ENISA ágazati fenyegetettségi helyzetkép – közigazgatás
Az ENISA ágazati fenyegetettségi jelentése áttekintést nyújt az EU közigazgatási szektorát 2024-ben érintő kiberfenyegetésekről. A nyílt forrásból származó információk alapján készített jelentés kiemeli a szektort érintő legfontosabb fenyegetéseket, és betekintést nyújt a tipikus fenyegetés típusokba, érintve a legfontosabb kiberszereplőket, ezzel támogatva a szektor folyamatos erőfeszítéseit a kiberbiztonsági helyzet, érettség és ellenállóképesség javítása érdekében.
A szektorra vonatkozóan azonosított legfontosabb pontok:
- A ransomware-incidensek az összes incidens 10%-át tették ki, amelyek szolgáltatás kiesést okoztak.
- Az adatokkal kapcsolatos fenyegetések, amelyek az incidensek csaknem egyötödét tették ki, olyan érzékeny platformokat céloztak meg, mint a foglalkoztatási szolgáltatások és a bűnüldözési portálok.
- A DDoS támadások az incidensek csaknem kétharmadát tették ki, elsősorban a minisztériumi és önkormányzati weboldalakat érintették.
- A DDoS volt a leggyakoribb fenyegetés típus, amelyek 46%-áért az oroszpárti hacktivista csoport, a NoName057(16) volt felelős. Gyakran geopolitikai eseményekhez, például az EU Ukrajna támogatásához kapcsolódva, júliusban és decemberben jelentős emelkedés volt megfigyelhető a DDoS-támadások számában.
Az adatokkal kapcsolatos fenyegetések között szerepeltek az adatvédelmi incidensek és az adatszivárgások, amelyek jelentős hatással voltak a közigazgatási szervezetekre. Az adatvédelmi incidensek az összegyűjtött események 17,4%-át, az adatszivárgások pedig 1%-át tették ki, és 2024 utolsó negyedévében az incidensek számának ugrásszerű növekedése volt megfigyelhető, amely az összes adattal kapcsolatos esemény több mint 40%-át tette ki.
A helyzetkép szerint az EU közigazgatási szektorát jelentős kiberfenyegetések érintik, amelyek különböző kiberszereplőkhöz köthetőek. Ezek közül a hacktivizmus a leggyakoribb. 2024-ben a hacktivisták az incidensek közel 63%-áért voltak felelősek, míg a kiberbűnözők és az állami szervekhez kapcsolódó behatolások körülbelül 16%-át, illetve 2,5%-át tették ki az incidenseknek.
A hacktivista tevékenységeket 2024-ben elsősorban ideológiai motivációk vezérelték, amelyek geopolitikai eseményekhez, például Oroszország Ukrajna elleni háborújához kapcsolódtak. Az olyan csoportok, mint a NoName057(16) és az Anonymous Sudan, az EU tagállamok kormányzati portáljait és helyi közigazgatási szerveit vették célba.
A ransomware támadások mennyisége korlátozott volt, de jelentős zavarokat okoztak. A ransomware incidensek az összes esemény körülbelül 10%-át tették ki. Gyakran használták a ransomware-as-a-service (RaaS) programokat, amelyek közül a RansomHub és a LockBit3.0 jelentősen érintette az EU közigazgatási szektorát. Az Oroszországgal és Kínával dokumentáltan összefüggésbe hozható kiberszereplők aktívak voltak az EU közigazgatási szervei ellen irányuló kiberkémkedési kampányokban.
A helyzetkép kiemeli a szektor alacsony fejlettségi szintjét és hogy potenciálisan nagy értékű célpontnak minősülnek a közigazgatási szervezetek, ezért az EU közigazgatási szektora nagy valószínűséggel középtávon és hosszú távon is célpont marad.
Az ENSIA ajánlásokat tesz az EU közigazgatási szervei számára (mappelve a MITRE ATT&CK keretrendszert), amelyek arányosak az ágazat fenyegetettségi helyzetével. Javasolt többek között a hálózati forgalom szűrése, a behatolás megelőző megoldás használata, MFA és DLP alkalmazása, privilegizált fiókok menedzsmentje, SPF, DKIM és DMARC alkalmazása, valamint viselkedésalapú EDR használata, amely tiltja az adminisztrátori eszközök használatát (WMIC, PSExec).
