Αν και δεν έχει υπάρξει ριζική αλλαγή στις απειλές στον κυβερνοχώρο από την έναρξη του πολέμου στην Ουκρανία, οι επιθέσεις έχουν γίνει πιο έντονες και εξελιγμένες, δήλωσε τη Δευτέρα (26 Σεπτεμβρίου) ο Juhan Lepassaar, εκτελεστικός διευθυντής του οργανισμού της ΕΕ για την ασφάλεια στον κυβερνοχώρο, ENISA.
Μόνο μία σημαντική κυβερνοεπίθεση με δευτερογενή αποτελέσματα έχει καταγραφεί από τον Φεβρουάριο του 2022: η επίθεση της Viasat, η οποία είχε ως δευτερογενές αποτέλεσμα να επηρεάσει τη λειτουργία χιλιάδων ανεμόμυλων στη Γερμανία.
Ωστόσο, το κόστος των επιθέσεων ransomware αυξάνεται, ενώ ιδιαίτερη ανησυχία προκαλούν οι ελλείψεις δεξιοτήτων και η προστασία κρίσιμων τομέων.
To ransomware είναι ένα είδος κακόβουλου λογισμικού που απειλεί να δημοσιοποιήσει τα προσωπικά δεδομένα του θύματος ή να διακόψει την πρόσβασή του θύματος σε αυτά, μέχρι να δοθούν λύτρα από το θύμα.
«Αυτό δεν πρέπει να σημαίνει ότι μπορούμε να χαμηλώσουμε την επιφυλακή μας. Το συνολικό τοπίο των απειλών εξακολουθεί να αποτελεί πρόκληση», δήλωσε ο Lepassaar του ENISA κατά τη διάρκεια κοινοβουλευτικής ακρόασης στην Επιτροπή Βιομηχανίας, Έρευνας και Ενέργειας.
Οι επιθέσεις ransomware αποτελούν την κύρια απειλή, ακολουθούμενες από την κοινωνική μηχανική και το κακόβουλο λογισμικό. «Με τους κρατικά υποστηριζόμενους φορείς να εστιάζουν περισσότερο σε επιθέσεις με αντίκτυπο, στοχεύοντας σε αλυσίδες εφοδιασμού, το κόστος του ransomware μπορεί να ξεπεράσει κατά πολύ τα 250 δισεκατομμύρια ευρώ μέχρι το 2031», πρόσθεσε ο επικεφαλής του οργανισμού.
Ένα σημαντικό ζήτημα, σύμφωνα με τον Lepassaar, είναι ότι, σε πολλές περιπτώσεις, οι πληγέντες οργανισμοί δεν αναφέρουν τις επιθέσεις στις αρμόδιες αρχές. Το 2021, τα κράτη μέλη ανέφεραν μηδενικές περιπτώσεις διασυνοριακής σημασίας, αν και η πλειονότητα των περιπτώσεων αφορούσε πολλές χώρες.
«Ο λόγος για τον οποίο δεν αναφέρουν είναι ότι δεν γνωρίζουν. Ο λόγος για τον οποίο δεν γνωρίζουν είναι ότι δεν μοιράζονται. Επομένως, πρόκειται για έναν φαύλο κύκλο που πρέπει με κάποιον τρόπο να σπάσουμε σε επίπεδο Ένωσης», δήλωσε ο Lepassaar.
Για να ελαχιστοποιηθούν οι κίνδυνοι από κυβερνοεπιθέσεις, ο επικεφαλής του οργανισμού πρότεινε να επικεντρωθεί στις επενδύσεις για την καταπολέμηση της έλλειψης εξειδικευμένων εργαζομένων και να αυξηθούν οι επενδύσεις σε κρίσιμους τομείς, αναφέροντας ιδιαίτερα την υγειονομική περίθαλψη.
Στα τέλη Οκτωβρίου, τον ευρωπαϊκό μήνα κυβερνοασφάλειας, ο ENISA θα δημοσιεύσει την ετήσια έκθεσή του για το τοπίο απειλών της ΕΕ για το 2022.
