Rhaid i gyrff yr UE gynyddu eu parodrwydd ar gyfer seiberddiogelwch

Mae nifer yr ymosodiadau seibr ar gyrff yr UE yn cynyddu'n sydyn. Y lefel
mae parodrwydd seiberddiogelwch o fewn cyrff yr UE yn amrywio ac nid yw ar y cyfan
yn gymesur â'r bygythiadau cynyddol. Gan fod cyrff yr UE yn gryf
rhyng-gysylltiedig, gall gwendid mewn un amlygu eraill i fygythiadau diogelwch.
Dyma gasgliad adroddiad arbennig gan Lys Ewrop
Archwilwyr sy'n archwilio pa mor barod yw endidau llywodraethu'r UE
yn erbyn bygythiadau seiber. Mae'r archwilwyr yn argymell bod cybersecurity rhwymol
dylid cyflwyno rheolau, a faint o adnoddau sydd ar gael i'r
Dylid cynyddu Tîm Ymateb Brys Cyfrifiadurol (CERT-EU). Yr
Dylai'r Comisiwn Ewropeaidd hefyd hyrwyddo cydweithrediad pellach ymhlith yr UE
cyrff, dywed yr archwilwyr, tra bod CERT-EU ac Asiantaeth yr Undeb Ewropeaidd ar gyfer
Dylai seiberddiogelwch gynyddu eu ffocws ar y cyrff UE hynny sydd â llai
profiad o reoli seiberddiogelwch.*

Cynyddodd digwyddiadau seiberddiogelwch sylweddol yng nghyrff yr UE yn fwy na
ddeg gwaith rhwng 2018 a 2021; mae gweithio o bell wedi cynyddu'n sylweddol
nifer y pwyntiau mynediad posibl i ymosodwyr. Digwyddiadau sylweddol
yn cael eu hachosi'n gyffredinol gan seibr-ymosodiadau cymhleth sydd fel arfer yn cynnwys y defnydd
dulliau a thechnolegau newydd, a gall gymryd wythnosau os nad misoedd i wneud hynny
ymchwilio ac adfer o. Un enghraifft oedd y cyberattack ar y
Asiantaeth Meddyginiaethau Ewropeaidd, lle cafodd data sensitif ei ollwng a'i drin
i danseilio ymddiriedaeth mewn brechlynnau.

“*Mae sefydliadau, cyrff ac asiantaethau’r UE yn dargedau deniadol ar gyfer potensial
ymosodwyr, yn enwedig grwpiau sy'n gallu gweithredu'n hynod soffistigedig
ymosodiadau llechwraidd at seiber-ysbïo a dibenion ysbeidiol eraill*”, meddai
Bettina Jakobsen, yr aelod ECA a arweiniodd yr archwiliad. “*Gall ymosodiadau o’r fath gael
goblygiadau gwleidyddol sylweddol, niweidio enw da cyffredinol yr UE,
a thanseilio ymddiriedaeth yn ei sefydliadau. Rhaid i'r UE gynyddu ei hymdrechion i wneud hynny
amddiffyn ei sefydliadau ei hun.*”

Prif ganfyddiad yr archwilwyr oedd bod sefydliadau, cyrff a chyrff yr UE
nid yw asiantaethau bob amser yn cael eu hamddiffyn yn dda rhag bygythiadau seiber. Nid ydynt yn gwneud hynny
mynd at seiberddiogelwch yn gyson, rheolaethau hanfodol ac allwedd
nid yw arferion da cybersecurity bob amser ar waith, a seiberddiogelwch
ni ddarperir hyfforddiant yn systematig. Dyraniad adnoddau i
mae seiberddiogelwch yn amrywio’n fawr, ac mae nifer o gyrff yr UE yn gwario
gryn dipyn yn llai na chyfoedion tebyg. Er bod gwahaniaethau mewn
Mewn theori, gallai lefelau seiberddiogelwch gael eu cyfiawnhau gan y gwahanol risg
proffiliau pob sefydliad a lefelau sensitifrwydd amrywiol y
data y maent yn ei drin, mae'r archwilwyr yn pwysleisio bod gwendidau seiberddiogelwch mewn a
gall un corff UE wneud sawl sefydliad arall yn agored i seiberddiogelwch
bygythiadau (mae cyrff yr UE i gyd yn gysylltiedig â’i gilydd, ac yn aml â’r cyhoedd a
sefydliadau preifat mewn Aelod-wladwriaethau).

Y Tîm Ymateb Brys Cyfrifiadurol (CERT-EU) a'r Undeb Ewropeaidd
Yr Asiantaeth ar gyfer Seiberddiogelwch (ENISA) yw dau brif endid yr UE sydd â'r dasg o wneud hynny
darparu cymorth ar seiberddiogelwch. Fodd bynnag, nid ydynt wedi gallu
darparu’r holl gymorth sydd ei angen arnynt i gyrff yr UE, oherwydd adnoddau
cyfyngiadau neu flaenoriaeth yn cael ei rhoi i feysydd eraill. Mae rhannu gwybodaeth yn
hefyd yn ddiffyg, dywed yr archwilwyr: er enghraifft, nid yw pob corff UE yn cario
adroddiadau amserol ar wendidau a seiberddiogelwch sylweddol
digwyddiadau sydd wedi effeithio arnynt ac a allai effeithio ar eraill.

Ar hyn o bryd, nid oes fframwaith cyfreithiol ar gyfer diogelu gwybodaeth a
seiberddiogelwch yn sefydliadau, asiantaethau a chyrff yr UE. Nid ydynt yn ddarostyngedig
i ddeddfwriaeth ehangaf yr UE ar seiberddiogelwch, cyfarwyddeb NIS 2016, neu
i'w adolygiad arfaethedig, cyfarwyddeb NIS2. Nid oes ychwaith
gwybodaeth gynhwysfawr am y swm a wariwyd gan gyrff yr UE ar
seiberddiogelwch. Y rheolau cyffredin ar ddiogelwch gwybodaeth ac ar
mae seiberddiogelwch ar gyfer holl gyrff yr UE wedi’u cynnwys yn y cyfathrebiad ar yr UE
Strategaeth Undeb Diogelwch ar gyfer y cyfnod 2020-2025, a gyhoeddwyd gan y
Comisiwn ym mis Gorffennaf 2020. Yn Strategaeth Seiberddiogelwch yr UE ar gyfer y Digidol
Degawd, a gyhoeddwyd ym mis Rhagfyr 2020, ymrwymodd y Comisiwn i gynnig a
rheoleiddio ar reolau seiberddiogelwch cyffredin ar gyfer holl gyrff yr UE. Mae hefyd
cynnig sefydlu sail gyfreithiol newydd i CERT-EU atgyfnerthu
ei fandad a'i gyllid.

e>

hysbyseb

Rhannwch yr erthygl hon: