【国际视野】欧盟发布《2024欧洲网络安全演习》事后报告

2024欧洲网络安全演习是欧盟网络安全局（ENISA）组织的一系列欧盟级网络事件和危机管理演习，面向欧盟和欧洲自由贸易联盟（EFTA）成员国的公共和私营部门。这些演习模拟大规模网络安全事件升级为网络安全危机。它们为分析复杂的技术性网络安全事件和评估参与者管理复杂情景的能力提供了机会。

2024欧洲网络安全演习以能源部门为重点，于6 月 19日至 20日以混合形式举行；由希腊雅典的演习控制中心协调，组织团队和大多数国家规划人员都在雅典。(地方）规划人员参与准备、设计和组织其团队参与，确定目标、情景和后勤。在网络安全演习期间，他们负责协调参与者的参与，确保演习顺利进行，并在组织层面监督演习的进展情况。他们协助演练者解决任何有关情景的问题。

当地规划者与参与者一起在线参与。参与者是积极参与演习的个人或实体。他们通过执行指定任务、做出决策和应对模拟事件或事故，喂2024年欧洲网络安全演习做出贡献。认识到能源行业对欧盟经济增长和发展的极端重要性，以及其作为网络攻击主要目标的地位，今年的演习场景经过精心设计，以帮助利益相关者（包括公司和行业领导者）做好准备，积极应对不断变化的网络安全威胁。

总体而言，演习的目的是确保流程/标准操作程序（SOP）、内部合作、策划者和参与者团队内部关系、清晰的内部沟通渠道、处理网络安全危机的能力以及网络安全危机期间公共关系应对措施的充分性和改进。此外，会议还注重提高企业对网络安全准备工作重要性和网络安全投资价值的认识。

参加网络安全演习的部门各有不同的目的和目标。

具体针对的部门实体是电力传输和分配系统运营商以及天然气储存运营商。演习的重点是确保遵守相关国家立法，特别是有关报告义务的立法。其目的是在国家层面提高管理网络安全危机的专门结构的适当性和有效性，以及在欧盟层面提高能源部门实体和网络对网络安全危机的认识和准备程度。演习的另一个关键目标是加强网络安全危机期间与相关供应链参与者沟通渠道的有效性，确保所交流的信息完整、高质量和及时。这些目标也适用于欧盟一级的部门网络。

具体针对的部门实体是数据中心服务提供商（数字基础设施）和国家能源监管机构（公共行政部门）。目标之一是在影响能源部门的网络安全危机期间，改进间接受影响部门的应对措施。另一个目的是推动国家在执行《网络和信息系统指令》（NIS2）有关公共行政部门事件报告的规定方面取得进展。

演习还为计算机安全事故响应小组网络和欧洲网络危机联络组织网络制定了具体目标。这些目标包括确保在网络安全危机期间欧盟一级的业务合作和升级机制的充分性，并确保CNW（计算机安全事故响应小组网络）和EU-CyCLONe之间的通信渠道和标准操作程序的存在、充分性、有效性和速度。另一个目的是评估信息交流的完整性、质量和及时性。

大会的另一个目标是，ENISA业务合作单位、CERT-EU和 EC3（欧洲网络犯罪中心）应确保其内部流程/SOP的适当性并加以改进，同时确保欧盟IBA 和欧盟级网络之间的通信渠道和SOP 的适当性、有效性和快速性。

本报告根据预先确定的评估框架和方法编写的，旨在介绍2024年欧洲网络安全演习的成果。该评估框架由ENISA 制定，源于网络与信息安全指令(NIS2)，将在稍后阶段发布。报告包含参与者（包括参与者和规划者）的期望和反馈，本章将对此做进一步解释。

演习的数据收集工作是在网络安全演习之前、期间和之后通过各种方法进行的，以确保对参与者的表现以及现有系统和流程的有效性进行全面评估。这种多阶段方法可对演习的不同方面进行全面分析。

数据主要是通过调查收集的，调查的目的是了解参与者的期望和选手自我评估的信心水 平。这些演习前调查提供了基线信息，有助于评估人员了解规划者和参与者的初始条件和期望。

演习期间采用了更加动态和实时的数据收集方法。负责评估的观察员和反馈收集员通过直接观察、一对一访谈和社会倾听收集数据。这种方法可以在事件发生时立即记录事件和参与者的反应。热冲洗会议是在演习结束时立即举行的汇报会议，目的是收集参与者的反馈意见，讨论哪些方面做得好，哪些方面做得不好。

演习结束后的第二天，重点转移到反思和分析数据收集方法上。向参与者分发了反馈调查表，以评估演习是否达到了他们的预期，而演习后的自我评估调查表则让选手们对自己的表现进行评估。这些活动后调查对于将结果与活动前的预期进行比较非常重要。

将这些方法结合起来，可以全面了解练习的效果，并强调在今后的迭代中需要改进的地方。通过分析即时反馈和长期反思，ENISA能够得出全面的结论并确定潜在的改进领域。

现在比以往任何时候都更有必要及时就这些改进建议采取行动，以提高实效并产生实实在在的影响。为确保所实施的变革达到预期效果，可对情景的相关部分进行重放并评估其有效性。

演习场景的总体目的是评估欧洲利益攸关方在应对复杂和持续的网络攻击方面的准备情况。例如，由于事件的压力越来越大，而且这些事件的数量和强度也越来越大，该情景旨在测试该部门是否有能力保持业务运行、保护重要基础设施以及有效应对可能对经济和社会产生严重影响的各种威胁。此外，情景模拟还强调了态势感知的重要性，旨在提高参与者实时感知、理解和预测网络威胁潜在影响的能力。通过这样做，情景模拟旨在提高参与者对能源行业网络攻击战略影响的认识，因为此类攻击可能被用于实现更广泛的地缘政治目标。

通过挑战游戏者在现实环境中处理复杂危机的能力，演习旨在提供重要的见解，让他们了解在哪些方面需要改进，以加强该部门的整体网络复原力。

演习场景的设计旨在创造一个逼真和具有挑战性的环境，以测试欧盟的网络复原力，特别是在能源领域。其中包括不同类型的威胁参与者，以模拟现实世界网络威胁的复杂性和多样性。通过增加各种模拟角色，如政府发言人、记者和网络运营团队，使演习场景更加逼真。扮演者代表了能源行业的主要利益相关者，如电力传输和分配系统运营商、天然气储存运营商、数据中心服务提供商和国家能源监管机构，他们需要对事件的发展做出反应。他们的责任是管理危机，减少网络攻击的影响，并确保基本能源基础设施的持续运行。

第 2部分将进一步阐述情景模拟的结果和主要结论，包括规划者和参与者的表现。

演习取得了成功，在两天的活动中，预计约有5000 名参与者参与其中。高水平的参与不仅超出了预期，也表明了人们对此次演习的广泛兴趣和热情。

演习受到了参与者的欢迎，他们普遍认为演习有利于测试他们的网络安全能力和程序。大会提供了一个宝贵的平台，可借以找出其现有系统和工作方式的差距，从而突出需要改进的领域。

如下图所示，与新参加者相比，参加过往届 “网络欧洲 ”演习的参与者认为自己为演习做了更充分的准备，只有少数人认为自己准备得非常充分，这表明总体上需要加强演习的准备工作。根据事后问题从玩家那里获得的反馈也显示出了感知准备程度与实际准备程度之间的差距，特别是在新玩家中。

图 1：参赛者的参赛准备情况

预计困难之一与角色不明确和准备不足有关，而这确实是演习中面临的主要挑战，这 表明需要更好的演习前培训和更明确的角色定义。尽管面临挑战，大多数参与者对他们的经历表示满意。他们赞赏演习为加强网络安全准备做出的巨大贡献。92%的参与者认为，大会极大地提高了他们的网络安全准备程度，突出了演习的有效性。

