Sun. Mar 26th, 2023
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Toimittajan huomautus: Euroopan unionin kyberturvallisuusvirasto ENISA on unionin virasto, jonka tehtävänä on saavuttaa korkea yhteinen kyberturvallisuustaso kaikkialla Euroopassa. ENISA julkaisi marraskuussa 2022 kolmannen vuosikertomuksensa Network and Information Security (NIS) Investoinneista EU:ssa. Raportissa jaetaan käsitys siitä, miten verkko- ja tietoturvadirektiivi on vaikuttanut operaattoreiden kyberturvallisuusbudjettiin kuluneen vuoden aikana. Tämä uusi raportti voi hyödyttää kyberturvallisuutta, tiedonhallinta, ja eDiscovery-ekosysteemissä toimivat laillisten löytöjen ammattilaiset, kun he harkitsevat kyberlöytöä budjetoitujen investointien kautta.

    Lehdistötiedote ja raportti*

    Kyberturvallisuusinvestoinnit EU: ssa: Riittääkö raha uusien kyberturvallisuusstandardien täyttämiseen?

    Ilmoitus

    Euroopan unionin kyberturvallisuusvirasto julkaisee viimeisimmän raportin verkko- ja tietoturvainvestoinneista EU: ssa ja antaa käsityksen siitä, miten verkko- ja tietoturvadirektiivi on vaikuttanut operaattoreiden kyberturvallisuusbudjettiin kuluneen vuoden aikana syvällä sukelluksella energia- ja terveysalalle.

    Raportissa analysoidaan tietoja, jotka on kerätty Euroopan unionin verkko- ja tietoturvajärjestelmiä koskevassa direktiivissä (verkko- ja tietoturvajärjestelmiä koskevassa direktiivissä) yksilöityiltä olennaisten palvelujen operaattoreilta ja digitaalisten palvelujen tarjoajilta (DSP). Analyysissä pyritään selvittämään, ovatko kyseiset toimijat sijoittaneet budjettinsa eri tavalla kuluneen vuoden aikana täyttääkseen lainsäädäntötekstissä asetetut uudet vaatimukset.

    EU:n kyberturvallisuusvirasto, pääjohtaja Juhan Lepassaar julisti: ”EU: n kriittisten infrastruktuurien ja teknologioiden sietokyky riippuu suuresti kyvystämme tehdä strategisia investointeja. Olen vakuuttunut siitä, että meillä on pätevyys ja taidot, jotka ohjaavat meitä saavuttamaan tavoitteemme, joka on varmistaa, että meillä on riittävät resurssit kyberturvallisuusvalmiuksiemme kehittämiseksi edelleen kaikilla EU:n talouden aloilla.”

    Kontekstuaaliset parametrit, jotka kehystävät analyysin

    Raportti sisältää analyysin, joka tavoittaa yli 1000 operaattoria EU:n 27 jäsenvaltiossa. Asiaan liittyvät tulokset osoittavat, että tietoturvaan (IS) varatusta tietotekniikkabudjetista näyttää olevan pienempi verrattuna viime vuoden havaintoihin, ja se on pudonnut 7,7 prosentista 6,7 prosenttiin.

    Nämä numerot olisi suunniteltava yleiskatsaukseksi tietoturvamenoista strategisten alojen monipuolisella typologialla. Näin ollen erityiset makrotaloudelliset ennakoimattomuudet, kuten COVID-19, ovat saattaneet vaikuttaa keskimääräisiin tuloksiin.

    Mitkä ovat tärkeimmät havainnot?

    Tietoturvabudjeteihin vaikuttavat tärkeimmät tekijät ovat tietoturva-alan direktiivi, muut sääntelyvelvoitteet ja uhkakuva.

    Suuret operaattorit investoivat 120 000 euroa Cyber Threat Intelligence (CTI) -yrityksiin verrattuna 5 500 euroon pk-yrityksille, kun taas operaattorit, joilla on täysin sisäiset tai inhankittu SOC, käyttävät CTI:hen noin 350 000 euroa, mikä on 72 prosenttia enemmän kuin sellaisten operaattoreiden menot, joilla on hybridi SOC;

    Terveydenhuolto- ja pankkisektorit vastaavat kriittisistä aloista suurimmat kustannukset merkittävien kyberturvallisuushäiriöiden tapauksessa, ja näiden alojen tapahtumien mediaanikustannukset ovat 300 000 euroa.

    37 prosenttia keskeisten palvelujen ylläpitäjistä ja digitaalisten palvelujen tarjoajista ei käytä SOC-järjestelmää;

    69 prosentilla suurin osa heidän tietoturvahäiriöistään johtuu ohjelmistojen tai laitteistotuotteiden haavoittuvuuksista, kun terveydenhuoltoala ilmoittaa tällaisten vaaratilanteiden suuremman määrän;

    Kybervakuutus on laskenut 13 prosenttiin vuonna 2021, ja se on alhainen 30% vuoteen 2020 verrattuna;

    Vain 5 prosenttia pk-yrityksistä on tietoverkkovakuutuksia;

    86% on toteuttanut kolmannen osapuolen riskinhallintakäytäntöjä.

    Terveys- ja energia-alan keskeiset havainnot

    Terveys

    Globaalista näkökulmasta COVID-19 näyttää vaikuttavan suuresti terveydenhuoltoalan investointeihin tieto- ja viestintätekniikkaan, ja monet sairaalat etsivät tekniikkaa terveydenhuoltopalvelujen laajentamiseksi sairaaloiden maantieteellisten rajojen ulkopuolelle. Kyberturvallisuuden valvonta on edelleen ensisijainen tavoite menoissa, kun 55% terveydenhuollon toimijoista etsii lisää rahoitusta kyberturvallisuustyökaluille.

    Terveysalan toimijoista 64 prosenttia turvautuu jo nyt kytkettyihin lääkinnällisiin laitteisiin ja 62 prosenttia on jo ottanut käyttöön tietoturvaratkaisun nimenomaan lääkinnällisiin Vain 27 prosentilla alan tutkituista OES-ohjelmista on oma ransomware-puolustusohjelma, ja 40 prosentilla heistä ei ole tietoturvatietoisuusohjelmaa ei-IT-henkilöstölle.

    Energia

    Öljy- ja kaasualan toimijat näyttävät asettavan etusijalle kyberturvallisuuden investointien kasvaessa 74 prosentin vauhdilla. Energia-ala osoittaa, että investoinnit siirtyvät vanhoista infrastruktuureista ja datakeskuksista pilvipalveluihin.

    32 prosentilla alan toimijoista ei kuitenkaan ole yhtä kriittistä operaatioteknologiaprosessia (OT), jota SOC valvoo. OT ja IT kuuluvat yhden SOC: n piiriin, joka kattaa 52 prosenttia energia-alan OES-osuuksista.

    Taustaa

    Verkko- ja tietojärjestelmien turvallisuutta koskevan direktiivin (verkko- ja tietojärjestelmädirektiivi) tavoitteena on saavuttaa korkea yhteinen kyberturvallisuustaso kaikissa jäsenvaltioissa.

    Yksi tietoturvadirektiivin kolmesta pilarista on riskienhallinta- ja raportointivelvoitteiden täytäntöönpano OES:n ja DSP:n osalta.

    OES tarjoaa keskeisiä palveluja strategisilla aloilla: energia (sähkö, öljy ja kaasu), liikenne (lento, rautatie, vesi ja tie), pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveys, juomaveden jakelu ja jakelu sekä digitaalinen infrastruktuuri (Internet-vaihtopisteet, verkkotunnusjärjestelmän palveluntarjoajat, ylätason verkkotunnusrekisterit).

    DSP toimii verkkoympäristössä, nimittäin online-markkinapaikoilla, online-hakukoneissa ja pilvipalveluissa.

    Raportissa selvitetään, miten operaattorit investoivat kyberturvallisuuteen ja noudattavat verkko- ja tietoturvadirektiivin tavoitteita. Se antaa myös yleiskuvan tilanteesta, joka liittyy tietoturvahenkilöstöön, tietoverkkovakuutukseen ja tietoturvan organisointiin OES-järjestelmässä ja DSP: ssä.

    Lisätietoja

    NIS Investoinnit — ENISA-raportti 2022

    NIS Investoinnit - ENISA-raportti 2021

    Nis Investments — ENISA-raportti 2020

    ENISA-aihe - Nis-direktiivi

    Lue alkuperäinen ilmoitus.

    Täydellinen raportti: ENISA Network and Information Security (NIS) Investments (PDF) - Hiiren osoitus vierittämiseen

    EU:n Nis Investoinnit 2022

    Lue alkuperäinen paperi.

    *Jaettu luvalla Creative Commons — Nimeä 4.0 Kansainvälinen (CC BY 4.0) — lisenssi.

    Lisä lukeminen

    Kansainvälinen kyberoikeus käytännössä: Interaktiivinen työkalupakki

    Cyber Discoveryn määritteleminen? Määritelmä ja kehys

    Lähde: CompleDiscovery