В новия доклад на Агенцията на Европейския съюз за киберсигурност (ENISA) се потвърждава, че инвестициите продължават да нарастват, но се подчертава значението на управлението на уязвимостите.
Въпреки 25% увеличение на разходите за големи киберинциденти през 2022 г. в сравнение с 2021 г., новият доклад за инвестициите в киберсигурност разкрива леко увеличение от 0,4% на ИТ бюджета, отделен за киберсигурност от операторите в ЕС, попадащи в обхвата на Директивата за МИС.
Въпреки това, ако организациите са склонни да заделят повече бюджет за киберсигурност, 47% от общо анкетираните организации не планират да наемат служители по информационна сигурност на пълно работно време (ЕПРВ) през следващите две години. Освен това 83 % от тези организации твърдят, че изпитват трудности при набирането на персонал в поне една област на информационната сигурност. Такива проблеми с наемането на служители, които изплуват в доклада, могат да бъдат един от факторите, когато става въпрос за управление на уязвимостите.
Всъщност анализът на кръпките на критични ИТ и ОТ активи в транспортния сектор показва, че 51 % от организациите в транспортния сектор се нуждаят от един месец, за да пачнат критични уязвимости, а 21 % се нуждаят от време между 1 месец и шест месеца. Само 28 % от изследваните организации поправят критични уязвимости на критични активи за една седмица.
Изпълнителният директор на Агенцията на ЕС за киберсигурност, Юхан Лепасаар, заяви: „Отделянето на достатъчно бюджетни и човешки ресурси за киберсигурност е от ключово значение за нашия успех. Управлението на уязвимостите е от съществено значение и трябва да върви ръка за ръка с инициативите за „сигурност още при проектирането. Междувременно е необходимо непрекъснато да инвестираме в области като идентифициране, управление и докладване на уязвимости, които могат да окажат въздействие върху сигурността на целия цифров единен пазар.“
В новия доклад се проучва как операторите инвестират в киберсигурност и спазват целите на Директивата за МИС. Събрани от общо 1080 оператори на основни услуги (ОЕС) и доставчици на цифрови услуги (ДУУ) от всички 27 държави – членки на ЕС, данните се отнасят за референтната 2022 г.
За целите на публикувания днес анализ в проведеното проучване бяха разгледани OES и DSP, както са определени в Директивата на Европейския съюз относно системите за мрежова и информационна сигурност (Директивата NIS). Целта на доклада беше да се установи как организациите инвестират в киберсигурност във връзка с целта да се изпълнят изискванията, определени в първоначалната Директива за МИС.
Концепцията за инвестиции обаче обхваща и човешкия фактор. 2023 г. е Европейската година на уменията. Ето защо беше поставен специален акцент върху темата за уменията в областта на киберсигурността сред ОЕЗ и ДУУ, както и върху наемането на работна сила в областта на киберсигурността и баланса между половете.
Поради това в доклада се разглеждат въпросите, свързани с наемането на персонал за киберсигурност и организацията на информационната сигурност от ОЕС и ДСП, като се обръща специално внимание на транспортния сектор.
Управлението на уязвимостите описва процеса на идентифициране и оценяване на свързания с тях риск от уязвимости в сигурността, за да се отстрани причината, преди те да бъдат използвани, или интелигентно да се намали рискът от тях чрез прилагане на адекватни мерки за смекчаване.
Управлението на уязвимостите и осигуряването на налични кръпки защитава крайните потребители и помага да се гарантира, че сигурността се прилага през целия жизнен цикъл на всеки продукт. Изданието на доклада NIS Investments за 2022 г. установи, че за 46 % от анкетираните организации е необходим повече от 1 месец, за да се закърпят критични уязвимости. Подобряването на оперативната съвместимост, автоматизацията и рационализирането на процесите с цел обмен на информация могат да допринесат значително за осигуряване на разкриването на уязвимостите. В същото време доставчиците трябва да разполагат с подходящи инструменти, процеси и хора, за да прилагат практики за сигурност при проектирането, за да намалят риска за потребителите, докато организациите са отговорни за намаляване на времето между разкриването на уязвимостите и тяхното отстраняване чрез създаване на инструменти за автоматизиран обмен на информация за уязвимостите.
С NIS2 се създава основна рамка с отговорни ключови участници за координирано разкриване на уязвимости за новооткрити уязвимости в ЕС и се създава база данни на ЕС за уязвимости за публично известни уязвимости в ИКТ продукти и ИКТ услуги, която ще се управлява и поддържа от Агенцията на ЕС за киберсигурност (ENISA). Комбинацията от национални усилия и усилия на ЕС ще формира основата за зряла екосистема за разкриване на уязвимости в рамките на ЕС. Важно е да се отбележи, че тези инициативи ще допринесат за усъвършенстване на средата за управление на уязвимостите.
Рамката на политиката на ЕС в областта на киберсигурността включва редица предложени политически досиета. Сред тях са Законът за кибернетичната устойчивост (CRA) и Законът за кибернетичната солидарност (CSoA), които включват разпоредби, с които се предлага по-нататъшно подобряване на управлението на уязвимостите в ЕС, като например допълнителни мерки, гарантиращи качеството на продуктите и услугите, които ще допринесат за прилагането на аспектите на сигурността през целия жизнен цикъл на продукта.
Целта на Директивата относно сигурността на мрежовите и информационните системи (Директивата за МИС) е да се постигне високо общо ниво на киберсигурност във всички държави членки. Преразгледаната директива, известна като NIS2, влезе в сила на 16 януари 2023 г., като разшири обхвата на директивата с нови икономически сектори.
Един от трите стълба на Директивата за МИС е изпълнението на задълженията за управление на риска и докладване за ОЕС и ДУУ.
OES предоставят основни услуги в стратегическите сектори на енергетиката (електроенергия, нефт и газ), транспорта (въздушен, железопътен, воден и автомобилен), банковото дело, инфраструктурите на финансовите пазари, здравеопазването, доставката и разпределението на питейна вода и цифровата инфраструктура (точки за обмен на информация в интернет, доставчици на услуги за системи за имена на домейни, регистри на имена на домейни от първо ниво).
ДУУ работят в онлайн среда, а именно онлайн пазари, онлайн търсачки и услуги за изчисления в облак.
В доклада се проучва как операторите инвестират в киберсигурност и спазват целите на Директивата за МИС. Той също така прави преглед на ситуацията по отношение на такива аспекти като персонал за ИТ сигурност, киберзастраховка и организация на информационната сигурност в ОЕП и ДУУ.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.