一些团队只需规划人员提供极少的指导就能完成注入任务，而其他团队则需要额外的支持才能有效地完成任务。这凸显了在整个演习过程中提供全面支持和指导的必要性，以确保所有参与者都能充分受益，并知道自己该做什么。同样重要的是要认识到，工具的复杂性可能会给参与者带来挑战，因为他们对工具的熟悉 程度可能不如规划者。这种情况凸显了团队成员需要具备不同的技能，才能有效地应对复杂的情景。

认识到通信和信息共享在建立态势感知和推动成功响应方面的关键作用至关重要。这一点怎么强调都不为过。

活动后的满意度很高，完全符合最初的预期，表明演习达到了有益和教育的目的。下图中突出显示的数据表明，演习成功地实现了最初的预期和活动后的成果。高满意度凸显了活动的重要价值。

图 2：参与者会议质量的期望与对活动后成果的反馈比较

选手之间的协作和信息共享水平差异很大。一些团队表现出了出色的团队合作精神，愿意分享信息，而另一些团队则不太愿意合作。在这类活动中，促进共享文化对提高整体效率至关重要。

规划人员对演习表示满意。他们对有机会在受控环境中测试国家网络安全能力和程序表示赞赏。

如下图所示，对入职和规划的总体满意度很高，国家网络安全管理局（NCSA）规划人员的满意度尤其高。规划人员收到了一个大使工具包，其中包含可立即使用的材料，以支持与游戏组织接触的过程，这一事实可能促成了这一积极趋势。

图 3：规划者对大会入会和规划体验的满意度

规划人员推荐参加 的可能性仍然很高，超过 50%的规划人员表示，在1-10 分的评分中，推荐参加 “欧洲网络 ”的可能性为 9 分或10 分，这反映了这项活动的价值和效果。

图 4：规划人员推荐参加的可能性

虽然策划者对其团队的准备情况充满信心，但参与者的反馈却显示出不同的准备水平，突显出策划者的期望与参与者的实际准备情况之间存在着微小的差距。这表明策划者今后应更好地了解队员的准备情况。

本指南包含成功实施演习所需的所有基本信息和说明。它包括详细的技术信息，是协助计划人员如何更好地帮助队员的指南。该指南被认为是全面的，提供了所有必要的信息和细节，有助于演习的实施。规划人员将其视为技术凭证、故障排除和玩家协助方面的 “一站式服务”。该指南使规划人员能够确定其当前工作方式中需要改进的地方。尽管存在一些小的技术问题和合作水平的差异，但这次演习被视为一次宝贵的学习机会。

运营商向国家当局和CSIRT 有效报告了事件，促进了顺利合作。然而，没有证据表明在地区或欧盟层面与同行能源运营商进行了信息交流。

两个成员国之间发生的一起天然气储存事故凸显了跨境事故报告方面的不足。除非接受报告的CSIRT 或 NCSA考虑到跨境影响，否则NIS1的规定没有得到执行。没有明确的证据表明，在接收事件通知时对跨境影响进行了调查。不过，一些计算机安全事故报告和追踪小组提到了受影响的其他会员国，但没有证据表明它们是如何进行评估的。这表明评估方法缺乏透明度。

网络安全当局在评估危机中与能源有关的方面时面临挑战，对于多国事件，它们与每个会员国内的运营商之间的部门协调不够。总体而言，网络安全当局在评估与能源有关的危机方面举步维艰，这凸显了对多国事件进行区域分析的必要性。

纵向立法为如何评估特定部门的跨境影响提供了指导。例如，《网络安全守则》规定了涉及CyCLONe 当局的明确程序，以处理电力事故，这将支持区域和欧洲合作。

没有在发生跨境天然气事故时启动措施的程序。

演习期间进行了一次社交媒体分析，以展示互动总数。该活动在社交媒体平台上获得了极大关注，潜在受众达200 万用户，表明该活动在各种平台上的广泛传播和可见度。

图 6：大会情感分析

“发展“、”宝贵“、”成功 “和 ”网络复原力 "等关键词带动了强烈的热情。中性情绪则与 “分析 ”和 “协调 ”等词语有关。

分析显示，X是最主要的社交媒体平台，占活动的84%。LinkedIn的参与度最高，有 1,700个赞和 125次分享，活动高峰出现在第一天开幕式后和第二天结束时。

一些选手在LinkedIn 和Twitter 上分享了他们的参赛证书。由于LinkedIn 上的隐私设置，无法确定分享2024年欧洲赛博参赛证书的选手的确切人数。许多人的个人资料都是私密的，这表明实际的分享人数可能高于可以观察到的人数。不过，已知约有1,000 人下载了他们的证书。

总之，2024年欧洲网络安全演习的社交媒体宣传活动在关键活动时刻的推动下，非常有效地吸引了广大受众。该活动成功地突出了网络安全方面的新主题，情感分析表明，活动总体上受到了积极的欢迎和热捧。

必须强调的是，以下列出的经验教训并非详尽无遗，因为ENISA 对其他发现并无看法。每个部门、成员国和其他相关实体都收集了与其特定内部流程和程序有关的独特发现。

下表中确定的所有经验教训的目标期限取决于预算和资源的可用性。

需要让当地规划者参与评估过程，以了解当地面临的细微差别和具体挑战。这种参与可确保反馈意见和所确定的经验教训更加全面，更加切合实际情况，也将有 助于更好地了解其玩家的准备情况。

反馈的重要性是这次演习的一个重要经验，尤其是在为参与者创造的高压环境下。虽然多名选手表示希望在处理技术人工制品时能得到实时反馈，但演习的目的是模拟一个压力巨大的场景，选手们必须同时处理多项任务。鉴于这一重点，即时反馈并不是演习的核心组成部分。不过，演习后反馈的必要性是显而易见的，因为它在内部评估和流程改进中发挥着重要作用。

反馈意见表明，只有某些部门的参与限制了任务管理和决策过程的稳健性。更多样化的代表性可以提高危机管理的全面性和有效性。

确保演习情景与具体国情相关和一致，对于提高演习的有效性至关重要。反馈表明，演习情景并不总是符合每个成员国/组织和参与联盟实体的独特需求，这限制了其适用性和影响。

活动中的反馈意见强调，有必要为规划人员提供一个集中的仪表板。该仪表板将确保计划人员清楚地了解已实施的注射及其状态。这样一个系统将支持计划人员跟踪执行进度，但预算和资源有限。它还可以进行全面的执行后评估。

在演习过程中，遇到了一些技术和后勤方面的挑战，包括适用于演习环境的工具难以使 用，以及关键信息传播不及时。这些问题延误了演习人员的最佳表现能力。

从演练中总结出的一个重要经验是，必须确保规划人员尽早做出决策，并有效管理他们 的预期。这就是要激励规划人员与 ENISA一起尽早开始准备，这将使他们能够为演习的设计和开发做出有意义的贡献，确保从一开始就纳入他们的见解和专业知识。

从演习中总结出的最后一条经验强调了为规划者和其他利益相关者提供详细文件和信息 共享的重要性。

如前所述，本节中的分析来自至少64% 参与此次演习的演习方提供的数据。

在演习前，参赛者对关键领域的信心一般，在熟悉程度和交流实践方面还有很大的改进余地。演习结束后，参与方在多个指标上的自我评估有了明显的积极转变，如推广提高意识的举措和实施业务连续性流程。演练指出了需要改进的领域，如资源充足性和跨境协调。

最初，半数以上的专家对自己的准备情况持保留意见。演习结束后，82%的专家表示他们可以在其组织内有效实施业务连续性流程，64%的专家表示有意在其组织内推广网络安全意识倡议。这一改进凸显了有针对性的培训和准备举措的益处。

在 会议之前，各参与方在不同合作领域的信心水平参差不齐，主要处于中等水平。各参与方之间有效的信息共享具有较高的信任度。总体而言，会前数据凸显了某些合作方面的改进空间。

