CyberSec Update#28: Dojrzałość rynku ICT według ENISA
Jak dojrzały pod względem cyberbezpieczeństwa jest rynek usług i produktów ICT?
ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa) w swoim najnowszym raporcie ENISA NIS360 dokonała oceny dojrzałości oraz krytyczności cyberbezpieczeństwa sektorów o wysokiej krytyczności wskazanych w załączniku I do Dyrektywy NIS2. W przypadku sektora usług i produktów ICT ogólny poziom dojrzałości cyberbezpieczeństwa został oceniony jako średni. Pełna treść raportu jest dostępna na stronie internetowej Agencji.
Opóźnienia we wdrażaniu wytycznych
Mniej więcej co drugi podmiot deklaruje, że zna dostępne wytyczne, jednak nie zapoznał się z nimi szczegółowo lub nie podjął działań na podstawie ich postanowień. Część organizacji wskazuje na trudności z powiązaniem zaleceń z już funkcjonującymi rozwiązaniami w zakresie cyberbezpieczeństwa, podczas gdy inne podkreślają ograniczenia kadrowe i organizacyjne.
Braki zasobowe utrudniają zarządzanie ryzykiem
W całym sektorze za jedną z głównych barier w skutecznej realizacji celów związanych z cyberbezpieczeństwem uznawany jest niewystarczający budżet. Organy krajowe zwracają jednak uwagę również na inne istotne wyzwania, takie jak niedobór wykwalifikowanych specjalistów ds. cyberbezpieczeństwa czy ryzyka związane ze współpracą z dostawcami zewnętrznymi.
Niespójne podejście do zarządzania ryzykiem
Większość ankietowanych podmiotów deklaruje przeprowadzanie oceny ryzyka co najmniej raz w roku. Mimo to około połowa wskazuje, że nie posiada formalnego procesu zarządzania zidentyfikowanym ryzykiem lub – jeśli taki proces istnieje – działania ograniczające ryzyko nie zawsze są traktowane priorytetowo i realizowane w sposób systematyczny.
Wdrożenie środków bezpieczeństwa nadal stanowi wyzwanie
Podmioty z sektora ICT zmagają się przede wszystkim z terminowym wdrażaniem poprawek bezpieczeństwa, segmentacją sieci oraz ochroną danych. Jako główne przyczyny tych trudności wskazywane są ograniczenia finansowe oraz powszechne wykorzystywanie przestarzałych systemów.
Zastrzeżenia dotyczące procesu oceny bezpieczeństwa
Ponad połowa badanych podmiotów z tego sektora wskazała, że nie przeprowadza regularnych ocen bezpieczeństwa albo realizuje je jedynie w ograniczonym zakresie lub w sposób doraźny. Zdaniem ENISA jest to niepokojące, szczególnie biorąc pod uwagę fakt, że wiele podmiotów z tego sektora pełni rolę dostawców usług i rozwiązań dla organizacji działających w innych sektorach gospodarki.
Nierównomierne przygotowanie do reagowania i odtwarzania po incydentach
W całym sektorze poziom gotowości do reagowania na incydenty oraz odtwarzania działalności po ich wystąpieniu pozostaje niejednolity. Znaczna część organizacji wskazuje na niewystarczające przygotowanie do obsługi cyberataków wynikających z zagrożeń w łańcuchu dostaw lub prowadzących do zakłóceń w środowiskach IT i OT.
Około połowa podmiotów sektora ICT deklaruje, że procedury reagowania na incydenty są testowane jedynie w ograniczonym zakresie lub uruchamiane dopiero po wystąpieniu incydentu.
Z kolei 37% organizacji przyznaje, że testy procedur ciągłości działania (BCP) oraz odtwarzania po awarii (Disaster Recovery) przeprowadzane są wyłącznie w ograniczonym zakresie lub mają charakter reaktywny.




