System cyberbezpieczeństwa w UE – wnioski z raportu ENISA

0
(0)

ENISA opublikowała interesujący raport na temat funkcjonującego systemu cyberbezpieczeństwa Unii Europejskiej oraz jego efektywności, dostarczając danych dotyczących sposobu wykorzystywania budżetu przez operatorów usług kluczowych oraz dostawców usług cyfrowych w rozumieniu dyrektywy NIS z czerwca 2016 (2016/1148).

Udział w badaniu wzięło po 40 organizacji ze wszystkich krajów członkowskich UE, łącznie 1080 podmiotów. Co wynika z uważnej lektury raportu?  Poniżej zestawienie wybranych, kluczowych wniosków z raportu.

  • Wydatki na bezpieczeństwo stale rosną – zarówno w samej Europie, jak i na całym świecie, przy czym pozostają one na znacznie niższym poziomie w UE niż w Ameryce Północnej.
  • Segment, który rozwija się najszybciej to bezpieczeństwo chmury (cloud security), z kolei największy jest segment security services. Informacja ta może być szczególnie przydatna dla osób planujących swoją karierę w przyszłości.
  • W porównaniu małych i średnich przedsiębiorstw z dużymi przedsiębiorstwami, przy zastosowaniu wskaźnika stosunku wydatków na bezpieczeństwo informacji do wydatków na IT, małe przedsiębiorstwa przeznaczają na bezpieczeństwo informacji więcej niż duże przedsiębiorstwa (mediana 10% w małych i średnich, mediana 6,7% w dużych).
  • Sektor transportowy, ze względu na wykorzystywanie wielu technologii takich jak np. chmura, AI, Internet of Things czy Robotic Process Automation, staje się coraz bardziej narażony na zagrożenia bezpieczeństwa informacji i paraliż. Poziom zgłaszanych incydentów w sektorze transportu wzrósł o 25% w 2022 r. w porównaniu do roku 2021.
  • Najwięcej w sektorze transportowym na bezpieczeństwo informacji wydaje kolej, następnie transport morski, drogowy, a na ostatnim miejscu powietrzny.
  • Według zebranych danych, najwyższe wydatki na bezpieczeństwo informacji w państwach UE ponoszone są w sektorze bankowości, energii, ochrony zdrowia oraz rynku internetowego. Nie powinno to dziwić z uwagi na krytyczność infrastruktury oraz wrażliwość przetwarzanych danych.
  • Wśród aktualnych wyzwań związanych z zagrożeniami dla cyberbezpieczeństwa, ENISA wyróżniła takie zagrożenia jak:
    • Łańcuch dostaw w związku z zależnościami oprogramowania (supply chain compromise of software dependencies)
    • Zaawansowane kampanie dezinformacyjne – rozwój AI, która generuje treści internetowe
    • Wzrost nadzoru cyfrowego, utrata prywatności
    • Błąd ludzki
    • Ukierunkowane ataki inteligentnych urządzeń
    • Brak analizy i kontroli nad infrastrukturą i obiektami związanymi z sektorem kosmicznym (space-based)- w ciągu kolejnych 10 lat przewidywane jest, że sektor ten wygeneruje ogromne ilości danych
    • Wzrost zagrożeń związanych z hybrydową zaawansowaną technologią
    • Transgraniczny dostawcy usług ICT
    • Nadużycia sztucznej inteligencji np. kradzież danych

W raporcie zwrócono także uwagę na inne istotne okoliczności takie jak kwestie związane z zatrudnianiem specjalistów z branży cyber, szkoleniem kadr, praktycznym podejściem do ryzyka czy skalą  i skutkami wystąpienia poważnych incydentów.

