Търсене
Close this search box.

Инвестиции в киберсигурността: Акцент върху управлението на уязвимости

В новия доклад на Агенцията на Европейския съюз за киберсигурност (ENISA) се потвърждава, че инвестициите продължават да нарастват, но се подчертава значението на управлението на уязвимостите.

Въпреки 25% увеличение на разходите за големи киберинциденти през 2022 г. в сравнение с 2021 г., новият доклад за инвестициите в киберсигурност разкрива леко увеличение от 0,4% на ИТ бюджета, отделен за киберсигурност от операторите в ЕС, попадащи в обхвата на Директивата за МИС.

Въпреки това, ако организациите са склонни да заделят повече бюджет за киберсигурност, 47% от общо анкетираните организации не планират да наемат служители по информационна сигурност на пълно работно време (ЕПРВ) през следващите две години. Освен това 83 % от тези организации твърдят, че изпитват трудности при набирането на персонал в поне една област на информационната сигурност. Такива проблеми с наемането на служители, които изплуват в доклада, могат да бъдат един от факторите, когато става въпрос за управление на уязвимостите.

Всъщност анализът на кръпките на критични ИТ и ОТ активи в транспортния сектор показва, че 51 % от организациите в транспортния сектор се нуждаят от един месец, за да пачнат критични уязвимости, а 21 % се нуждаят от време между 1 месец и шест месеца. Само 28 % от изследваните организации поправят критични уязвимости на критични активи за една седмица.

Изпълнителният директор на Агенцията на ЕС за киберсигурност, Юхан Лепасаар, заяви: „Отделянето на достатъчно бюджетни и човешки ресурси за киберсигурност е от ключово значение за нашия успех. Управлението на уязвимостите е от съществено значение и трябва да върви ръка за ръка с инициативите за „сигурност още при проектирането. Междувременно е необходимо непрекъснато да инвестираме в области като идентифициране, управление и докладване на уязвимости, които могат да окажат въздействие върху сигурността на целия цифров единен пазар.“

Цел на доклада за инвестициите в киберсигурността

В новия доклад се проучва как операторите инвестират в киберсигурност и спазват целите на Директивата за МИС. Събрани от общо 1080 оператори на основни услуги (ОЕС) и доставчици на цифрови услуги (ДУУ) от всички 27 държави – членки на ЕС, данните се отнасят за референтната 2022 г.

Обхват на доклада

За целите на публикувания днес анализ в проведеното проучване бяха разгледани OES и DSP, както са определени в Директивата на Европейския съюз относно системите за мрежова и информационна сигурност (Директивата NIS). Целта на доклада беше да се установи как организациите инвестират в киберсигурност във връзка с целта да се изпълнят изискванията, определени в първоначалната Директива за МИС.

Концепцията за инвестиции обаче обхваща и човешкия фактор. 2023 г. е Европейската година на уменията. Ето защо беше поставен специален акцент върху темата за уменията в областта на киберсигурността сред ОЕЗ и ДУУ, както и върху наемането на работна сила в областта на киберсигурността и баланса между половете.

Поради това в доклада се разглеждат въпросите, свързани с наемането на персонал за киберсигурност и организацията на информационната сигурност от ОЕС и ДСП, като се обръща специално внимание на транспортния сектор.

Основни констатации

  • Частта от ИТ бюджета на OES/DSP, посветена на киберсигурността, достига 7,1% през 2022 г., което представлява увеличение с 0,4% в сравнение с 2021 г;
  • 42% от OES/DSP са се абонирали за специализирано решение за киберзастраховане през 2022 г., което представлява увеличение с 30% спрямо 2021 г. Все още само 13% от малките и средни предприятия  се абонират за киберзастраховка;
  • OES/DSP отделят 11,9% от своите ИТ ЕПРВ за информационна сигурност (ИС), което представлява намаление с 0,1%
  • OES/DSP наемат средно 11% от жените в FTEs за ИС. При средна стойност от нула процента повечето от изследваните организации не наемат жени като част от своите FTE в областта на ИС;
  • 47% от OES или DSP не планират да наемат жени на ЕРС в областта на информационните технологии през следващите две години,
  • Организациите, които планират да наемат ЕРС по информационна сигурност през следващите две години, се стремят да наемат 2 ЕРС, като средната стойност е 4 ЕРС, но 83 % от изследваните организации твърдят, че имат трудности при набирането на персонал в поне една област на информационната сигурност.
  • Директивата за МИС е основният двигател за инвестиции в киберсигурността за 55 % от ОЕЗ в транспортния сектор;
  • 51% от транспортните организации управляват сигурността на ОТ със същото звено или хора, както киберсигурността на ИТ.