Σύστημα πιστοποίησης της κυβερνοασφάλειας
Ο επικεφαλής του ENISA επεσήμανε επίσης ότι η ΕΕ ευαισθητοποιείται περισσότερο όσον αφορά τις απειλές και ότι επί του παρόντος υπάρχουν πολλαπλοί νομοθετικοί φάκελοι και σχέδια που αποσκοπούν στη βελτίωση της ασφάλειας στον κυβερνοχώρο.
Πιο πρόσφατα, στις 15 Σεπτεμβρίου, η Επιτροπή παρουσίασε το σχέδιο της για την πράξη περί ανθεκτικότητας στον κυβερνοχώρο για την αντιμετώπιση των τρωτών σημείων στις συνδεδεμένες συσκευές μέσω μιας προσέγγισης της ασφάλειας από τον σχεδιασμό.
Περαιτέρω, έχει προχωρήσει το σύστημα πιστοποίησης της κυβερνοασφάλειας για τις υπηρεσίες νέφους (EUCS), όπου ο ENISA παρουσίασε ένα σχέδιο αυτό το καλοκαίρι, το οποίο προκάλεσε διαμάχη σχετικά με τις απαιτήσεις κυριαρχίας του όσον αφορά τον εντοπισμό ευρωπαϊκών δεδομένων και την ασυλία του αλλοδαπού δικαίου.
Ο φιλελεύθερος ευρωβουλευτής Bart Groothuis, εισηγητής της οδηγίας για τα δίκτυα και την ασφάλεια πληροφοριών 2, επανέλαβε την έκκληση για πολιτική συζήτηση κατά τη διάρκεια της ακρόασης της Δευτέρας. «Χρειαζόμαστε μια πολιτική συζήτηση, διότι είναι ενάντια στην προσέγγιση με βάση τον κίνδυνο που προτείναμε στη NIS 2».
Ενώ η εντολή του ENISA είναι αμιγώς τεχνική, πολλά κράτη μέλη, όπως η Εσθονία, η Ολλανδία, η Ελλάδα – και τώρα και η Γερμανία – ζήτησαν πολιτικές συζητήσεις και επέκριναν ότι οι απαιτήσεις του συστήματος θα περιόριζαν τον ανταγωνισμό, ακόμη και αν εταιρείες εκτός ΕΕ μπορούσαν να παρέχουν τα ίδια ή ακόμη και υψηλότερα επίπεδα ασφάλειας στον κυβερνοχώρο.
Ένας διπλωμάτης της ΕΕ δήλωσε στη EURACTIV ότι αυξάνεται η πιθανότητα να πραγματοποιηθούν τέτοιες πολιτικές συζητήσεις σε επίπεδο Συμβουλίου.
Εν τω μεταξύ, ο ENISA πρόκειται να παρουσιάσει ένα νέο σχέδιο του συστήματος, επί του οποίου η Ευρωπαϊκή Ομάδα Πιστοποίησης Κυβερνοασφάλειας (ECCG), η οποία αποτελείται από εκπροσώπους των εθνικών αρχών πιστοποίησης της κυβερνοασφάλειας, θα πρέπει να γνωμοδοτήσει. Εδώ, τα κράτη μέλη θα έχουν την ευκαιρία να εκφράσουν τις απόψεις τους σχετικά με αυτές τις απαιτήσεις.
Προηγουμένως, η διαδικασία κατάρτισης του συστήματος χαρακτηρίστηκε από πολλούς φορείς ως αδιαφανής, «με τους ενδιαφερόμενους του κλάδου και τα άλλα κράτη μέλη να παραμένουν στο σκοτάδι και τώρα να τους ζητείται να αποδεχθούν μια νέα έκδοση του συστήματος ως τετελεσμένο γεγονός», όπως δήλωσε εκπρόσωπος της DIGITALEUROPE στη EURACTIV.
Μετά τη γνωμοδότηση του ECCG, ο ENISA θα παραδώσει το σχέδιο στην Επιτροπή, η οποία στη συνέχεια θα συντάξει την εκτελεστική πράξη. Μένει να δούμε αν ο ENISA θα ενσωματώσει τη γνώμη της ECCG που αναμένεται για τα τέλη Νοεμβρίου.