Zaměření na kybernetickou bezpečnost v EU: Úloha Agentury EU pro kybernetickou bezpečnost

DSM 3/2023 Zobrazení: 191
Zaměření na kybernetickou bezpečnost v EU: Úloha Agentury EU pro kybernetickou bezpečnost

Posláním Agentury EU pro kybernetickou bezpečnost je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v celé Unii ve spolupráci s širší komunitou. Agentura jako centrum odborných znalostí v oblasti kybernetické bezpečnosti shromažďuje a poskytuje nezávislé a vysoce kvalitní technické poradenství a pomoc členským státům EU a orgánům EU v oblasti kybernetické bezpečnosti. Agentura rovněž přispívá k rozvoji a provádění politik Unie v oblasti kybernetické bezpečnosti a podporuje za tímto účelem členské státy. Na základě ustanovení CSA agentura ENISA vytváří pracovní program, jehož cílem je posílit důvěru v propojenou ekonomiku, zvýšit odolnost infrastruktury a služeb Unie a zajistit digitální bezpečnost společností a občanů.

ENISA             Ochrana soukromí           Digitální odolnost             Kybernetická cvičení           Výměna informací

Jak agentura těchto cílů dosahuje?

Mezi nejpraktičtější činnosti agentury ENISA patří analýza hrozeb a prognóz, dovednosti a informovanost, operativní spolupráce, jako jsou kybernetická cvičení pořádaná společně s členskými státy, a tvorba a provádění politik.

Porozumění současnému prostředí hrozeb

Aby bylo možné určit, kde je třeba vyvinout další úsilí na vnitrostátní úrovni nebo na úrovni EU, analyzuje agentura ENISA prostředí hrozeb a zveřejňuje zprávy, v nichž shromažďuje komplexní informace o trendech, příčinách a kategoriích hrozeb. Zpráva ENISA Threat Landscape 2022 (ETL) je výroční zprávou Agentury EU pro kybernetickou bezpečnost o stavu prostředí kybernetických hrozeb. Desáté vydání pokrývá období podávání zpráv od července 2021 do července 2022. S více než deseti terabajty ukradených dat měsíčně se ransomware v nové zprávě stále řadí mezi hlavní hrozby, přičemž za nejčastější počáteční vektor těchto útoků je nyní označován phishing. Dalšími hrozbami, které se umístily na nejvyšších příčkách spolu s ransomwarem, jsou útoky proti dostupnosti nazývané také útoky DDoS (Distributed Denial of Service). Geopolitická situace, zejména ruská invaze na Ukrajinu, však ve sledovaném období změnila situaci v globální kybernetické oblasti. I když stále pozorujeme nárůst počtu hrozeb, objevuje se také širší škála vektorů, jako jsou exploity nultého dne a dezinformace a deepfakes s využitím umělé inteligence. V důsledku toho se objevují škodlivější a rozsáhlejší útoky s větším škodlivým dopadem.

V prostředí kybernetických hrozeb hrají roli také dezinformace. Vzhledem k širším hybridním hrozbám procházejícím různými oblastmi zveřejnily Evropská služba pro vnější činnost (ESVČ) a Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) v prosinci loňského roku společnou zprávu o vztahu mezi kybernetickou bezpečností a FIMI. Zpráva shromažďuje údaje, které umožňují lépe porozumět vyvíjejícímu se prostředí hrozeb, a poskytuje informace o tom, jak se s nimi vypořádat. Předkládá a testuje analytický přístup k popisu vytváření a šíření chování zahraniční manipulace s informacemi a dezinformacemi (FIMI). Ambicí je poskytnout vstupní informace o povaze a dynamice informační manipulace a zasahování včetně dezinformací a o tom, jak společně reagovat na tento jev, kterému se EU snaží předcházet, odrazovat od něj a reagovat na něj.

Příprava na budoucí hrozby – Foresight 2030

Agentura ENISA vydala zprávu Foresight 2030, která představuje deset hlavních nových hrozeb hrozících v horizontu roku 2030. Seznam hrozeb vznikl jako výsledek osmiměsíčního prognostického cvičení, které agentura ENISA provedla. Agentura ENISA uspořádala brainstorming v rámci workshopu zaměřeného na identifikaci hrozeb s cílem nalézt řešení vznikajících výzev, které se pravděpodobně objeví do roku 2030, a to za podpory expertní skupiny ENISA pro prognózy, sítě CSIRT a odborníků EU CyCLONe.

Deset hlavních vznikajících hrozeb:

  • Kompromitace závislostí na softwaru v dodavatelském řetězci.
  • Pokročilé dezinformační kampaně.
  • Vzestup autoritářství v oblasti digitálního dohledu/ztráta soukromí.
  • Lidské chyby a zneužívání starších systémů v rámci kyberneticko-fyzických ekosystémů.
  • Cílené útoky posílené o údaje z chytrých zařízení.
  • Nedostatečná analýza a kontrola vesmírné infrastruktury a objektů.
  • Vzestup pokročilých hybridních hrozeb.
  • Nedostatek dovedností.
  • Přeshraniční poskytovatelé ICT služeb jako jediný bod selhání.
  • Zneužití umělé inteligence.