  • Czynnikiem, który może spowodować, że inwestycje w sektorze cyberbezpieczeństwa wzrosną jest wprowadzony dyrektywą NIS2 art. 20. Nakłada on na państwa członkowskie obowiązek zapewnienia regularnego odbywania szkoleń przez członków organów zarządzających podmiotów kluczowych i ważnych oraz zatwierdzania przez organy tych podmiotów środków zarządzania ryzykiem w cyberbezpieczeństwie, przyjętych przez podmioty kluczowe i ważne. Obecnie jedynie 50% organów operatorów usług kluczowych i dostawców usług cyfrowych bierze udział w dedykowanych szkoleniach na temat cyberbezpieczeństwa, a 81% jest zaangażowanych w akceptowanie przyjętych przez te podmioty środków zarządzania ryzykiem. Według odpowiedzi udzielonych przez polskie organizacje, 60% członków organów zarządzających otrzymuje specyficzne szkolenia związane z cyberbezpieczeństwem, z kolei 93% deklaruje zaangażowanie w akceptowanie przyjętych przez organy środków zarządzania ryzykiem. Zaangażowanie organów wywiera duży wpływ na cyberbezpieczeństwo – wprowadzenie zatem prawnego obowiązku szkolenia i nadzoru dyrektywą NIS2 może znacząco wpłynąć na poziom dojrzałości cyberbezpieczeństwa (cybersecurity maturity) wśród podmiotów kluczowych i ważnych.
  • Bezpośredni koszt znaczącego incydentu związanego z bezpieczeństwem informacji jest szacowany na 250.000 EUR (mediana) według danych zebranych od 38 respondentów, średnio 365.000 EUR. 6% organizacji doświadczyło w 2022 roku istotnego incydentu związanego z bezpieczeństwem informacji.
  • Obserwuje się znaczący wzrost powszechności ubezpieczeń cybernetycznych (42% Operatorów usług kluczowych i Dostawców usług cyfrowych korzystało z takich ubezpieczeń w roku 2022, w porównaniu do 30% w roku 2021). Badania pokazują, że w roku 2022 wszystkie kraje członkowskie miały aktywny rynek ubezpieczeń od ryzyka cybernetycznego (co nie miało miejsca w przeszłości, rynek ten w wielu krajach był nierozwinięty). Jednak tylko 13% małych i średnich przedsiębiorstw posiada takie ubezpieczenie, co pokazuje, że tego typu usługi muszą być w przyszłości lepiej dostosowane do potrzeb takich podmiotów. Spośród sektorów, jedynie w sektorach bankowości, energetycznym, ochrony zdrowia oraz transportowym więcej niż 50% badanych zadeklarowała posiadanie ubezpieczenia. W Polsce 52,5% badanych odpowiedziała, że nie ma takiego ubezpieczenia. Oby tylko podmioty nie zaufały nadmiernie ubezpieczycielom i ograniczyły się do wykupu polis przy pobieżnym traktowaniu bezpieczeństwa w jego aspektach praktycznych.
  • Raport zawiera również dane dotyczące rozkładu pracowników IS w dziedzinach bezpieczeństwa zatrudnionych w danym sektorze. Najwięcej pracowników zatrudnionych jest w domenie operacji cyberbezpieczeństwa (cybersecurity operations, 40%), kolejno 23% zatrudnionych w architekturze i inżynierii bezpieczeństwa IT, w zarządzaniu ryzykiem zatrudnionych jest 21% pracowników, a w audycie 16%.
  • 51% Operatorów usług kluczowych i Dostawców usług cyfrowych w ciągu najbliższych dwóch lat zamierza zatrudnić pełnoetatowych pracowników odpowiedzialnych za bezpieczeństwo informacji (średnio 4 pracowników, mediana: 2 pracowników). Rośnie luka umiejętności (talent gap), ponad 3 miliony stanowisk pozostaje nieobsadzonych. 83% Operatorów usług kluczowych i Dostawców usług cyfrowych doświadcza trudności w zatrudnianiu w co najmniej jednej domenie bezpieczeństwie IT. 32% małych i średnich przedsiębiorstw doświadcza problemów w zatrudnieniu w jakiejkolwiek dziedzinie bezpieczeństwa. Mimo tego, że w ostatnim roku przybyło ponad 464,000 pracowników, deficyt pracowników powiększył się (o 26%). Deficyt ten ma negatywny wpływ na bezpieczeństwo organizacji.
  • Trzy główne strategie obrane przez organizacje w celu pokrycia luki w umiejętnościach (skills gap) to: outsourcing (48%), przekwalifikowanie lub podniesienie kwalifikacji personelu bezpieczeństwa (45%) lub wewnętrzne szkolenie personelu IT (45%). Kolejne, rzadziej preferowane strategie, to pozyskiwanie zewnętrznych wykonawców lub ekspertów (27%) oraz inwestycje w automatyzację (22%) i wewnętrzny trening personelu spoza IT (22%).

Małe i średnie przedsiębiorstwa zdecydowanie wolą outsourcing (73%), rzadko próbując innych opcji.

Jedno jest pewne – organizacje w UE w wielu obszarach związanych z bezpieczeństwem będą musiały w najbliższym czasie podjąć aktywne działania, stawiając czoła stwierdzonym wyzwaniom.

Maciej Bednarek

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Add a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *