Lanskap geopolitik yang berkembang dan perubahan persyaratan peraturan telah mengubah lingkungan keamanan siber Eropa selama setahun terakhir, membawa tantangan baru dalam menjaga infrastruktur penting dan data sensitif.

Perang di Ukraina dan konflik di Gaza telah menyebabkan peningkatan hacktivisme, dan geng ransomware telah unggul dalam memanfaatkan kerentanan kritis baru dengan cepat untuk mendapatkan akses awal di banyak organisasi. Hal ini diperburuk oleh pelaku ancaman yang memiliki lebih banyak akses ke berbagai cara otomatisasi, baik itu perangkat perintah dan kontrol (C2), AI generatif (genAI) untuk mendukung upaya spear-phishing mereka, atau ransomware yang tersedia secara komersial dari Dark Web.

Konflik di Ukraina mendominasi awal tahun ini, dengan ancaman serangan siber dan serangan balasan yang berpotensi keluar dari medan perang ke ekosistem siber Eropa yang lebih luas. “Infrastruktur penting akan tetap menjadi target untuk tujuan 'propaganda' dan gangguan yang sesungguhnya,” kata Gareth Lindahl-Wise, CISO di Ontinue. “Data sensitif akan terus dicari secara aktif untuk keuntungan operasional militer, tujuan pemerasan kriminal, dan juga untuk keuntungan negara dan komersial.”

Badan Keamanan Siber Uni Eropa (ENISA), badan UE yang berdedikasi untuk mencapai tingkat keamanan siber umum yang tinggi di seluruh Eropa, mencatat sekitar 2,580 insiden antara Juli 2022 hingga Juni 2023. Jumlah tersebut belum termasuk 220 insiden yang secara khusus menargetkan dua atau lebih UE. Negara Anggota, menurut juru bicara ENISA Laura Heuvinck. “Dalam kebanyakan kasus, ancaman utama mungkin dimotivasi oleh kombinasi niat seperti keuntungan finansial, gangguan, spionase, perusakan, atau ideologi dalam kasus hacktivisme,” kata Heuvinck.

UE Terus Meneruskan Aturan Keamanan

Dan dalam hal regulasi data, Uni Eropa masih sangat aktif.

Peraturan Perlindungan Data Umum (GDPR) – undang-undang perlindungan data komprehensif yang diterapkan oleh UE pada bulan Mei 2018 – telah mendorong sejumlah besar fokus dan energi pada orang-orang yang bertugas di fungsi keamanan untuk lebih memahami data yang mereka miliki, di mana data tersebut berada, bagaimana data tersebut disimpan. itu diamankan, dan dengan siapa itu dibagikan. “Di luar elemen 'persetujuan' dan 'hak untuk menggunakan', hal ini seharusnya menjadi dasar inti keamanan data sejak awal,” kata Lindahl-Wise. “Ada bahaya jika data yang sensitif secara komersial namun bukan data PII dibiarkan begitu saja dalam hal penentuan prioritas.”

Arahan Uni Eropa yang baru, Petunjuk NIS 2 2022/2555, bertujuan untuk meningkatkan keamanan dan ketahanan jaringan dan sistem informasi di seluruh UE. Organisasi yang terkena dampak (penyedia apa yang dianggap sebagai “layanan penting,” seperti pemasok energi, air minum, lembaga keuangan dan kesehatan, penyedia layanan internet, transportasi, dan administrasi publik, dan lain-lain) secara hukum diwajibkan untuk menerapkan “layanan teknis yang sesuai dan proporsional.” , pengamanan operasional, dan organisasi” untuk mengelola dan memitigasi risiko keamanan siber. Organisasi memiliki waktu hingga Oktober 2024 untuk mematuhinya.

Meskipun GDPR telah meningkatkan pengawasan terhadap privasi data dan pemrosesan data – siapa yang menggunakan data kami, di mana, dan untuk tujuan apa – NIS2 mendorong organisasi-organisasi Eropa untuk secara signifikan meningkatkan kematangan dunia maya mereka, kata Max Heinemeyer, chief product officer di Darktrace , mencatat bahwa NIS2 telah menjadi topik utama di berbagai konferensi keamanan Eropa tahun ini. “Organisasi merasakan tekanan untuk bertindak dan menjaga kepatuhan,” kata Heinemeyer.

Pada awal bulan Desember, Komisi, Dewan, dan Parlemen Eropa mengumumkan bahwa mereka telah mencapai kesepakatan mengenai teks Undang-Undang Ketahanan Siber. Artinya, meskipun masih ada hal-hal yang harus diselesaikan selama proses legislatif, UU tersebut diperkirakan akan menjadi undang-undang dan berlaku pada awal tahun 2024. CRA, yang bertujuan untuk melindungi konsumen dan bisnis yang menggunakan produk digital, akan memperkenalkan serangkaian keamanan siber baru. kewajiban, seperti pembaruan keamanan wajib selama minimal lima tahun, dan mengungkapkan kerentanan yang belum ditambal yang dieksploitasi secara aktif kepada lembaga pemerintah.

Mengamankan Keamanan AI/ML

UE telah bereaksi terhadap potensi risiko keamanan siber dari AI dan pembelajaran mesin dengan Undang-Undang Kecerdasan Buatan Eropa. Meskipun UU tersebut masih perlu melalui beberapa tahap proses legislatif sebelum menjadi undang-undang, terdapat kesepakatan mengenai garis besarnya. Elemen yang diusulkan akan membatasi penggunaan teknologi pengenalan wajah otomatis, melarang berbagai cara penggunaan AI, menempatkan produk berisiko tinggi yang menjalankan AU di bawah pengawasan ketat, dan menerapkan persyaratan transparansi dan pengawasan terkait model AI. Keamanan siber adalah elemen penting dari persyaratan Undang-undang ini untuk memastikan bahwa sistem AI dapat dipercaya.

Undang-Undang AI akan menjadi peraturan komprehensif pertama mengenai teknologi AI, dan serupa dengan bagaimana GDPR menetapkan standar untuk perlindungan data, undang-undang ini juga akan menetapkan standar tinggi bagi peraturan AI untuk diikuti oleh negara-negara lain. Namun, ada kekhawatiran bahwa regulasi AI akan terlalu sulit dan berpotensi menghambat inovasi di Eropa, kata Ron Moscona, mitra di firma hukum internasional Dorsey & Whitney. Jika UE memberlakukan peraturan mengenai pengembangan dan distribusi perangkat lunak AI, hal ini akan berdampak pada pengembang dan penyedia yang beroperasi di UE, namun hal ini akan diabaikan oleh perusahaan, lembaga penelitian, dan lembaga negara di negara lain.

“Hasilnya adalah meskipun pengembangan teknologi lokal terhambat di Eropa karena peraturan yang ketat, teknologi tersebut akan terus berkembang di tempat lain tanpa terkendali dan akan sangat sulit untuk bergantung pada peraturan lokal untuk menghentikan perangkat lunak AI yang tidak patuh yang dihasilkan di seluruh Eropa. dunia dari menemukan jalannya ke pasar dan pengguna Eropa,” kata Moscona.

AI lainnya, Inisiatif Keamanan Siber

Terdapat upaya-upaya seperti pembentukan Akademi Keterampilan Keamanan Siber Eropa dan Pusat Kompetensi Keamanan Siber Eropa, serta pengembangan Skema Keamanan Siber Eropa, sebuah kerangka sertifikasi yang komprehensif. “Inisiatif-inisiatif ini terutama berfokus pada aspek-aspek seperti keamanan rantai pasokan, transparansi, keamanan berdasarkan desain, serta pengembangan keterampilan dan pelatihan,” kata Jochen Michels, kepala urusan masyarakat di Eropa untuk Kaspersky.

ENISA berupaya memetakan ekosistem keamanan siber AI dan memberikan rekomendasi keamanan untuk tantangan yang diperkirakan. Badan tersebut juga menerbitkan laporan Penelitian Kecerdasan Buatan dan Keamanan Siber, yang bertujuan untuk mengidentifikasi perlunya penelitian tentang penggunaan AI dalam keamanan siber dan pengamanan AI. Penilaian risiko keamanan harus mempertimbangkan desain sistem dan tujuan yang dimaksudkan, kata Heuvinck dari ENISA. Keamanan siber dan perlindungan data penting di setiap bagian ekosistem AI untuk menciptakan teknologi yang dapat dipercaya.

Ada dua aspek berbeda yang perlu dipertimbangkan mengenai dampak keamanan siber AI. Di satu sisi, AI dapat dieksploitasi untuk memanipulasi hasil yang diharapkan, seperti bagaimana AI digunakan dalam Mesin Kesadaran Situasi Siber Terbuka ENISA, yang secara otomatis mengumpulkan, mengklasifikasikan, dan menyajikan informasi terkait keamanan siber dan insiden siber dari sumber terbuka. Di sisi lain, teknik AI dapat digunakan untuk mendukung operasi keamanan — namun agar hal ini berhasil, organisasi harus mampu menilai dampak AI, serta memantau dan mengendalikannya dengan tujuan menjadikan AI aman dan tangguh.

“Keamanan siber diperlukan jika kita ingin menjamin kepercayaan, keandalan, dan ketahanan sistem AI, sekaligus memungkinkan peningkatan penerimaan pengguna, penerapan sistem AI yang andal, dan kepatuhan terhadap peraturan,” kata Heuvinck.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyber-risk/europe-hacktivism-gdpr-new-security-laws-ahead-2024