Szczegóły naruszenia
Pracownicy Parlamentu Europejskiego dowiedzieli się, że ich dane osobowe zostały skradzione. Wśród skradzionych informacji znajdują się dowody osobiste, paszporty, wyciągi z rejestrów karnych oraz dokumenty dotyczące doświadczenia zawodowego, jak podaje Euractiv na podstawie wewnętrznego e-maila.
Wiadomość e-mail, wysłana do pracowników PE 22 maja, poinformowała o naruszeniu bezpieczeństwa danych w systemie rekrutacyjnym PEOPLE, który jest wykorzystywany do zatrudniania pracowników niestałych. Incydent miał miejsce na początku tego roku i został wykryty 25 kwietnia. Nadal nie jest jasne, czy było to wynikiem włamania, czy innej luki w zabezpieczeniach.
Rzecznik Parlamentu Europejskiego potwierdził naruszenie w rozmowie z Euractiv, dodając, że narzędzie HR zostało dezaktywowane. Z treści e-maili wynika, że naruszenie dotyczy niemal wszystkich dokumentów przechowywanych w systemie, w tym stanu cywilnego, miejsca zamieszkania, wykształcenia, zobowiązań wojskowych, deklaracji honorowych, dokumentów uprawniających oraz umów.
PE nie podał informacji na temat liczby osób dotkniętych naruszeniem ochrony danych.
Mimo reakcji pozostały obawy dotyczące możliwego wpływu tego incydentu na ogólne bezpieczeństwo danych w kontekście zbliżających się wyborów do PE. Zwłaszcza, że incydent ten dołączył do listy wcześniejszych wyzwań związanych z cyberbezpieczeństwem. W 2020 roku dane osobowe 1 200 urzędników UE zostały ujawnione w internecie, a w 2022 roku strona internetowa PE była celem ataku hakerów podejrzewanych o rosyjskie pochodzenie po potępieniu przez PE wojny w Ukrainie.
Nowe regulacje w cyberbezpieczeństwie
Aby usprawnić mechanizm reagowania na incydenty, do października państwa członkowskie UE mają obowiązek zaimplementować dyrektywę w sprawie bezpieczeństwa sieci i informacji 2 (NIS2) do swoich krajowych przepisów.
Nowe przepisy, zaproponowane przez Komisję Europejską w 2020 roku, zastępują starszą dyrektywę z 2016 roku. Administracja publiczna oraz sektory krytyczne, takie jak przedsiębiorstwa energetyczne, dostawcy usług chmurowych i przedsiębiorstwa gospodarki wodnej, będą musiały przestrzegać nowych standardów bezpieczeństwa.
Firmy objęte tymi przepisami będą zobowiązane do zgłaszania incydentów w ciągu 24 godzin od momentu ich wykrycia.
PE bez oficera ds. cyberbezpieczeństwa przed wyborami
Pytanie, na ile niewdrożone jeszcze przepisy, pozwolą na spokojne przeprowadzenie wyborów, skoro oprócz cyberataku, na kilka miesięcy przed wyborami do Parlamentu Europejskiego, główny oficer ds. cyberbezpieczeństwa, Pascal Paridans, zrezygnował ze stanowiska.
Jego odejście wbudziło poważne obawy o zdolność Parlamentu do ochrony przed cyberatakami, szczególnie w kontekście rosnących zagrożeń związanych z wyborami.
Wewnętrzny audyt wykazał, że systemy IT Parlamentu Europejskiego nie spełniają wymaganych standardów branżowych, co naraża instytucję na ataki hakerskie i wycieki danych. Parlament Europejski musi teraz pilnie znaleźć odpowiedniego następcę.
Odejście Paridansa, które nie było spowodowane jego wynikami w pracy, zaskoczyło wiele osób w instytucji. Zresztą sami pracownicy są zaniepokojeni brakiem jasnych planów dotyczących zarządzania bezpieczeństwem cyfrowym w krytycznym okresie przed wyborami.
Ataki na łańcuch dostaw, dezinformacja, potencjalne manipulacje wynikami wyborów — Parlament Europejski musi szybko podjąć działania, aby zabezpieczyć swoje systemy i procesy wyborcze. Rzecznik Parlamentu Europejskiego potwierdził, że instytucja poszukuje nowego specjalisty ds. cyberbezpieczeństwa, który przejmie obowiązki Paridansa.
W nadchodzących miesiącach, instytucja musi nie tylko znaleźć odpowiedniego następcę, ale także wdrożyć skuteczne strategie i narzędzia, które zapewnią ochronę przed potencjalnymi cyberzagrożeniami.
Cyberbezpieczeństwo podczas wyborów
Jednym z głównych wyzwań w tym zakresie jest złożoność systemów wyborczych. Wybory europejskie angażują wiele krajów członkowskich, z których każdy korzysta z różnych systemów wyborczych i technologii. Ta różnorodność utrudnia jednolite zabezpieczenie całego procesu wyborczego. Ważne jest tutaj zarządzanie powierzchnią ataku, która obejmuje wszystkie aktywa cyfrowe dostępne z internetu, takie jak serwery, strony internetowe i usługi chmurowe.
Kolejnym istotnym zagrożeniem są ataki na łańcuch dostaw. Cyberprzestępcy często wykorzystują słabe punkty w zabezpieczeniach dostawców, aby uzyskać dostęp do głównych systemów organizacji. Zarządzanie ryzykiem w łańcuchu dostaw wymaga stałego monitorowania i oceny dostawców pod kątem potencjalnych zagrożeń.
Innym istotnym wyzwaniem jest zagrożenie dezinformacją i atakami na wizerunek kandydatów oraz partii politycznych. Cyberprzestępcy i grupy zainteresowane wpływaniem na wyniki wyborów często wykorzystują media społecznościowe do rozpowszechniania fałszywych informacji. Wykorzystują przy tym zaawansowane technologie, takie jak sztuczna inteligencja i generatywne modele językowe, aby tworzyć wiarygodnie wyglądające treści dezinformacyjne.
UE reaguje na cyberzagrożenia związane z wyborami
Unia Europejska podjęła zdecydowane kroki, aby zaktualizować swoje podejście do cyberbezpieczeństwa w kontekście nadchodzących wyborów parlamentarnych. Nowe "Kompendium na temat cyberbezpieczeństwa i odporności wyborów" ostrzega, że udane cyberataki na państwo członkowskie UE mogą zagrozić całym wyborom i podważyć ich wyniki.
“W nowej edycji kompendium przedstawiono zalecenia dla państw członkowskich, kroki, jakie należy podjąć, oraz przydatne wytyczne w zakresie zarządzania potencjalnymi cyberincydentami w trakcie całego procesu wyborczego. Wśród proponowanych środków znajdują się najlepsze praktyki w zakresie wymiany informacji, podnoszenia świadomości i szkoleń wraz z zarządzaniem ryzykiem, wsparcia cyberbezpieczeństwa dla kampanii, stron i kandydatów, a także technologii głosowania elektronicznego. Niniejsza edycja obejmuje podstawowe kwestie związane z cyberbezpieczeństwem na każdym etapie cyklu wyborczego” — czytamy na oficjalnej stronie internetowej Unii Europejskiej.
- Wiarygodność procesów wyborczych w UE zależy od bezpiecznej infrastruktury cybernetycznej oraz od integralności i dostępności informacji. Musimy ocenić nowe wyzwania, zwiększyć gotowość i zapewnić ochronę naszym demokracjom – powiedział dyrektor wykonawczy ENISA Juhan Lepassaar.
Przykłady cyberataków i przygotowania
Na Słowacji, na dwa dni przed wyborami parlamentarnymi we wrześniu 2023 r., w sieciach społecznościowych krążył plik audio typu deepfake, przedstawiający rozmowę między Michalem Šimečką a dziennikarką Moniką Tódovą na temat sfałszowania wyborów. Prozachodnia partia Šimečki przegrała wówczas z populistyczną prorosyjską partią Roberta Ficy.
ENISA, we współpracy z partnerami, zorganizowała ćwiczenie w zakresie cyberbezpieczeństwa, aby przetestować plany kryzysowe oraz reakcje na potencjalne incydenty cybernetyczne. W lutym grecki parlament uchwalił nową ustawę ustanawiającą krajowy organ ds. cyberbezpieczeństwa, mający na celu zarządzanie i zapobieganie cyberatakom.
Pomimo wprowadzenia nowych przepisów, praktyczne wdrożenie strategii cyberbezpieczeństwa wciąż napotyka trudności. BIRN poinformował w grudniu, że podczas gdy Grecja teoretycznie ma wszystko, czego potrzebuje, aby poradzić sobie z cyberatakami, w praktyce brakuje zgodności z wymogami ramowymi oraz poważnych inwestycji w cyberochronę.
Ochrona wyborów wymaga nie tylko zabezpieczenia technicznego, ale także edukacji wyborców i personelu wyborczego, aby zrozumieli potencjalne zagrożenia i wiedzieli, jak się przed nimi chronić. Proaktywne zabezpieczanie infrastruktury przed coraz bardziej wyrafinowanymi atakami, regularne testy bezpieczeństwa oraz wdrożenie skutecznych protokołów reakcji na incydenty są podstawą ochrony integralności procesów wyborczych.
Strategia ta wymaga współpracy na wielu poziomach — od lokalnych organów wyborczych po międzynarodowe agencje bezpieczeństwa. Incydent związany z aplikacją PEOPLE podkreśla wagę ciągłej czujności i gotowości do działania na każdym poziomie zarządzania w kontekście cyberbezpieczeństwa.
W miarę przygotowań do nadchodzących wyborów do Parlamentu Europejskiego ważne jest nie tylko reagowanie na incydenty, ale również proaktywne zabezpieczanie infrastruktury i danych. Ochrona integralności procesów wyborczych jest zadaniem o najwyższym priorytecie, które wymaga zaangażowania zarówno na poziomie narodowym, jak i międzynarodowym.
Z ostatniej chwili
Badacze Meta odkryli, że operacja wpływu znana jako Doppelganger wciąż próbuje wpływać na wybory europejskie i politykę ukraińską, jednak jej skuteczność jest ograniczona. Doppelganger, powiązany z rosyjskimi kontrahentami rządowymi, zmienił taktykę, aby uniknąć wykrycia, skupiając się na nadchodzących wyborach w Europie. Kampania koncentruje się na osłabieniu zachodniego wsparcia dla Ukrainy.
Zwiększona kontrola skłoniła Doppelgangera do rezygnacji z podszywania się pod strony rządowe na platformach Meta. W odpowiedzi na rosnącą kontrolę, grupa zmienia swoją taktykę, ale mimo to jest mało skuteczna. David Agranovich z Meta wskazuje, że rosyjskie grupy do wynajęcia, finansowane przez Moskwę, będą kontynuować swoje działania, dopóki będą miały wsparcie finansowe.