Budování kapacit a zvyšování povědomí v celé Evropě

Agentura ENISA se zapojuje do činností podporujících iniciativu Evropské komise pro akademii kybernetických dovedností.

Tyto činnosti zahrnují vývoj evropského rámce dovedností v oblasti kybernetické bezpečnosti (ECSF). ECSF má podpořit porozumění rolím, kompetencím, dovednostem a odborným znalostem, které jsou podle 12 typických profilů rolí v oblasti kybernetické bezpečnosti nezbytné pro vykonávání odborné činnosti v této oblasti.

Budoucí bezpečnost našeho digitálního světa bude do značné míry záviset na naší schopnosti rozvíjet efektivní a odpovídající pracovní sílu v oblasti kybernetické bezpečnosti. To platí zejména s ohledem na to, že trh práce v oblasti kybernetické bezpečnosti s největší pravděpodobností dále poroste. Tím, že rámec zlepšuje rozpoznávání dovedností a podporuje tvorbu vzdělávacích programů souvisejících s kybernetickou bezpečností, je samozřejmě velkým krokem správným směrem.

Agentura ENISA rovněž vyvinula nástroj pro mapování všech vzdělávacích programů v oblasti kybernetické bezpečnosti v EU s názvem CYBERHEAD.

S cílem usnadnit výměnu informací a zvyšování kvalifikace odborníků a mladých talentů pořádá agentura ENISA společně s Evropskou komisí také Evropský měsíc kybernetické bezpečnosti, každoroční kampaň EU zaměřenou na zvyšování povědomí o kybernetické bezpečnosti. Cílem ECSM je propagovat osvědčené postupy díky publikacím a aktivitám ve prospěch široké veřejnosti. Tyto pokyny jsou samozřejmě použitelné i ve sféře pracovního prostředí.

Zajištění operativní spolupráce mezi aktéry EU

Agentura ENISA poskytuje orgánům pro kybernetickou bezpečnost v členských státech pokyny týkající se jejich situačního povědomí, koordinace a schopnosti politického rozhodování.

Síť CSIRT je složená z CSIRT jmenovaných členskými státy EU a CERT-EU (dále jen „členové sítě CSIRT“). Sekretariát zajišťuje Agentura EU pro kybernetickou bezpečnost (ENISA).

Síť styčných organizací EU pro řešení kybernetických krizí (CyCLONe) je určena pro spolupráci vnitrostátních orgánů členských států pověřených řešením kybernetických krizí. Síť jim umožňuje spolupracovat a zajišťovat včasné sdílení informací a situační povědomí na základě nástrojů a podpory poskytované agenturou ENISA, která působí jako sekretariát sítě.

V této oblasti tedy agentura ENISA působí jako hlavní koordinátor krizového řízení mezi nejvyššími technickými a politickými činiteli EU v případě rozsáhlé kybernetické krize.

Enisa

Uplatňování toho, co kážeme

Agentura vyzývá všechny organizace, aby testovaly svou kybernetickou připravenost. Např. Cyber Europe je program celoevropských cvičení. Cvičení Cyber Europe jsou simulacemi rozsáhlých kybernetických bezpečnostních incidentů, které přerůstají v přeshraniční kybernetické krize a obsahují scénáře inspirované skutečnými událostmi.

Každé dva roky je pořádá Agentura Evropské unie pro kybernetickou bezpečnost v úzké spolupráci se zúčastněnými členskými státy a organizacemi. V roce 2022 se v rámci cvičení testovala odolnost zdravotnického sektoru EU.

Cvičení Cyber Europe poskytuje jedinečnou příležitost otestovat koordinovanou evropskou reakci na přeshraniční kybernetické incidenty, a to aktivací mechanismu EU pro řešení kybernetických krizí.

Společná cvičení (CySOPe nebo Cyber Europe) organizovaná společně s Evropskou komisí, umožňují měřit schopnost rychle a reagovat na rozsáhlé přeshraniční kybernetické incidenty a probíhající krize.

Pomoc při provádění politiky

V nedávné době se objevila řada důležitých legislativních iniciativ EU v čele s revidovanou směrnicí o bezpečnosti sítí a informací (známou jako NIS2), která vstoupila v platnost 16. ledna 2023.

Legislativa v oblasti kybernetické bezpečnosti se v posledních letech značně rozšířila a vyzrála. Je to zjevně proto, že právní nástroje EU se staly společně dohodnutými nástroji pro budování důvěry kolem digitálních produktů a služeb v rámci jednotného digitálního trhu. Tento legislativní vývoj je proto motivován záměrem dále rozvíjet kybernetickou bezpečnost v celé EU.

Agentura ENISA za tímto účelem spolupracuje s členskými státy na identifikaci osvědčených postupů EU v souladu s ustanoveními směrnice NIS1 a sdílí je mezi svými zúčastněnými stranami. Agentura se věnuje podpoře členských států při provádění revidovaných pravidel podle směrnice NIS2, jakož i nové řady pravidel včetně zákona o digitální provozní odolnosti (DORA) a budoucího kodexu elektrické sítě pro kybernetickou bezpečnost, i pravidel, která budou zavedena se zákonem o kybernetické odolnosti (CRA).

Agentura ENISA se nyní podílí na podpoře členských států při provádění nových ustanovení směrnice a na vývoji mechanismů, které jsou k tomuto účelu potřebné, společně se zúčastněnými stranami.

Analýza investic do kybernetické bezpečnosti kritické infrastruktury

Agentura ENISA poskytuje přehled o tom, jak směrnice o bezpečnosti sítí a informací ovlivnila rozpočet provozovatelů na kybernetickou bezpečnost v uplynulém roce, přičemž se hlouběji zabývá odvětvími energetiky a zdravotnictví.

Zpráva ENISA NIS Investment 2022, která shromažďuje údaje od provozovatelů základních služeb (OES) a poskytovatelů digitálních služeb (DSP) uvedených ve směrnici Evropské unie o systémech bezpečnosti sítí a informací (směrnice NIS), zahrnuje analýzu, která se dotkla více než tisíce provozovatelů ve 27 členských státech EU.

Zjištění ukazují, že podíl rozpočtu na informační technologie (IT) věnovaný na bezpečnost informací (IS) se zdá být nižší ve srovnání s loňskými zjištěními, když klesl ze 7,7% na 6,7%.

Mezi hlavní zjištění patří:

  • Hlavními faktory, které ovlivňují rozpočty na bezpečnost informací, jsou směrnice o bezpečnosti sítí a informací, další regulační povinnosti a hrozby.
  • Velcí operátoři investují do zpravodajství o kybernetických hrozbách (CTI) 120 000 € oproti 5 500 € u malých a středních podniků, zatímco operátoři s plně interním nebo insourcovaným SOC vynakládají na CTI přibližně 350 000 €, což je o 72% více než výdaje operátorů s hybridním SOC.
  • Zdravotnictví a bankovnictví nesou v případě závažných kybernetických bezpečnostních incidentů největší náklady ze všech kritických odvětví, přičemž medián přímých nákladů na incident v těchto odvětvích činí 300 000 €.
  • 37% provozovatelů základních služeb (OES) a poskytovatelů digitálních služeb (DSP) neprovozuje SOC.
  • U 69% z nich je většina incidentů v oblasti informační bezpečnosti způsobena zranitelností softwarových nebo hardwarových produktů, přičemž vyšší počet takových incidentů deklaruje sektor zdravotnictví.

Zjištění pro Českou republiku:

Celkem bylo dotazováno 40 OES/DSP z České republiky a příslušné výsledky jsou porovnány s mediánovými hodnotami celého vzorku průzkumu, tj. 1082 OES/DSP z 27 členských států EU.

OES/DSP v České republice mají tendenci být větší než průměr v celé EU s mediánovými hodnotami:

  • IT rozpočet: 23 mil. € oproti 10 mil. €
  • IS rozpočet: 1,5 mld. € oproti 0,6 mil. €
  • IT zaměstnanci: 1,5 mil. 58 € oproti 40 €
  • Zaměstnanci IS: 58 zaměstnanců v porovnání s 5 zaměstnanci: 6

Celkové hodnoty rozpočtu na IS v % rozpočtu na IT v jednotlivých zemích jsou stejné jako mediánová hodnota EU, která činí 6,7%, přičemž v České republice je to 6,8%. Celkově se naměřená mediánová hodnota EU snížila z hodnoty 7,7% v loňské zprávě.

Z údajů průzkumu vyplývá, že typický OES/DSP v EU vynakládá na CTI 50 tis. €, přičemž průměrné výdaje činí 399 tis. €. Výdaje na CTI OES/DSP v České republice činily v průměru 342 000 €, resp. 100 000 € mediánu, obě hodnoty jsou nižší než čísla napříč EU, a to i přes větší srovnatelné velikosti a rozpočty dotazovaných OES/DSP v České republice.

Z údajů průzkumu vyplývá, že 30% OES/DSP v EU disponuje řešením kybernetického pojištění. Při analýze tohoto normalizovaného souboru dat s historicky dostupnými údaji je patrný pokles o 13% ve srovnání s OES/DSP v EU, které v loňském roce kybernetickým pojištěním disponovaly. V České republice nemá polovina OES a DSP sjednáno kybernetické pojištění.

Jdeme na věc

Tím však práce agentury ENISA nekončí. Jako agentura EU jsme připraveni poskytnout dodatečnou podporu Evropské komisi nebo členským státům, kdykoli budou potřebovat naši pomoc.

Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) je i nadále odhodlána poskytovat evropským členským státům a zúčastněným stranám potřebnou podporu, aby bylo dosaženo této vysoké společné úrovně kybernetické bezpečnosti v celé EU a aby byl náš jednotný digitální trh co nejodolnější a nejlépe prosperující.

Lepassaar1Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Vytisknout