หน่วยงานของสหภาพยุโรปต้องเพิ่มความพร้อมในการรักษาความปลอดภัยทางไซเบอร์

จำนวนการโจมตีทางไซเบอร์ในหน่วยงานของสหภาพยุโรปเพิ่มขึ้นอย่างรวดเร็ว ระดับ
ของการเตรียมความพร้อมด้านความปลอดภัยทางไซเบอร์ภายในหน่วยงานของสหภาพยุโรปนั้นแตกต่างกันไปและโดยรวมแล้วไม่ใช่
สมกับภัยคุกคามที่เพิ่มขึ้น เนื่องจากหน่วยงานของสหภาพยุโรปมีความเข้มแข็ง
เมื่อเชื่อมต่อถึงกัน จุดอ่อนในจุดหนึ่งอาจทำให้ผู้อื่นถูกคุกคามด้านความปลอดภัยได้
นี่คือบทสรุปของรายงานพิเศษของศาลยุโรปของ
ผู้ตรวจสอบที่ตรวจสอบว่าหน่วยงานที่กำกับดูแลของสหภาพยุโรปมีความพร้อมเพียงใด
ต่อต้านภัยคุกคามทางไซเบอร์ ผู้ตรวจสอบแนะนำให้ผูกมัดการรักษาความปลอดภัยทางไซเบอร์
ควรมีการแนะนำกฎเกณฑ์และจำนวนทรัพยากรที่มีให้
ควรเพิ่มทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ (CERT-EU) ดิ
คณะกรรมาธิการยุโรปควรส่งเสริมความร่วมมือเพิ่มเติมระหว่างสหภาพยุโรป
หน่วยงานผู้ตรวจสอบกล่าวว่าในขณะที่ CERT-EU และ European Union Agency for
การรักษาความปลอดภัยทางไซเบอร์ควรให้ความสำคัญกับหน่วยงานของสหภาพยุโรปที่มีน้อยกว่า
มีประสบการณ์ในการจัดการความปลอดภัยทางไซเบอร์*

เหตุการณ์ความปลอดภัยทางไซเบอร์ที่สำคัญในหน่วยงานของสหภาพยุโรปเพิ่มขึ้นมากกว่า
สิบเท่าระหว่างปี 2018 ถึง 2021; การทำงานทางไกลเพิ่มขึ้นอย่างมาก
จำนวนจุดเชื่อมต่อที่เป็นไปได้สำหรับผู้โจมตี เหตุการณ์สำคัญ
มักเกิดจากการโจมตีทางไซเบอร์ที่ซับซ้อนซึ่งมักเกี่ยวข้องกับการใช้งาน
ของวิธีการและเทคโนโลยีใหม่ๆ และอาจใช้เวลาหลายสัปดาห์หากไม่ใช่เป็นเดือน
ตรวจสอบและกู้คืนจาก ตัวอย่างหนึ่งคือการโจมตีทางไซเบอร์บน
European Medicines Agency ที่มีการรั่วไหลของข้อมูลและการจัดการ
เพื่อบ่อนทำลายความเชื่อมั่นในวัคซีน

“*สถาบัน หน่วยงาน และหน่วยงานของสหภาพยุโรปเป็นเป้าหมายที่น่าสนใจสำหรับศักยภาพ
ผู้โจมตี โดยเฉพาะกลุ่มที่มีความสามารถในการดำเนินการที่ซับซ้อนสูง
การโจมตีแบบลอบเร้นเพื่อการจารกรรมทางไซเบอร์และจุดประสงค์ที่ชั่วร้ายอื่นๆ*” กล่าว
Bettina Jakobsen สมาชิก ECA ซึ่งเป็นผู้นำการตรวจสอบ “*การโจมตีดังกล่าวสามารถมีได้
นัยสำคัญทางการเมือง ทำลายชื่อเสียงโดยรวมของสหภาพยุโรป
และบ่อนทำลายความเชื่อมั่นในสถาบันของตน สหภาพยุโรปต้องเพิ่มความพยายามในการ
ปกป้ององค์กรของตนเอง*”

การค้นพบหลักของผู้ตรวจสอบบัญชีคือสถาบันสหภาพยุโรป หน่วยงาน และ
หน่วยงานไม่ได้รับการปกป้องอย่างดีจากภัยคุกคามทางไซเบอร์ พวกเขาไม่ได้
เข้าถึงการรักษาความปลอดภัยทางไซเบอร์อย่างสม่ำเสมอ การควบคุมที่จำเป็นและคีย์
แนวปฏิบัติที่ดีในการรักษาความปลอดภัยทางไซเบอร์ไม่ได้มีอยู่เสมอ และการรักษาความปลอดภัยทางไซเบอร์
ไม่มีการจัดอบรมอย่างเป็นระบบ การจัดสรรทรัพยากรให้กับ
การรักษาความปลอดภัยทางไซเบอร์นั้นแตกต่างกันอย่างมาก และหน่วยงานของสหภาพยุโรปจำนวนหนึ่งกำลังใช้จ่าย
น้อยกว่าเพื่อนที่เทียบเคียงได้มาก แม้ว่าความแตกต่างใน
ระดับความปลอดภัยทางไซเบอร์ในทางทฤษฎีสามารถพิสูจน์ได้ด้วยความเสี่ยงที่แตกต่างกัน
โปรไฟล์ของแต่ละองค์กรและระดับความอ่อนไหวที่แตกต่างกันของ
ข้อมูลที่พวกเขาจัดการ ผู้ตรวจสอบเน้นว่าจุดอ่อนด้านความปลอดภัยในโลกไซเบอร์ในa
หน่วยงานเดียวของสหภาพยุโรปสามารถเปิดเผยองค์กรอื่น ๆ อีกหลายองค์กรต่อความปลอดภัยทางไซเบอร์
ภัยคุกคาม (หน่วยงานของสหภาพยุโรปทั้งหมดเชื่อมต่อกันและมักจะเป็นสาธารณะและ
องค์กรเอกชนในประเทศสมาชิก)

ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ (CERT-EU) และสหภาพยุโรป
หน่วยงานเพื่อความปลอดภัยทางไซเบอร์ (ENISA) เป็นหน่วยงานหลักสองแห่งของสหภาพยุโรปที่ได้รับมอบหมาย
ให้การสนับสนุนด้านความปลอดภัยทางไซเบอร์ อย่างไรก็ตามพวกเขาไม่สามารถ
ให้การสนับสนุนทั้งหมดแก่หน่วยงานของสหภาพยุโรปเนื่องจากทรัพยากร
ข้อจำกัดหรือลำดับความสำคัญให้กับพื้นที่อื่นๆ การแบ่งปันข้อมูลคือ
ยังเป็นข้อบกพร่อง ผู้ตรวจสอบกล่าวว่า: ตัวอย่างเช่น ไม่ใช่ทุกหน่วยงานของสหภาพยุโรปมี
ออกรายงานช่องโหว่และความปลอดภัยทางไซเบอร์ที่สำคัญอย่างทันท่วงที
เหตุการณ์ที่กระทบพวกเขาและอาจส่งผลกระทบต่อผู้อื่น

ปัจจุบันยังไม่มีกรอบทางกฎหมายสำหรับการรักษาความปลอดภัยข้อมูลและ
ความปลอดภัยทางไซเบอร์ในสถาบัน หน่วยงาน และหน่วยงานของสหภาพยุโรป พวกเขาไม่ได้อยู่ภายใต้
ตามกฎหมายของสหภาพยุโรปว่าด้วยความปลอดภัยทางไซเบอร์ คำสั่ง NIS ประจำปี 2016 หรือ
การแก้ไขที่เสนอคือคำสั่ง NIS2 ก็ไม่มี
ข้อมูลที่ครอบคลุมเกี่ยวกับจำนวนเงินที่ใช้โดยหน่วยงานของสหภาพยุโรปใน
ความปลอดภัยทางไซเบอร์ กฎทั่วไปเกี่ยวกับความปลอดภัยของข้อมูลและ on
ความปลอดภัยทางไซเบอร์สำหรับหน่วยงานของสหภาพยุโรปทั้งหมดรวมอยู่ในการสื่อสารเกี่ยวกับ EU
Security Union Strategy สำหรับปี 2020-2025 เผยแพร่โดย
คณะกรรมาธิการในเดือนกรกฎาคม 2020 ในยุทธศาสตร์ความปลอดภัยทางไซเบอร์ของสหภาพยุโรปสำหรับดิจิทัล
ทศวรรษที่เผยแพร่ในเดือนธันวาคม 2020 คณะกรรมาธิการได้ดำเนินการเสนอ a
กฎระเบียบเกี่ยวกับกฎความปลอดภัยทางไซเบอร์ทั่วไปสำหรับหน่วยงานในสหภาพยุโรปทั้งหมด นอกจากนี้ยัง
เสนอให้จัดตั้งหลักเกณฑ์ทางกฎหมายฉบับใหม่สำหรับ CERT-EU เพื่อเสริมกำลัง
อาณัติและเงินทุนของมัน

e>

โฆษณา

แบ่งปันบทความนี้: