2024年欧洲网络安全演习-事后报告

关于文档 关于 ENISA 欧洲网络安全局（ENISA）是欧盟专门致力于在整个欧洲实现高水平网络安全的机构。该机构成立于2004年，并通过《欧盟网络安全法案》得到了加强。欧洲网络安全局参与制定欧盟网络政策，通过网络安全认证方案提高ICT产品、服务和流程的信任度，与成员国和欧盟机构合作，并帮助欧洲为未来的网络挑战做好准备。通过知识共享、能力提升和意识提高，该机构与其关键利益相关者合作，以增强对连接经济的信任，提升欧盟基础设施的韧性，最终确保欧洲社会和公民的数字安全。有关ENISA及其工作的更多信息，请参阅此处：enisa. europa. eu. 联系人 联系作者 ， 请使用练习 @ enisa. europa. eu如有媒体查询此纸张 ， 请使用press @ enisa. europa. eu. 编辑者 Radu Arcus, Nikolaos Christoforatos, Fanouris Fanourakis, Gema Fern á ndez, Christian VanHeurck, Alexandros Zacharis 贡献者 Rory Aston James, Claire Charlier, Laura De Vos, Carolina Simioni ACKNOWLEDGEMENTS Cyber欧洲规划者，ENISA运营合作单位，配电系统运营商实体，欧洲电力传输系统运营商网络 分布 这份文件是TLP: 清除根据交通灯协议 (TLP) 最新版本1因此 ， 其分布仅限于网络欧洲计划者和网络欧洲 2024 参与组织。 法律通知 此出版物代表了 ENISA 的观点和解释，除非另有说明。它并不意味着 ENISA 或 ENISA 机构根据欧盟条例（EU）第 2019/881 号承担任何监管义务。 ENISA 有权修改、更新或删除该出版物及其任何内容。仅作为信息用途，并且必须免费提供访问。在整体或部分引用该出版物或其使用时，必须注明ENISA为其来源。 第三方来源在适当的情况下被引用。ENISA不对本出版物中引用的外部来源（包括外部网站）的内容负责或承担任何责任。 ENISA及其任何代表不对可能对该出版物中包含的信息所进行的使用负责。 ENISA 维护其与本出版物有关的知识产权。版权声明 © 欧盟网络安全机构(ENISA) ， 2024` 此出版物授权使用CC-BY 4.0许可“除非另有说明，否则重新使用此文档获准使用Creative Commons Attribution 4.0 International（CC BY 4.0）许可（https://creativecommons.org/licenses/by/4.0/）。这意味著只要适当 attribution 并标明任何修改，即可进行重新使用”。 封面图片 © Matthew Henry, unsplash. com 对于任何照片或其他非ENISA版权材料的使用或复制，必须直接向版权持有人寻求许可。 目录 第 01 部分 ： 锻炼概述。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 •介绍 … …•方法 … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … 第 02 部分 ： 关键洞察力 10… 7• •球员的见解。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。•规划者的见解 … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … …情景 9 •从之前、期间和之后收集的数据中确定的经验教训 …•从组织和规划网络欧洲 2024 中确定的经验教训 … … … … … … … 22•从玩家的自我评估中获得的经验教训。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 24•研究结果和观察结果 •闭幕词 28 附件 29 •网络欧洲 2024 的数字。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。•通过欧洲网络安全技能框架映射玩家的角色 … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … …•词汇表 34 TLP: 清除 PART 01: 运动概述 Introduction 欧洲网络安全演习是由欧洲网络和信息安全局（ENISA）组织的一系列欧盟层面的网络安全事件和危机管理演练。2旨在针对欧洲联盟（EU）和欧洲自由贸易协会（EFTA）成员国的both公共和私人部门。这些演练模拟大规模网络安全事件升级为网络安全危机的过程。它们提供了分析复杂的高级技术网络安全事件并评估参与者处理复杂情景能力的机会。 2024年欧洲网络安全演习（Cyber Europe 2024），重点聚焦能源 sector，在6月19日至20日以混合形式举行；该演习由希腊雅典的演习控制中心协调，组织团队和大多数国家规划者均在此中心工作。本地规划者负责准备、设计并组织其团队的参与，确定目标、情景和物流。在网络安全演习期间，他们负责协调参与者参与、确保演习顺利进行，并在组织层面监控演习进展。他们还协助参与者解答关于情景的任何疑问。 当地规划者与参与者共同在线参与了此次演习。参与者是指那些积极参与此次演练的个人或实体。