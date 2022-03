De Europese Rekenkamer windt er geen doekjes om: “Het paraatheidsniveau staat over het algemeen niet in verhouding tot de dreigingen.” En dat terwijl het aantal dreigingen in sneltempo toeneemt. Tussen 2018 en 2021 is het aantal ‘significante cyberincidenten’ bij EU-organen meer dan vertienvoudigd, stelt de Rekenkamer in een nieuw rapport over de mate van cyberveiligheid van EU-instellingen, -organen en -agentschappen zoals de Europese Centrale Bank, het Europees Parlement, de Europese Autoriteit voor voedselveiligheid of het Hof van Justitie van de Europese Unie.

Het rapport onderzocht in hoeverre de bestuursorganen van de EU op cyberdreigingen zijn voorbereid. Dat verschilt per orgaan, maar het korte antwoord is: slecht. Ze volgen “geen consistente aanpak van cyberbeveiliging” en beschikken niet altijd over “essentiële controles” op het gebied van cyberbeveiliging. Bovendien organiseren ze hun ICT-opleidingen niet systematisch. De Rekenkamer constateert dat sommige EU-organen “aanzienlijk minder” aan cybersecurity besteden dan andere. Welke dat zijn, meldt de Rekenkamer niet.

Maar ook de instituten die hun zaakjes wél aardig op orde hebben, lopen gevaar. “Aangezien EU-organen onderling nauw verweven zijn, kan een tekortkoming bij een van de organen andere aan beveiligingsdreigingen blootstellen”, waarschuwt het rapport.

Overbelast

Als klap op de vuurpijl fungeert ook de Europese beveiligingsautoriteit CERT-EU niet naar behoren. De capaciteit van deze Europese cyberbrandweer is ‘overbelast’ als gevolg van de sterk toegenomen dreiging. De problemen worden ook nog eens versterkt doordat de Europese instanties lang niet altijd essentiële informatie over beveiligingsincidenten met elkaar uitwisselen. Dit alles kan ertoe leiden dat ‘significante incidenten onopgemerkt blijven’.

“De EU-instellingen, -organen en -agentschappen zijn een aantrekkelijk doelwit voor potentiële aanvallers, in het bijzonder groepen die heimelijke, uiterst geavanceerde cyberaanvallen kunnen uitvoeren voor cyberspionage- en andere malafide doeleinden”, stelt rapporteur Bettina Jakobsen. “Dergelijke aanvallen kunnen significante politieke implicaties hebben, de algemene reputatie van de EU schaden en het vertrouwen in haar instellingen ondermijnen. Om haar eigen organisaties te beschermen, moet de EU haar inspanningen opvoeren.”

Rusland en China

Dat dergelijke aanvallen verre van hypothetisch zijn, bewijst een groot incident van vorig jaar. Een Russische inlichtingendienst en een Chinese spionagegroep hackten toen het netwerk van het Europese geneesmiddelenbureau EMA. Hierbij werden gevoelige gegevens gelekt en gemanipuleerd om het vertrouwen in vaccins te ondermijnen.

Dave Maasland van cybersecuritybedrijf ESET, is geschrokken van het rapport, dat hij “ongelofelijk stevig” noemt. “Het is ongelofelijk maar waar, maar cyberveiligheid wordt nog altijd niet serieus genomen.” Dat de schade tot nu toe meevalt, heeft volgens hem vooral te maken met het feit dat de EU-landen tot nu toe nog niet zo onder vuur hebben gelegen. “Maar we zijn niet voorbereid. Het voelt alsof we in het hutje van stro van de drie biggetjes zitten terwijl de kogels op ons afkomen.”

Het rapport doet een aantal aanbevelingen om de opgelopen achterstand in te lopen. Zo moet het computercrisisresponsteam CERT-EU meer middelen krijgen. Verder vindt de Rekenkamer dat de Europese Commissie de samenwerking tussen de verschillende EU-organen moet bevorderen en dat CERT-EU en het Agentschap van de Europese Unie voor cyberbeveiliging zich meer moeten richten op de EU-organen die hun cyberbeveiliging slecht op orde hebben. Die slechtst beveiligde organisaties zullen hier dit jaar al van moeten profiteren. “Dat geeft de urgentie aan,” stelt Maasland, “maar tegelijk weet iedereen nu hoe slecht het met onze veiligheid is gesteld. Het worden spannende tijden.”