15/10/2020
Η Επιτροπή και οι οργανισμοί της ανταλλάσσουν εμπιστευτικές και ευαίσθητες πληροφορίες σχετικά με τη διαδικασία χάραξης πολιτικής και τον διοργανικό διάλογο στην ΕΕ. Τους τελευταίους μήνες, οι βιντεοδιασκέψεις και οι ψηφιακές επικοινωνίες έχουν αντικαταστήσει τις συναντήσεις με φυσική παρουσία, ωστόσο δεν υπάρχουν εγγυήσεις ότι είναι ασφαλείς και απαραβίαστες οι επικοινωνίες αυτές.
Πρέπει οι επικοινωνίες μεταξύ υπαλλήλων της ΕΕ – ιδίως στα υψηλότερα κλιμάκια – να είναι ασφαλείς και απαραβίαστες, ώστε να διασφαλίζεται ότι οι διοργανικές ανταλλαγές ευαίσθητων πληροφοριών πραγματοποιούνται ακινδύνως σε όλους τους διαύλους.
Η πρόσφατη παραβίαση 1200 λογαριασμών εκλεγμένων αξιωματούχων και μελών του προσωπικού στο Ευρωπαϊκό Κοινοβούλιο καθιστά επιτακτικότερη την ανάγκη να θεσπιστούν υψηλότερα πρότυπα επιχειρησιακής ασφάλειας για τις τηλεπικοινωνίες και την αποθήκευση δεδομένων.
Υπό το φως των ανωτέρω, η Επιτροπή καλείται να απαντήσει στις ακόλουθες ερωτήσεις:
1. Έχει διενεργηθεί αξιολόγηση του επιπέδου ασφάλειας των τηλεπικοινωνιακών γραμμών της Επιτροπής και των οργανισμών της;
2. Ποια επιχειρησιακά πρότυπα ασφάλειας και κρυπτογράφησης των τηλεπικοινωνιών και των ψηφιακών επικοινωνιών ισχύουν για την Επιτροπή και τους οργανισμούς της, καθώς και για το προσωπικό τους;
3. Αποθηκεύονται επιτόπου τα δεδομένα που παράγονται από την Επιτροπή και τους οργανισμούς της, ή διοχετεύονται σε διακομιστές εκτός της ΕΕ; Υπάρχουν ιδιωτικές εταιρείες που πωλούν χώρο για αποθήκευση δεδομένων και, εάν ναι, ποια πρότυπα ισχύουν για αυτές και πώς ελέγχονται;
Απάντηση του κ. Hahn
εξ ονόματος της Ευρωπαϊκής Επιτροπής
Αριθμός αναφοράς της ερώτησης: E-005634/2020
Η ασφάλεια ΤΠ της τηλεπικοινωνιακής υποδομής που χρησιμοποιούν η Επιτροπή και οι εκτελεστικοί οργανισμοί (ΕΟ) αξιολογείται συστηματικά σύμφωνα με την πολιτική ασφάλειας ΤΠ, (απόφαση (ΕΕ, Ευρατόμ) 2017/46(1) της Επιτροπής, τους εκτελεστικούς κανόνες της και τα αντίστοιχα πρότυπα ασφάλειας ΤΠ). Αυτό περιλαμβάνει προληπτικούς ελέγχους ασφαλείας και κρυπτογραφικά μέσα για την ασφάλεια ευαίσθητων πληροφοριών υπό διαμετακόμιση. Για την ανταλλαγή ευαίσθητων πληροφοριών, η Επιτροπή χρησιμοποιεί ασφαλείς γραμμές επικοινωνίας, όπως π.χ. το δίκτυο διευρωπαϊκών υπηρεσιών τηλεματικής μεταξύ διοικήσεων (TESTA). Η κατάσταση κυβερνοασφάλειας άλλων οργανισμών και φορέων παρακολουθείται από την ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική για τα θεσμικά όργανα και τους οργανισμούς της ΕΕ (CERT-ΕΕ(2)).
Τα πρότυπα ασφάλειας ΤΠ εφαρμόζονται σε όλα τα συστήματα τηλεπικοινωνιών και πληροφοριών που διαχειρίζεται η Επιτροπή. Ειδικότερα, για την κρυπτογράφηση, ισχύουν το πρότυπο «Κρυπτογραφία και υποδομή δημόσιου κλειδιού» και το πρότυπο «Ασφάλεια επιπέδου μεταφοράς (Transport Layer Security-TLS)».
Τα δεδομένα που παράγει η Επιτροπή και οι ΕΟ προστατεύονται σύμφωνα με τους ισχύοντες κανονισμούς και με πολιτικές, όπως η πολιτική της Επιτροπής για την ασφάλεια των πληροφοριών, η πολιτική ασφάλειας ΤΠ και ο κανονισμός για την προστασία των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα αποθηκεύονται στα κέντρα δεδομένων που ανήκουν στην Επιτροπή ή, σε περίπτωση που οι εν λόγω πολιτικές το επιτρέπουν, και στους χώρους τους οποίους διαχειρίζονται τρίτοι πάροχοι υπηρεσιών. Η διαχείριση και η παρακολούθηση της συνεργασίας με τρίτους παρόχους υπηρεσιών ρυθμίζονται μέσω συμβατικών συμφωνιών που καθορίζουν τις προϋποθέσεις, οι οποίες πρέπει να πληρούνται κατά την αποθήκευση ή την επεξεργασία δεδομένων που ανήκουν στην Επιτροπή ή στους ΕΟ. Μία από τις προϋποθέσεις αυτές είναι ότι η αποθήκευση/επεξεργασία πραγματοποιείται εντός της ΕΕ.
(1) Απόφαση (ΕΕ, Ευρατόμ) 2017/46 της Επιτροπής, της 10ης Ιανουαρίου 2017, σχετικά με την ασφάλεια των συστημάτων επικοινωνίας και πληροφοριών στην Ευρωπαϊκή Επιτροπή.
(2) Η CERT-ΕΕ, σε στενή συνεργασία με τους αποκεντρωμένους οργανισμούς, διενεργεί τακτικούς ελέγχους τρωτότητας και προειδοποιεί τις εν λόγω οντότητες σχετικά με τρωτά σημεία και με την ανάγκη κάλυψής τους όποτε απαιτείται. Επίσης, παρακολουθεί προδραστικά το τοπίο των απειλών για κακόβουλη εκμετάλλευση τεχνολογιών που υποστηρίζουν την τηλεργασία (π.χ. βιντεοδιασκέψεις, εικονικά ιδιωτικά δίκτυα κ.λπ.). Ανάλογα με τις ανάγκες, η CERT-ΕΕ εκδίδει συμβουλές και ειδοποιήσεις ώστε να βοηθά τους αποκεντρωμένους οργανισμούς να ασφαλίζουν τις εν λόγω τεχνολογίες ή να ενημερώνουν τις σχετικές δραστηριότητες διαχείρισης κινδύνων ασφάλειας ΤΠ. Επιπλέον, παρέχει καθοδήγηση, ανταλλάσσει βέλτιστες πρακτικές και, κατά περίπτωση, συμβάλλει στην κατάλληλη διαμόρφωση των εν λόγω τεχνολογιών.
