Инвестиции в кибербезопасность: в центре внимания управление уязвимостями

Новый отчет Агентства Европейского союза по кибербезопасности (ENISA) подтверждает, что инвестиции продолжают расти, но подчеркивает важность управления уязвимостями.

Несмотря на увеличение затрат на крупные киберинциденты на 25% в 2022 году по сравнению с 2021 годом, новый отчет об инвестициях в кибербезопасность показывает небольшое увеличение на 0,4% ИТ-бюджета, выделяемого операторами ЕС на кибербезопасность в рамках Директивы NIS.

Однако, если организации склонны выделять больше средств на кибербезопасность, 47% от общего числа опрошенных организаций не планируют нанимать эквиваленты полной занятости в сфере информационной безопасности (FTE) в ближайшие два года. Кроме того, 83% этих организаций заявляют о трудностях с подбором персонала по крайней мере в одной области информационной безопасности. Подобные проблемы с наймом персонала, всплывающие в отчете, могут быть одним из факторов, когда дело доходит до управления уязвимостями.

Действительно, анализ исправления критических ИТ- и ОТ-активов в транспортном секторе показывает, что 51% организаций транспортного сектора требуется один месяц для исправления критических уязвимостей, а 21% требуется время от 1 месяца до шести месяцев. Только 28% опрошенных организаций устраняют критические уязвимости в критически важных активах в течение одной недели.

Исполнительный директор Агентства ЕС по кибербезопасности Юхан Лепассаар сказал: “Выделение достаточных бюджетных и человеческих ресурсов для обеспечения кибербезопасности является ключом к нашему успеху. Управление уязвимостями имеет важное значение и должно идти рука об руку с инициативами “безопасность по замыслу”. В то же время нам необходимо постоянно инвестировать в такие области, как выявление уязвимостей, управление ими и отчетность об уязвимостях, которые могут оказать влияние на безопасность всего единого цифрового рынка ”.

Цель отчета об инвестициях в кибербезопасность

В новом отчете исследуется, как операторы инвестируют в кибербезопасность и соблюдают цели Директивы NIS. Собранные от в общей сложности 1080 операторов основных услуг (OES) и поставщиков цифровых услуг (DSP) из всех 27 государств-членов ЕС, данные относятся к базовому 2022 году.

Сфера охвата отчета

Для целей опубликованного сегодня анализа в проведенном исследовании рассматривались OES и DSP, определенные в Директиве Европейского союза о системах сетевой и информационной безопасности (Директива NIS). Целью отчета было определить, как организации инвестируют в кибербезопасность в связи с целью выполнения требований, установленных первоначальной директивой NIS.

Однако концепция инвестиций распространяется и на человеческий фактор. 2023 год объявлен Европейским годом навыков. Именно поэтому особое внимание было уделено навыкам обеспечения кибербезопасности среди OES и DSP, а также найму персонала по кибербезопасности и гендерному балансу.

Поэтому в отчете рассматриваются вопросы подбора персонала для ИТ-безопасности и организации информационной безопасности OES и DSP с особым акцентом на транспортном секторе.

Основные выводы

• Доля ИТ-бюджета OES / DSP, направленная на кибербезопасность, достигла 7,1% в 2022 году, что на 0,4% больше, чем в 2021 году;
• 42% OES / DSP подписались на специальное решение по киберстрахованию в 2022 году, что на 30% больше, чем в 2021 году. По-прежнему только 13% МСП подписаны на киберстрахование;
• OES / DSP выделяют 11,9% своих ИТ-ресурсов на информационную безопасность (IS), что на 0,1% меньше
• В OES / DSP работают в среднем 11% женщин в IS FTE. При медиане в ноль процентов большинство опрошенных организаций не нанимают женщин в свои подразделения;
• 47% OES или DSP не планируют нанимать ИБ FTE в ближайшие два года,
• Организации, планирующие нанять специалистов по информационной безопасности в ближайшие два года, намерены нанять 2 специалистов по информационной безопасности, в среднем 4 специалиста, но 83% опрошенных организаций заявляют о трудностях с набором персонала по крайней мере в одной области информационной безопасности.
• Директива NIS является основным стимулом для инвестиций в кибербезопасность для 55% OES в транспортном секторе;
• 51% транспортных организаций управляют безопасностью OT с помощью того же подразделения или людей, что и IT cybersecurity.

