Odată cu digitalizarea rapidă a vieții de zi cu zi, accelerată de pandemia de Covid-19, protecția împotriva amenințărilor cibernetice a devenit esențială pentru ca societatea să funcționeze corect.
Atacurile cibernetice se pot dovedi foarte costisitoare. Potrivit estimărilor Comisiei Europene, costul anual al infracțiunilor cibernetice în economia globală ar fi ajuns la 5,5 trilioane de euro la sfârșitul lui 2020.
În noiembrie 2022, Parlamentul European a actualizat legislația UE pentru a consolida investițiile în securitatea cibernetică a serviciilor esențiale și infrastructurilor critice, precum și pentru întărirea cadrului legislativ la nivelul UE.
Topul sectoarelor afectate de amenințări cibernetice
Amenințările la adresa securității cibernetice în Uniunea Europeană afectează sectoare vitale pentru societate. Primele cinci sectoare cele mai afectate între aprilie 2020 și iulie 2021, conform Agenției europene pentru securitate cibernetică (ENISA), sunt administrația publică și guvernele (198 de incidente raportate), furnizorii de servicii digitale (152), publicul larg (151), domeniul medical (143) și domeniul financiar/bancar (97).
Principalele amenințări de securitate cibernetică
În timpul pandemiei, companiile au fost nevoite să se adapteze rapid noilor condiții de lucru – deschizând astfel noi posibilități pentru criminalii cibernetici. Conform Agenției UE pentru securitate cibernetică, există nouă tipuri de amenințări principale:
- Ransomware – atacatorii criptează datele unei organizații și cer o răscumpărare pentru a reda accesul
- Cryptojacking – criminalii folosesc în secret puterea de calcul a dispozitivului victimei pentru a genera criptomonede
- Amenințări la adresa datelor – accesări ilicite de date/ scurgeri de date
- Malware – un software care declanșează un proces ce afectează un sistem
- Dezinformare – distribuirea de informații înșelătoare
- Amenințări fără potențial dăunător – erori umane și configurări greșite ale unui sistem
- Amenințări la adresa disponibilității și integrității – atacuri care împiedică utilizatorii unui sistem să își acceseze informațiile
- Amenințări legate de email – urmăresc să manipuleze persoane pentru a cădea victime ale unui atac prin email
- Amenințări pe lanțul de aprovizionare – atacarea unui furnizor de servicii, pentru a obține acces la datele clienților acestuia. Conform raportului agenției, 76% dintre cetățenii europeni cred că se confruntă cu un risc crescut de a cădea victime criminalității online.
Ce este ransomware
Ransomware-ul este considerat amenințarea cea mai gravă în acest moment. Este vorba de un software rău intenționat, conceput pentru a împiedica un utilizator sau o organizație să acceseze fișiere de pe calculatorul propriu. Atacatorii cer o plată ca răscumpărare pentru deblocarea accesului.
Informații furnizate de Agenția UE pentru securitate cibernetică arată că cea mai mare cerere de răscumpărare a crescut de la 13 milioane EUR în 2019 la 62 milioane EUR în 2021, iar răscumpărarea medie plătită s-a dublat: de la 71.000 EUR în 2019 la 150.000 EUR în 2020. Se estimează că în 2021 pagubele produse de ransomware la nivel global au atins 18 miliarde EUR – de 57 de ori mai mult decât în 2015.
Timpul mediu al întreruperilor provocate organizațiilor atacate a fost de 23 de zile în al doilea trimestru din 2021. În 2021 un atac ransomware împotriva unei companii a avut loc la fiecare 11 secunde.
Obligații de securitate cibernetică mai stricte – directiva NIS2
Directiva privind securitatea rețelelor și sistemelor informatice introduce noi reguli pentru a atinge un nivel ridicat comun de securitate cibernetică la nivelul UE – atât pentru companii cât și pentru state. Totodată, aceasta întărește cerințele de securitate cibernetică pentru entități mari și mijlocii care operează și furnizează servicii în sectoare-cheie.
Această versiune revizuită a directivei NIS din 2016 aduce mai multă claritate și o implementare mai bună, ținând cont de evoluțiile rapide din domeniu. Ea acoperă mai multe sectoare și activități decât versiunea anterioară, simplifică obligațiile de raportare, și ia în vizor securitatea lanțurilor de aprovizionare. După aprobarea în Parlament pe 10 noiembrie, aceasta va trebui să fie aprobată de țările UE reprezentate în Consiliu, după care statele membre vor avea la dispoziție 21 de luni pentru a o implementa.
Mai multe sectoare sunt incluse
Noile norme extind domeniul de aplicare al sectoarelor și activităților esențiale pentru economie și societate, incluzând energia, transportul, serviciile bancare, sănătatea, infrastructura digitală, administrația publică și spațiul cosmic. Însă nu acoperă securitatea națională și publică, aplicarea legii sau sistemul judiciar. Legea se aplică administrațiilor publice la nivel central și regional, dar nu și parlamentelor și băncilor centrale.
Legea impune mai multor entități și sectoare să ia măsuri de gestionare a riscului de securitate cibernetică, inclusiv furnizorilor de servicii publice de comunicații electronice, operatorilor de rețele sociale, producătorilor de produse esențiale (inclusiv dispozitive medicale) și serviciilor poștale și de curierat.
Obligații mai stricte pentru state
Legea stabilește obligații mai stricte de securitate cibernetică pentru țările UE în domeniul supravegherii. Se îmbunătățește îndeplinirea acestor obligații, inclusiv prin armonizarea sancțiunilor între statele membre. De asemenea, ea vizează ameliorarea cooperării dintre țările UE, inclusiv în ceea ce privește incidentele la scară largă, sub umbrela Agenției UE pentru Securitate Cibernetică (Enisa).
Protejarea sistemului financiar al UE – Dora
Deoarece sectorul financiar este din ce în ce mai dependent de software și procese digitale, acesta are nevoie de protecție sporită. Actul privind reziliența operațională digitală (Dora) va garanta că sectorul financiar al UE este mai rezistent la întreruperi operaționale grave și la atacuri cibernetice. Parlamentul a dat pe 10 noiembrie 2022 acordul final actului legislativ convenit anterior cu Consiliul.
Acesta introduce și armonizează cerințe de reziliență operațională digitală pentru sectorul serviciilor financiare din UE. Mai precis, normele impun companiilor să se asigure că pot rezista, pot răspunde și se pot redresa după toate tipurile de întreruperi și amenințări legate de sistemele de tehnologia informației și comunicațiilor (TIC).
Noile reguli se aplică tuturor companiilor care furnizează servicii financiare – cum ar fi băncile, furnizorii de plăți, furnizorii de monedă electronică, firmele de investiții, furnizorii de servicii privind cripto-activele, precum și furnizorii terți de servicii TIC esențiale. Autoritățile naționale vor supraveghea punerea în aplicare a acestor norme.