活动后的表现凸显了实践培训和实际模拟的价值。83%的参与者表示有意通过参加未来的演习来评估和提高自己的技能，这表明他们对网络安全持续专业发展的热情持续高涨。

演习前，选手们对自己的网络安全事件管理能力表现出了不同程度的信心，突出了普遍的不确定感以及加强培训和准备的必要性。略低于一半的参与者对自己在演习中有效传播态势信息的能力没有把握或缺乏信心。演习结束后，演习人员的评估结果非常积极，表明他们已具备检测、分析和应对网络安全事件的能力。

演习极大地增强了参与者对处理网络安全事件的准备情况和信心。信心的增强凸显了此类模拟演练在强化实际技能和遵守既定程序方面的价值。不过，为确保在所有场景中始终保持较高的表现，建议进行持续培训和有针对性的改进。

演习旨在评估对网络安全相关问题的认识，并强调网络安全准备工作的重要性。演习旨在提高玩家在组织内部的网络安全意识，并增强他们的技能。演习结束后，64%的参与者表示有意在其组织内推广提高网络安全意识的举措。

该能力领域旨在评估参与者参与欧盟和其他相关网络（包括CSIRT 网络）的情况，以及他们在国家、欧盟和国际层面的合作情况。在演习前，参与者的信心水平参差不齐，准备程度一般，在合作方面还有改进的余地。演习结束后，合作与信息共享有了明显改善，在通报数据泄露和协调应对方面表现出色。不过，欧盟一级网络的参与度仍然一般，这表明还有加强参与的潜力。

要将总结出的经验教训转化为具体的改进措施，就必须进行认真分析，并制定有效的实施战略，包括测试其有效性。

第一步是评估每条经验教训的相关性及其对当前做法的影响，然后确定当前程序、培训计划、资源分配甚至政策中需要改进的具体领域。然后，所有参与的利益相关方必须根据紧迫性和可行性对这些发现进行优先排序，确保首先解决最紧迫的问题。接下来，应制定明确的行动计划，说明如何切实落实优先改进事项。

就演习的具体组织工作而言，这意味着要概述如何将这些已确定的经验教训融入未来的演习中。通过与所有成员国和其他相关组织一起系统地实施已达成一致意见的优先改进措施，ENISA可以确保即将举行的演习继续有效，并与其战略目标保持一致，从而培养一种不断改进的文化，为欧盟应对未来的挑战做好准备。

在组织、部门或会员国层面根据调查结果采取行动的情况下，ENISA受其任务的约束，在大多数情况下，最多只能建议最佳做法和提供指导。在准备和恢复能力方面取得实质性进展所需的步骤掌握在发现问题的组织、部门或会员国手中。

ENISA 所能做的是在会员国或部门层面重现（部分）情景，为测试植入的变革是否有效提供机会。这一方案的可扩展性将取决于需求和优先次序。

很高兴在本行动后报告的最后肯定了活动的成功，这是一次具有里程碑意义的活动，凸显了对持续投资和频繁演练的迫切需要。当务之急是，各组织应立即采取行动，根据此次演习中获得的启示完善其流程，并确保不会将这些经验教训和改进措施的实施推迟到下一次演习。

我们有能力将数千名参与者聚集在一起，测试他们的网络安全技能并加强跨境合作，这仍然是一项重大成就。今年的演习表明，标准操作程序和演习手册是提高响应能力的重要组成部分。主要目标包括提高应对网络威胁的准备程度，加强与供应链参与者的协调，以及确保在危机期间及时、高质量地交换信息。总体而言，关键目标已经实现；但是，要使不同部门完全做好网络安全准备并具有应变能力，仍有改进的余地。

展望未来，从演习中汲取的经验教训将对今后演习的设计产生重要影响。我们的集体承诺不仅是要吸取这些经验教训，还要采取积极主动的措施来提高我们的网络安全复原力。在我们继续努力进一步开展网络安全演习和投资的过程中，有关各方的持续努力和支持至关重要。因此，本报告在指导 “网络欧洲 ”未来的迭代方面发挥着关键作用，这也符合ENISA 不断致力于提高整个欧盟网络安全能力的承诺。