EU-organen niet paraat genoeg voor cyberdreiging

Het aantal cyberaanvallen tegen instellingen van de Europese Unie neemt snel toe, maar de maatregelen die worden genomen, zijn niet voldoende. Die waarschuwing geeft de Europese Rekenkamer. EU-instellingen zijn een aantrekkelijk doelwit voor digitale aanvallen. Bovendien zijn ze nauw met elkaar verweven, dus een tekortkoming bij de ene kan al snel een probleem zijn voor de andere.

De instellingen pakken cyberbeveiliging niet consistent aan, ze beschikken niet altijd over de essentiële controles en goede praktijken en de cyberbeveiligingsopleidingen zijn niet systematisch georganiseerd. Sommige EU-organen besteden bovendien aanzienlijk minder dan andere aan beveiliging – de toewijzing van middelen ‘varieert sterk’.

Russische inlichtingendienst en een Chinese spionagegroep

Het aantal significante cyberincidenten bij EU-organen is ‘meer dan vertienvoudigd’, schrijft de Europese Rekenkamer verder, ‘terwijl telewerken heeft geleid tot een forse toename van het aantal potentiële toegangspunten voor aanvallers’. Aanvallers maken gebruik van nieuwe methoden en technologieën en het onderzoeken van incidenten kan maanden duren.

Als voorbeeld geeft de rekenkamer de hack van het in Amsterdam gevestigde Europees Geneesmiddelenbureau (EMA) in 2020. De Volkskrant schreef in maart 2021 dat een Russische inlichtingendienst en een Chinese spionagegroep waren binnengedrongen.

Niet alle nodige ondersteuning

‘De EU-instellingen, -organen en -agentschappen zijn een aantrekkelijk doelwit voor potentiële aanvallers, in het bijzonder groepen die heimelijke, uiterst geavanceerde cyberaanvallen kunnen uitvoeren voor cyberspionage- en andere malafide doeleinden’, vertelt Bettina Jakobsen, die het onderzoek leidde.

De twee voornaamste instanties die EU-organen ondersteunen bij cyberbeveiliging (het agentschap ENISA en het responsteam CERT-EU) hebben beperkte middelen, dus zij hebben ‘niet alle nodige ondersteuning kunnen verlenen’. De informatie-uitwisseling zou ook tekortschieten.