Новый отчет Агентства Европейского союза по кибербезопасности (ENISA) подтверждает, что инвестиции продолжают расти, но подчеркивает важность управления уязвимостями.
Несмотря на увеличение затрат на крупные киберинциденты на 25% в 2022 году по сравнению с 2021 годом, новый отчет об инвестициях в кибербезопасность показывает небольшое увеличение на 0,4% ИТ-бюджета, выделяемого операторами ЕС на кибербезопасность в рамках Директивы NIS.
Однако, если организации склонны выделять больше средств на кибербезопасность, 47% от общего числа опрошенных организаций не планируют нанимать эквиваленты полной занятости в сфере информационной безопасности (FTE) в ближайшие два года. Кроме того, 83% этих организаций заявляют о трудностях с подбором персонала по крайней мере в одной области информационной безопасности. Подобные проблемы с наймом персонала, всплывающие в отчете, могут быть одним из факторов, когда дело доходит до управления уязвимостями.
Действительно, анализ исправления критических ИТ- и ОТ-активов в транспортном секторе показывает, что 51% организаций транспортного сектора требуется один месяц для исправления критических уязвимостей, а 21% требуется время от 1 месяца до шести месяцев. Только 28% опрошенных организаций устраняют критические уязвимости в критически важных активах в течение одной недели.
Исполнительный директор Агентства ЕС по кибербезопасности Юхан Лепассаар сказал: “Выделение достаточных бюджетных и человеческих ресурсов для обеспечения кибербезопасности является ключом к нашему успеху. Управление уязвимостями имеет важное значение и должно идти рука об руку с инициативами “безопасность по замыслу”. В то же время нам необходимо постоянно инвестировать в такие области, как выявление уязвимостей, управление ими и отчетность об уязвимостях, которые могут оказать влияние на безопасность всего единого цифрового рынка ”.
Цель отчета об инвестициях в кибербезопасность
В новом отчете исследуется, как операторы инвестируют в кибербезопасность и соблюдают цели Директивы NIS. Собранные от в общей сложности 1080 операторов основных услуг (OES) и поставщиков цифровых услуг (DSP) из всех 27 государств-членов ЕС, данные относятся к базовому 2022 году.
Сфера охвата отчета
Для целей опубликованного сегодня анализа в проведенном исследовании рассматривались OES и DSP, определенные в Директиве Европейского союза о системах сетевой и информационной безопасности (Директива NIS). Целью отчета было определить, как организации инвестируют в кибербезопасность в связи с целью выполнения требований, установленных первоначальной директивой NIS.
Однако концепция инвестиций распространяется и на человеческий фактор. 2023 год объявлен Европейским годом навыков. Именно поэтому особое внимание было уделено навыкам обеспечения кибербезопасности среди OES и DSP, а также найму персонала по кибербезопасности и гендерному балансу.
Поэтому в отчете рассматриваются вопросы подбора персонала для ИТ-безопасности и организации информационной безопасности OES и DSP с особым акцентом на транспортном секторе.
Основные выводы
- Доля ИТ-бюджета OES / DSP, направленная на кибербезопасность, достигла 7,1% в 2022 году, что на 0,4% больше, чем в 2021 году;
- 42% OES / DSP подписались на специальное решение по киберстрахованию в 2022 году, что на 30% больше, чем в 2021 году. По-прежнему только 13% МСП подписаны на киберстрахование;
- OES / DSP выделяют 11,9% своих ИТ-ресурсов на информационную безопасность (IS), что на 0,1% меньше
- В OES / DSP работают в среднем 11% женщин в IS FTE. При медиане в ноль процентов большинство опрошенных организаций не нанимают женщин в свои подразделения;
- 47% OES или DSP не планируют нанимать ИБ FTE в ближайшие два года,
- Организации, планирующие нанять специалистов по информационной безопасности в ближайшие два года, намерены нанять 2 специалистов по информационной безопасности, в среднем 4 специалиста, но 83% опрошенных организаций заявляют о трудностях с набором персонала по крайней мере в одной области информационной безопасности.
