieco ponad połowa EUIBA oferuje na bieżąco szkolenia w tym obszarze dla informatyków i specjalistów w dziedzinie bezpieczeństwa informatycznego, a niewielka ich liczba zapewnia obowiązkowe szkolenia w zakresie cyberbezpieczeństwa dla kierowników odpowiedzialnych za systemy informatyczne zawierające informacje szczególnie chronione. Ćwiczenia polegające na symulacji phishingu są ważnym narzędziem szkolenia personelu i podnoszenia poziomu świadomości, ale nie wszystkie EUIBA przeprowadzają je systematycznie.

Chociaż w EUIBA ustanowiono struktury współpracy i wymiany informacji na temat cyberbezpieczeństwa, Trybunał zauważył, że nie wykorzystuje się w pełni potencjalnej synergii w tym obszarze. EUIBA nie wymieniają się systematycznie między sobą informacjami na temat projektów związanych z cyberbezpieczeństwem ani informacjami na temat ocen bezpieczeństwa i umów o świadczenie usług. Ponadto podstawowe narzędzia komunikacji, takie jak rozwiązania umożliwiające szyfrowanie poczty elektronicznej lub wideokonferencji, nie są w pełni interoperacyjne, co może prowadzić do mniej bezpiecznej wymiany informacji, dublowania wysiłków i wzrostu kosztów.

Trybunał Obrachunkowy zalecił, żeby:

  • Komisja zwiększyła stopień przygotowania EUIBA w zakresie cyberbezpieczeństwa, przedstawiając w tym celu wniosek ustawodawczy w sprawie wprowadzenia wspólnych wiążących zasad w tym obszarze obowiązujących wszystkie instytucje, organy i agencje UE oraz zapewniając większe zasoby na rzecz CERT-UE;
  • Komisja, w ramach Międzyinstytucjonalnego Komitetu ds. Transformacji Cyfrowej, promowała dalszą synergię między EUIBA w wybranych obszarach;
  • CERT-UE i ENISA w większym stopniu koncentrowały się na tych EUIBA, które są mniej zaawansowane pod względem cyberbezpieczeństwa.

Na Raport odpowiedziała już Komisja Europejska. W dokumencie zawierającym stanowisko KE czytamy:

Komisja z zadowoleniem przyjmuje sprawozdanie Europejskiego Trybunału Obrachunkowego w sprawie cyberbezpieczeństwa instytucji, organów i agencji UE. Odnotowuje, że w sprawozdaniu podkreślono znaczenie wspólnych ram prawnych dotyczących bezpieczeństwa informacji i cyberbezpieczeństwa dla wszystkich EUIBA w celu podniesienia ogólnego poziomu cyberbezpieczeństwa we wszystkich obszarach. Komisja zauważa, że główne uwagi i zalecenia Europejskiego Trybunału Obrachunkowego nie dotyczą cyberbezpieczeństwa operacyjnego samej Komisji, lecz raczej jej strategicznej roli w zakresie proponowania przepisów mających na celu poprawę zaawansowania cyfrowego EUIBA.

(…)

Zgodnie z powyższym Komisja popiera główne uwagi i zalecenia zawarte w sprawozdaniu

Oba dokumenty, tj. Raport Trybunału Obrachunkowego oraz Odpowiedź Komisji Europejskiej są dostępne w języku polskim. Szczerze zachęcamy do zapoznania się z treścią Raportu ETO.

Editor

In rebus prosperis et ad voluntatem nostram fluentibus superbiam magnopere, fastidium arrogantiamque fugiamus.

>>>

W sytuacjach pomyślnych i gdy wszystko dzieje się według naszej woli, wystrzegajmy się pychy, zuchwalstwa i buty.

Powiązane artykuły

Sprawdź również
Close