他们通过执行指定任务、做出决策和应对模拟事件或事故，为“Cyber Europe 2024”做出了贡献。鉴于能源部门对欧盟经济增长和发展的重要性及其作为主要网络攻击目标的地位，今年的演习场景精心设计，旨在帮助包括公司和行业领袖在内的利益相关方准备应对并主动解决不断演变的网络安全威胁。 总体而言，Cyber Europe 2024 的目的是确保充分性和改进流程/标准操作程序（SOPs）、内部合作、规划者和玩家团队之间的关系、清晰的内部沟通渠道，以及处理网络安全危机的能力，并在网络安全危机期间改善公共关系响应。此外，Cyber Europe 2024 还侧重于提高企业层面关于网络安全准备的重要性以及投资网络安全的价值的认识。 以下部门参加了网络安全活动 ， 每个部门都有自己的目的和不同的目标。 能源部门 特定的目标行业实体包括电力传输和分配系统运营商以及天然气储存运营商。Cyber Europe 2024 的重点在于确保遵守相关国家立法，特别是关于报告义务的规定。其目标是提升国家层面专门管理网络安全危机结构的有效性和效率，并提高能源行业实体和网络在欧盟层面应对网络安全危机期间的意识和准备水平。Cyber Europe 2024 的另一个关键目标是在网络安全危机期间加强与相关供应链参与者沟通渠道的有效性，确保交换的信息完整、高质量且及时。这些目标同样适用于欧盟层面的行业网络。 数字基础设施和公共管理部门 特定的目标行业实体包括数据中心服务提供商（数字基础设施）和国家能源监管机构（公共行政）。其中一个目标是提高在能源部门遭受网络安全危机影响时间接受影响行业的响应能力。另一个目标则侧重于推进国家在网络和信息安全指令（NIS2）实施方面的进展。3与公共行政事件报告有关的规定。 欧盟级网络安全网络 Cyber Europe 2024 还特别针对计算机安全事件响应团队（CSIRT）网络和欧洲网络安全危机联络组织网络（EU-CyCLONe）设定了具体目标。这些目标包括确保在网络安全危机期间欧盟层面的操作性合作和升级机制的适当性，并确保 CNW（CSIRT 网络）与 EU-CyCLONe 之间沟通渠道、标准操作程序（SOP）的存在性、适当性、有效性以及速度。另一个目标是评估信息交换的完整性、质量和及时性。 欧盟机构 ， 机构和机构 Cyber欧洲2024还旨在确保并改进ENISA运营合作单元、CERT-EU和EC3（欧洲网络犯罪中心）的内部流程/标准操作程序（SOP），以及确保EUIBA与欧盟层面网络之间的沟通渠道和SOP的充分性、有效性和快速性。 Methodology 这份行动后报告旨在基于预定义的评估框架和方法论，呈现Cyber Europe 2024的评估结果。该评估框架由ENISA开发，并源自《网络安全指令》（NIS2），将在稍后发布。报告包含了参与者（包括玩家和策划者）的期望和反馈，这些内容将在本章中进一步解释。 为了评估Cyber Europe 2024参与者的表现以及现有系统和流程的有效性，在网络安全演习前后及期间，通过多种方法进行了数据收集，确保全面评估。这种多阶段的方法允许对演习的不同方面进行深入分析。 在网络欧洲之前 2024 数据主要通过调查收集，旨在捕捉参与者预期和玩家自我评估的信心水平。这些预演练调查提供了基线信息，帮助评估者了解策划者和玩家初始条件和预期的情况。 在网络欧洲 2024 在本次活动中采用了更为动态和实时的数据收集方法。负责评估的观察员和反馈收集者通过直接观察、一对一访谈和社会倾听等方式收集数据。这种方法使得事件及其参与者反应能够得到即时记录。通过在活动结束后立即举行的热洗会（hotwash sessions），即立即将参与者反馈及讨论哪些方面做得好、哪些方面不足的会议，进一步促进了从策划人员处收集反馈的过程，从而及时记录问题和成功经验。 在网络欧洲 2024 之后 在练习后的第二天，重点转向了反思性和分析性的数据收集方法。向参与者分发了反馈调查问卷以评估练习是否满足了他们的期望，而练习后的自我评估调查则允许参与者进行自我评估。 评估自身的表现。这些事后调查对于将结果与事前演练预期进行比较非常重要。 这些方法的结合为评估训练的有效性提供了全面视角，并突显了未来迭代中改进的机会。通过分析即时反馈和长期反思，ENISA 能够得出全面的结论并识别潜在的改进领域。 它比以往任何时候都更加重要要尽快采取这些建议的改进措施以提高效果并实现可感知的影响。为了确保实施的变更达到预期和 desired 效果，相关的情景部分可以被重新播放并评估其有效性。 Scenario 该演练情景的一般目的是评估欧洲利益相关者是否准备好应对复杂且持续的网络攻击。例如，由于事件数量和强度的增加以及压力的加大，该情景旨在测试该行业保持运营、保护关键基础设施以及有效应对各种可能对经济和社会产生重大影响的威胁的能力。此外，该情景强调了态势感知的重要性，旨在提高参与者实时感知、理解和预见网络威胁潜在影响的能力。通过这种方式，该情景旨在增强参与者对能源领域网络攻击的战略影响的理解，因为这些攻击可能用于更广泛的地缘政治目标。 通过在现实环境中挑战参与者应对复杂的危机，该演练旨在提供有关何处需要改进以加强整个行业的整体网络安全的重要见解。 该演练场景旨在创造一个现实且具有挑战性的环境，以测试欧盟的网络安全韧性，尤其是能源领域的网络安全韧性。不同的威胁行为者类型被纳入其中，以模拟现实世界中网络威胁的复杂性和多样性。通过增加各种模拟角色（如政府发言人、记者和网络运营团队），使场景更加真