Agencja Unii Europejskiej ds. Cyberbezpieczeństwa ENISA we współpracy z Grupą NIS i Parlamentem Europejskim opublikowała "Raport na temat stanu cyberbezpieczeństwa w Unii", badając rodzaj zagrożeń i jakość zabezpieczeń przyjętych na terenie UE.

Jak napisano w raporcie, mimo nowych przepisów, takich jak wprowadzenie Dyrektywy NIS2, ustawy o odporności cybernetycznej (CRA) i ustawy o solidarności cybernetycznej (CSOA), poziom zagrożenia cyberbezpieczeństwa w krajach członkowskich „został oceniony jako znaczny”.

Wśród głównych zagrożeń dla cyberbezpieczeństwa odnotowanych na terenie państw członkowskich od lipca 2023 r. do czerwca 2024 r. wskazano m.in. uniemożliwienie dostępu do usług lub zasobów komputera, zalewanie serwera dużą ilością żądań powodując spowolnienie i zablokowanie systemu i blokowanie systemu przy żądaniu okupu (41,1 proc. wszystkich incydentów), ataki przy pomocy złośliwego oprogramowania (25,79 proc.) i zainfekowanie danych (19,01 proc.). Wśród innych zagrożeń autorzy wskazali na zagrożenia socjotechniczne, ataki z wykorzystaniem złośliwego oprogramowania, ataki w trakcie aktualizacji oprogramowania czy złośliwe linki w internecie.

Spójne strategie cyberbezpieczeństwa

W opublikowanym raporcie autorzy wskazali, że kraje członkowskie „wykazują zbieżność w zakresie swojego podejścia do kwestii cyberbezpieczeństwa”. 

„Od 2017 r. wszystkie państwa członkowskie mają krajową strategię cyberbezpieczeństwa, w niektórych przypadkach także aktualizowaną w kolejnych latach” – napisali autorzy informując jednocześnie, że państwa członkowskie są na różnym etapie wdrażania swoich strategii cyberbezpieczeństwa.

W raporcie zwrócono też uwagę na konieczność ochrony sektora prywatnego. 

„Państwa członkowskie i ich organy krajowe powinny ustalić priorytety w zakresie różnych sektorów cyberbezpieczeństwa sieci informacji, decydując, którym sektorom poświęcić więcej uwagi” – zarekomendowali autorzy.

W raporcie zwrócono też uwagę na spadek zaufania mieszkańców UE do ochrony siebie przed cyberprzestępczością i niską  świadomość na temat cyberzagrożeń w sieci. Zdaniem autorów, koniecznym do podjęcia krokiem przez państwa członkowskie jest rozwój edukacji w zakresie cyberbezpieczeństwa w szkolnictwie wyższym i rozwój edukacji wtórnej wśród społeczeństw.

Zwiększenie wsparcia technicznego i finansowego 

Jak wynika z przeprowadzonych analiz, dwie trzecie państw członkowskich UE określiła podstawowe poziomy cyberbezpieczeństwa dla istotnych podmiotów, podczas gdy reszta jest na etapie ich identyfikacji i dokumentowania.

„Wraz z rozwojem ram polityki cyberbezpieczeństwa UE, wdrażanie na szczeblu krajowym staje się priorytetem, a krajowe organy kompetentne pracują nad osiągnięciem tego celu. Jednak proces wdrażania polityki jest wymagający zarówno pod względem czasu, jak i zasobów” – napisano w raporcie.

Autorzy przekazali, że w krajach członkowskich można zaobserwować znaczne różnice w zakresie zarządzania ryzykiem w cyberprzestrzeni, co jest zależne od wielkości przedsiębiorstw i dojrzałości sektora, w którym środki cyberbezpieczeństwa są wdrażane.

„Zaangażowanie najwyższego kierownictwa w cyberbezpieczeństwo ma znaczący wpływ na to, czy wdrożone są  środki bezpieczeństwa” – napisali autorzy.

Ciągły rozwój cyberbezpieczeństwa

Według danych z raportu od 2016 r., czyli od czasu wprowadzenia pierwszej dyrektywy w zakresie cyberbezpieczeństwa, państwa  członkowskie UE poczyniły „znaczące zmiany” w zakresie cyberbezpieczeństwa. Według danych 37 proc. państw członkowskich określiło krajową politykę dot. zwalczania zagrożeń w cyberprzestrzeni, a 55 proc. państw jest w trakcie wdrażania odpowiednich rozwiązań. Podkreślono również, że 74 proc. krajów w UE określiło środki bezpieczeństwa w zakresie aktualizacji oprogramowania systemów.

Mimo to, jak wskazali autorzy, wciąż wiele obszarów wymaga udoskonalenia. Jako główne problemy w ochronie przed cyberzagrożeniami wskazali oni brak kompleksowego rozwiązania w zakresie cyberbezpieczeństwa ze strony wszystkich państw członkowskich, różny sposób monitorowania zagrożeń i brak dojrzałości w sposobie gromadzenia i wymiany informacji. Jednocześnie podkreślono, że zgłoszone incydenty związane z bezpieczeństwem cybernetycznym „stanowią prawdopodobnie jedynie ułamek faktycznych incydentów”. 

Innym problemem wskazanym w raporcie jest brak odpowiedniej ilości specjalistów w zakresie ochrony cyberprzestrzeni. Zdaniem autorów w obliczu rosnących wyzwań konieczne jest „wzmocnienie unijnej kadry cyberbezpieczeństwa poprzez wdrożenie Akademii Umiejętności w Zakresie Cyberbezpieczeństwa, w szczególności poprzez ustanowienie wspólnego unijnego podejścia do szkoleń w zakresie cyberbezpieczeństwa, identyfikację przyszłych potrzeb w zakresie umiejętności, opracowanie skoordynowanego unijnego podejścia do zaangażowania interesariuszy w celu zniwelowania luki kompetencyjnej oraz utworzenie europejskiego systemu atestacji umiejętności w zakresie cyberbezpieczeństwa”.

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa ENISA jest agencją Unii Europejskiej, której celem jest zapobieganie cyberzagrożeniom i osiągnięcie wysokiego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. 

mc/