Управление уязвимостями

Управление уязвимостями описывает процесс выявления и оценки связанного с уязвимостями риска безопасности с целью устранения причины, прежде чем они могут быть использованы, или разумного снижения риска ИТ путем реализации адекватных мер по смягчению последствий.

Управление уязвимостями и обеспечение доступности исправлений защищает конечных пользователей и помогает обеспечить соблюдение безопасности на протяжении всего жизненного цикла любого продукта. В отчете NIS Investments за 2022 год было установлено, что у 46 % опрошенных организаций на исправление критических уязвимостей уходит более 1 месяца.   Улучшение взаимодействия, автоматизация и оптимизация процессов для обмена информацией могут иметь большое значение для обеспечения раскрытия уязвимостей. В то же время поставщикам необходимо иметь соответствующие инструменты, процессы и людей для внедрения разработанных методов обеспечения безопасности с целью снижения риска для пользователей, в то время как организации несут ответственность за сокращение времени между раскрытием уязвимостей и их устранением путем предоставления инструментов для автоматического обмена информацией об уязвимостях.

Координация уязвимостей ЕС и база данных уязвимостей

NIS2 устанавливает базовую структуру с ответственными ключевыми участниками по скоординированному раскрытию уязвимостей для вновь обнаруженных уязвимостей по всему ЕС и создает базу данных уязвимостей ЕС для публично известных уязвимостей в продуктах ИКТ и услугах ИКТ, которая будет управляться и поддерживаться агентством ЕС по кибербезопасности (ENISA). Сочетание национальных усилий и усилий ЕС сформирует основу для зрелой экосистемы раскрытия уязвимостей в ЕС. Важно отметить, что эти инициативы будут способствовать улучшению ландшафта управления уязвимостями.

Рамочная политика ЕС в области кибербезопасности включает ряд предлагаемых файлов политики. К ним относятся Закон о киберустойчивости (CRA) и Закон о киберсолидарности (CSoA), которые включают положения, предлагающие дальнейшее улучшение управления уязвимостями в ЕС, такие как дополнительные меры, обеспечивающие качество продуктов и услуг, которые будут способствовать применению аспектов безопасности на протяжении всего жизненного цикла продукта.

Справочная информация

Цель Директивы по безопасности сетей и информационных систем (Директива NIS) заключается в достижении высокого общего уровня кибербезопасности во всех государствах-членах. Пересмотренная директива, известная как NIS2, вступила в силу 16 января 2023 года и распространила ее действие на новые секторы экономики.

Одним из трех столпов Директивы NIS является выполнение обязательств по управлению рисками и отчетности для OES и DSP.

OES предоставляют основные услуги в стратегических секторах энергетики (электричество, нефть и газ), транспорта (воздушный, железнодорожный, водный и автодорожный), банковского дела, инфраструктуры финансового рынка, здравоохранения, снабжения и распределения питьевой воды, а также цифровой инфраструктуры (пункты обмена данными в Интернете, поставщики услуг системы доменных имен, реестры доменных имен верхнего уровня).

DSP работают в онлайн-среде, а именно в онлайн-маркетплейсах, онлайн-поисковых системах и сервисах облачных вычислений.

В отчете исследуется, как операторы инвестируют в кибербезопасность и соблюдают цели Директивы NIS. В нем также дается обзор ситуации в отношении таких аспектов, как подбор персонала для ИТ-безопасности, киберстрахование и организация информационной безопасности в OES и DSP.

Дополнительная информация

Инвестиции в НИС – отчет ENISA за 2023 год

Инвестиции в НИС – отчет ENISA за 2022 год

Тема ENISA – Директива NIS

Директива о мерах по обеспечению высокого общего уровня кибербезопасности во всем Союзе (NIS2)

Author: admin