Raport de evaluare a riscurilor privind reziliența cibernetică în sectoarele telecomunicațiilor și electricității din UE

Statele membre ale UE, cu sprijinul Comisiei Europene și al ENISA, Agenția UE pentru Securitate Cibernetică, au publicat primul raport privind securitatea cibernetică și reziliența sectoarelor de telecomunicații și electricitate din Europa.

Raportul evidențiază îngrijorările cu privire la o serie de riscuri, inclusiv riscurile pentru securitatea lanțului de aprovizionare, lipsa profesioniștilor cibernetici și riscurile prezentate de activitățile rău intenționate ale infractorilor cibernetici și ai amenințărilor sponsorizate de stat.

Evaluarea riscurilor a identificat riscurile tehnice și non-tehnice mai detaliat. Atât în ​​sectorul telecomunicațiilor, cât și în cel al energiei electrice, riscurile lanțului de aprovizionare rămân principala preocupare, în special în ceea ce privește lansarea 5G și infrastructurile de energie regenerabilă. Ransomware-ul, ștergerea datelor și exploatarea vulnerabilităților zero-day au fost, de asemenea, identificate ca preocupări permanente, dar presante în ambele sectoare, în special în ceea ce privește tehnologia operațională.

Pentru sectorul energiei electrice, cel mai critic risc identificat este reprezentat de persoanele din interior rău intenționate, stimulate de o dificultate în a verifica în mod adecvat noul personal și a atrage talentul local în domeniul securității cibernetice. Pentru sectorul telecomunicațiilor, principalele amenințări includ atacurile prin infrastructuri de roaming și atacurile care provin din rețele mari de bot.

În plus, sabotarea fizică a infrastructurii de cablu și bruiajul semnalelor satelitare au fost identificate ca riscuri specifice care sunt deosebit de dificil de atenuat.

Pentru a atenua aceste riscuri, raportul prezintă o serie de recomandări în 4 domenii de îmbunătățire, care pot fi rezumate după cum urmează: 

1. Reziliența și postura de securitate cibernetică pot fi îmbunătățite prin partajarea bunelor practici privind atenuarea ransomware-ului, monitorizarea vulnerabilităților, securitatea resurselor umane și gestionarea activelor. În plus, cooperarea cu rețeaua statelor membre tehnice, the Echipa de răspuns la incidente de securitate informatică (CSIRT-urile), organele de aplicare a legii și partenerii internaționali trebuie să fie intensificate. Statele membre ar trebui să efectueze autoevaluări suplimentare pentru sectoare în conformitate cu NIS2 Directiva și CER Directivă.
2. Conștientizarea situației cibernetice colective și schimbul de informații trebuie îmbunătățite și să includă contextul geopolitic, potențialele vătămări fizice și dezinformarea. 
3. Planificarea pentru situații de urgență, managementul crizelor și colaborarea operațională trebuie îmbunătățite prin scurtarea liniilor dintre sectoare și autoritățile de securitate cibernetică în proceduri.
4. Securitatea lanțului de aprovizionare ar trebui abordată în continuare prin evaluări ulterioare ale dependențelor de furnizorii din țări terțe cu risc ridicat și dezvoltarea unui cadru UE pentru securitatea lanțului de aprovizionare.

Având în vedere caracterul critic al infrastructurilor și rețelelor din domeniul de aplicare al prezentului raport și având în vedere peisajul amenințărilor care evoluează rapid și fără a aduce atingere competențelor statelor membre în ceea ce privește securitatea națională, statele membre, Comisia și ENISA sunt încurajate să pună în aplicare aceste măsuri de creștere a rezilienței cât mai curând posibil, pe baza lucrărilor deja începute cu privire la implementarea unora dintre recomandări.

Descărcați raportul de mai jos pentru mai multe informații.

Context

Consiliul, în Concluziile sale privind dezvoltarea poziției cibernetice a Uniunii Europene din 23 mai 2022, „a invitat[a] Comisia, Înaltul Reprezentant și Grupul de Cooperare NIS, în coordonare cu organismele și agențiile civile și militare relevante și cu rețelele stabilite, inclusiv cu EU CyCLONe, să efectueze o evaluare a riscurilor și să construiască scenarii de risc din perspectiva securității cibernetice într-o situație de amenințare sau posibil atac împotriva statelor membre sau a țărilor partenere și a le prezenta organismelor relevante ale Consiliului.”

În plus, în Concluziile sale din 23 mai 2023 privind politica UE privind apărarea cibernetică, Consiliul „a invitat[a] actorii menționați mai sus să se asigure că evaluările riscurilor, scenariile și recomandările ulterioare sunt luate în considerare la definirea și prioritizarea măsurilor și a sprijinului; la nivelul UE și, după caz, la nivel național”. În plus, Consiliul solicită ca „scenariile de risc să fie luate în considerare de toți actorii relevanți în procesele de evaluare a riscurilor, precum și în dezvoltarea exercițiilor cibernetice”.

Evaluarea riscului urmează unei recente raport privind securitatea cibernetică și reziliența infrastructurilor și rețelelor de comunicații ale UE, care a fost publicat în februarie 2024.

Puteți citi mai multe informații despre Politici de securitate cibernetică.

Descărcări

Evaluarea riscului de securitate cibernetică în UE și scenarii pentru sectoarele telecomunicațiilor și energiei electrice

Download  

Subiecte legate de

Securitate ciberneticăComunicații electronice și confidențialitateReguli de telecomunicații

Trimiteți acest articol: