x close
Click Accept pentru a primi notificări cu cele mai importante știri! Nu, multumesc Accept
Jurnalul.ro Bani şi Afaceri Economie Instituțiile UE, vulnerabile la atacurile cibernetice

Instituțiile UE, vulnerabile la atacurile cibernetice

de Adrian Stoica    |    31 Mar 2022   •   07:40
Instituțiile UE, vulnerabile la atacurile cibernetice

Numărul de atacuri cibernetice îndreptate împotriva instituțiilor, organelor și agențiilor din cadrul UE (IOAUE) crește vertiginos.

 

Având în vedere că IOAUE sunt puternic interconectate, punctele slabe ale uneia le pot expune pe celelalte la amenințări de securitate, arată un raport al Curții de Conturi Europene. Analiza a constatat că nivelul de pregătire al IOAUE nu este proporțional cu amenințările și că infrastructura organizațională a UE are niveluri foarte variabile de maturitate în materie de securitate cibernetică. În aceste condiții, Curtea recomandă îmbunătățirea nivelului de pregătire, propunând introducerea unor norme obligatorii în materie de securitate cibernetică și creșterea resurselor Centrului de răspuns la incidente de securitate cibernetică (CERT-UE). 

Numărul incidentelor cibernetice este în creștere, o tendință deosebit de îngrijorătoare fiind creșterea dramatică a numărului de incidente semnificative care afectează IOAUE. Anul trecut a fost unul record din acest punct de vedere, înregistrându-se și o creștere importantă a incidentele semnificative, adică a acelor evenimente care desemnează acele incidente care nu sunt nici repetitive, nici simple. De regulă, acestea implică utilizarea de noi metode și tehnologii, iar pentru investigarea și redresarea în urma lor poate fi nevoie de săptămâni sau chiar de luni întregi. Numărul incidentelor semnificative a crescut de peste zece ori între 2018 și 2021. Numai în ultimii doi ani, cel puțin 22 de IOAUE au fost victime ale unor incidente semnificative. Un exemplu recent este atacul cibernetic asupra Agenției Europene pentru Medicamente, soldat cu divulgarea unor date sensibile și manipularea acestora într-un mod menit să submineze încrederea în vaccinuri.

„IOAUE nu dispun în prezent de un cadru juridic pentru securitatea informațiilor și securitatea cibernetică. Ele nu fac obiectul celui mai cuprinzător act legislativ al UE privind securitatea cibernetică, și anume Directiva NIS din 201612, și nici al propunerii de revizuire a acesteia, Directiva NIS213. De asemenea, nu există informații complete cu privire la sumele cheltuite de IOAUE pentru securitatea cibernetică”.

Raportul Curții de Conturi

Fără planuri de securitate

Curtea a identificat deficiențe în guvernanța securității informatice în numeroase IOAUE. Astfel, doar 58% dintre acestea (38 din 65) au o strategie de securitate informatică sau cel puțin un plan în materie care să fi fost aprobat. O defalcare pe tipuri de instituții, organe și agenții arată că procentele cele mai scăzute corespund misiunilor civile și agențiilor descentralizate, arată raportul. De asemenea, un sondaj realizat de inspectorii Curții, citat în cadrul raportului, a arătat că 60% dintre IOAUE nu desemnaseră un responsabil pentru securitatea sistemelor informatice (CISO) independent sau un rol echivalent. Chiar și în cazurile în care au fost numiți CISO (sau echivalenți), rolurile acestora diferă foarte mult prin natura lor - iar funcțiile lor sunt înțelese în mod diferit, de la o IOAUE la alta.

×