- Директива NIS является основным стимулом для инвестиций в кибербезопасность для 55% OES в транспортном секторе;
- 51% транспортных организаций управляют безопасностью OT с помощью того же подразделения или людей, что и IT cybersecurity.
Управление уязвимостями описывает процесс выявления и оценки связанного с уязвимостями риска безопасности с целью устранения причины, прежде чем они могут быть использованы, или разумного снижения риска ИТ путем реализации адекватных мер по смягчению последствий.
Управление уязвимостями и обеспечение доступности исправлений защищает конечных пользователей и помогает обеспечить соблюдение безопасности на протяжении всего жизненного цикла любого продукта. В отчете NIS Investments за 2022 год было установлено, что у 46 % опрошенных организаций на исправление критических уязвимостей уходит более 1 месяца. Улучшение взаимодействия, автоматизация и оптимизация процессов для обмена информацией могут иметь большое значение для обеспечения раскрытия уязвимостей. В то же время поставщикам необходимо иметь соответствующие инструменты, процессы и людей для внедрения разработанных методов обеспечения безопасности с целью снижения риска для пользователей, в то время как организации несут ответственность за сокращение времени между раскрытием уязвимостей и их устранением путем предоставления инструментов для автоматического обмена информацией об уязвимостях.
Координация уязвимостей ЕС и база данных уязвимостей
NIS2 устанавливает базовую структуру с ответственными ключевыми участниками по скоординированному раскрытию уязвимостей для вновь обнаруженных уязвимостей по всему ЕС и создает базу данных уязвимостей ЕС для публично известных уязвимостей в продуктах ИКТ и услугах ИКТ, которая будет управляться и поддерживаться агентством ЕС по кибербезопасности (ENISA). Сочетание национальных усилий и усилий ЕС сформирует основу для зрелой экосистемы раскрытия уязвимостей в ЕС. Важно отметить, что эти инициативы будут способствовать улучшению ландшафта управления уязвимостями.
Рамочная политика ЕС в области кибербезопасности включает ряд предлагаемых файлов политики. К ним относятся Закон о киберустойчивости (CRA) и Закон о киберсолидарности (CSoA), которые включают положения, предлагающие дальнейшее улучшение управления уязвимостями в ЕС, такие как дополнительные меры, обеспечивающие качество продуктов и услуг, которые будут способствовать применению аспектов безопасности на протяжении всего жизненного цикла продукта.
Справочная информация
Цель Директивы по безопасности сетей и информационных систем (Директива NIS) заключается в достижении высокого общего уровня кибербезопасности во всех государствах-членах. Пересмотренная директива, известная как NIS2, вступила в силу 16 января 2023 года и распространила ее действие на новые секторы экономики.
Одним из трех столпов Директивы NIS является выполнение обязательств по управлению рисками и отчетности для OES и DSP.
OES предоставляют основные услуги в стратегических секторах энергетики (электричество, нефть и газ), транспорта (воздушный, железнодорожный, водный и автодорожный), банковского дела, инфраструктуры финансового рынка, здравоохранения, снабжения и распределения питьевой воды, а также цифровой инфраструктуры (пункты обмена данными в Интернете, поставщики услуг системы доменных имен, реестры доменных имен верхнего уровня).
DSP работают в онлайн-среде, а именно в онлайн-маркетплейсах, онлайн-поисковых системах и сервисах облачных вычислений.
В отчете исследуется, как операторы инвестируют в кибербезопасность и соблюдают цели Директивы NIS. В нем также дается обзор ситуации в отношении таких аспектов, как подбор персонала для ИТ-безопасности, киберстрахование и организация информационной безопасности в OES и DSP.
Дополнительная информация
Инвестиции в НИС – отчет ENISA за 2023 год
Инвестиции в НИС – отчет ENISA за 2022 год
Директива о мерах по обеспечению высокого общего уровня кибербезопасности во всем Союзе (NIS2)
Author: admin
Related Posts
Генеративный ИИ и кибербезопасность: новые вызовы и возможности
Рынок труда в ИТ: анализ текущих трендов