Управление на уязвимостите

Управлението на уязвимостите описва процеса на идентифициране и оценяване на свързания с тях риск от уязвимости в сигурността, за да се отстрани причината, преди те да бъдат използвани, или интелигентно да се намали рискът от тях чрез прилагане на адекватни мерки за смекчаване.

Управлението на уязвимостите и осигуряването на налични кръпки защитава крайните потребители и помага да се гарантира, че сигурността се прилага през целия жизнен цикъл на всеки продукт. Изданието на доклада NIS Investments за 2022 г. установи, че за 46 % от анкетираните организации е необходим повече от 1 месец, за да се закърпят критични уязвимости. Подобряването на оперативната съвместимост, автоматизацията и рационализирането на процесите с цел обмен на информация могат да допринесат значително за осигуряване на разкриването на уязвимостите. В същото време доставчиците трябва да разполагат с подходящи инструменти, процеси и хора, за да прилагат практики за сигурност при проектирането, за да намалят риска за потребителите, докато организациите са отговорни за намаляване на времето между разкриването на уязвимостите и тяхното отстраняване чрез създаване на инструменти за автоматизиран обмен на информация за уязвимостите.

Координация на уязвимостите в ЕС и база данни за уязвимостите

С NIS2 се създава основна рамка с отговорни ключови участници за координирано разкриване на уязвимости за новооткрити уязвимости в ЕС и се създава база данни на ЕС за уязвимости за публично известни уязвимости в ИКТ продукти и ИКТ услуги, която ще се управлява и поддържа от Агенцията на ЕС за киберсигурност (ENISA). Комбинацията от национални усилия и усилия на ЕС ще формира основата за зряла екосистема за разкриване на уязвимости в рамките на ЕС. Важно е да се отбележи, че тези инициативи ще допринесат за усъвършенстване на средата за управление на уязвимостите.

Рамката на политиката на ЕС в областта на киберсигурността включва редица предложени политически досиета. Сред тях са Законът за кибернетичната устойчивост (CRA) и Законът за кибернетичната солидарност (CSoA), които включват разпоредби, с които се предлага по-нататъшно подобряване на управлението на уязвимостите в ЕС, като например допълнителни мерки, гарантиращи качеството на продуктите и услугите, които ще допринесат за прилагането на аспектите на сигурността през целия жизнен цикъл на продукта.

Контекст

Целта на Директивата относно сигурността на мрежовите и информационните системи (Директивата за МИС) е да се постигне високо общо ниво на киберсигурност във всички държави членки. Преразгледаната директива, известна като NIS2, влезе в сила на 16 януари 2023 г., като разшири обхвата на директивата с нови икономически сектори.

Един от трите стълба на Директивата за МИС е изпълнението на задълженията за управление на риска и докладване за ОЕС и ДУУ.

OES предоставят основни услуги в стратегическите сектори на енергетиката (електроенергия, нефт и газ), транспорта (въздушен, железопътен, воден и автомобилен), банковото дело, инфраструктурите на финансовите пазари, здравеопазването, доставката и разпределението на питейна вода и цифровата инфраструктура (точки за обмен на информация в интернет, доставчици на услуги за системи за имена на домейни, регистри на имена на домейни от първо ниво).

ДУУ работят в онлайн среда, а именно онлайн пазари, онлайн търсачки и услуги за изчисления в облак.

В доклада се проучва как операторите инвестират в киберсигурност и спазват целите на Директивата за МИС. Той също така прави преглед на ситуацията по отношение на такива аспекти като персонал за ИТ сигурност, киберзастраховка и организация на информационната сигурност в ОЕП и ДУУ.

ENISA

 

 

Източник: По материали от Интернет

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
Бъдете социални
Още по темата
30/01/2024

Инженеринг на неприкосновен...

Общите европейски пространства за данни (пространства...
03/01/2024

ЕС постигна съгласие за изм...

Държавите – членки на ЕС, постигнаха...
08/12/2023

Войната и геополитиката под...

В новия доклад на Агенцията на...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!