2022’de büyük siber olayların maliyetinde 2021’e kıyasla %25’lik bir artış olmasına rağmen, ENISA’nın siber güvenlik yatırımına ilişkin yeni raporu, NIS Direktifi kapsamında AB operatörlerinin siber güvenliğe ayırdığı BT bütçesinde %0,4’lük hafif bir artış olduğunu ortaya koyuyor .
Kuruluşlar bilgi güvenliği işe alım zorluklarıyla karşı karşıyadır
Ancak kuruluşlar siber güvenliğe daha fazla bütçe ayırma eğilimindeyse, ankete katılan kuruluşların toplamının %47’si önümüzdeki iki yıl içinde bilgi güvenliği Tam Zamanlı Eşdeğerlerini (FTE’ler) işe almayı planlamıyor. Ayrıca, bu kuruluşların %83’ü en az bir bilgi güvenliği alanında işe alım zorlukları olduğunu iddia ediyor. Raporda ortaya çıkan bu tür işe alım sorunları, güvenlik açıklarının yönetilmesi söz konusu olduğunda faktörlerden biri olabilir.
Aslında, ulaştırma sektöründeki kritik BT ve OT varlıklarına yama uygulanmasına ilişkin bir analiz, ulaştırma sektöründeki kuruluşların %51’inin kritik güvenlik açıklarını düzeltmek için bir aya, %21’inin ise 1 ay ile altı ay arasında bir süreye ihtiyaç duyduğunu gösteriyor. Ankete katılan kuruluşların yalnızca %28’i, kritik varlıklardaki kritik güvenlik açıklarını bir hafta içinde düzeltiyor.
“Siber güvenliğe yeterli bütçe ve insan kaynağını ayırmak başarımızın anahtarıdır. Güvenlik açıklarını yönetmek çok önemlidir ve “tasarım gereği güvenli” girişimlerle el ele gitmelidir. Bu arada, tüm Dijital Tek Pazarın güvenliğini etkileyebilecek güvenlik açıklarını belirlemek, yönetmek ve raporlamak gibi alanlara sürekli olarak yatırım yapmamız gerekiyor” dedi AB Siber Güvenlik Ajansı İcra Direktörü Juhan Lepassaar.
Yayınlanan analizin amacı doğrultusunda, gerçekleştirilen ankette Avrupa Birliği’nin Ağ ve Bilgi Güvenliği Sistemleri Direktifi’nde (NIS Direktifi) tanımlanan Temel Hizmetler Operatörleri (OES) ve Dijital Hizmet Sağlayıcıları (DSP) incelendi. Raporun amacı, ilk NIS Direktifi tarafından belirlenen gereklilikleri karşılama hedefiyle bağlantılı olarak kuruluşun siber güvenliğe nasıl yatırım yaptığını belirlemekti.
Ancak yatırım kavramı aynı zamanda insan unsurunu da kapsamaktadır. 2023 Avrupa Beceri Yılı. Bu nedenle OES ve DSP’ler arasında siber güvenlik becerileri konusuna ve siber güvenlik işgücünün işe alınması ve cinsiyet dengesi konularına özellikle vurgu yapıldı.
Siber güvenlik yatırımlarının ana itici gücü olarak NIS Direktifi
BT bütçesinin OES/DSP’lerin siber güvenliğe ayrılan kısmı 2022’de %7,1’e ulaştı; bu, 2021’e kıyasla %0,4’lük bir artışı temsil ediyor. OES/DSP’lerin %42’si, 2022’de özel bir siber sigorta çözümüne abone oldu; 2021’e göre % artış. Halen KOBİ’lerin yalnızca %13’ü siber sigortaya abone oluyor.
OES/DSP’ler, BT FTE’lerinin %11,9’unu bilgi güvenliğine (IS) ayırıyor; bu oran %0,1’lik bir düşüş. OES/DSP’ler IS FTE’lerde kadınların ortalama %11’ini istihdam etmektedir. Medyanın yüzde sıfır olması nedeniyle ankete katılan kuruluşların çoğu, IS FTE’lerinin bir parçası olarak hiçbir kadını istihdam etmiyor.
NIS Direktifi, ulaştırma sektöründeki OES’lerin %55’i için siber güvenlik yatırımlarının ana itici gücüdür. Taşımacılık kuruluşlarının %51’i OT güvenliğini BT siber güvenliği ile aynı birim veya kişilerle yönetiyor.
Güvenlik açığı yönetimi, güvenlik açıklarından yararlanılmadan önce nedeni çözmek veya yeterli hafifletme önlemlerini uygulayarak riski akıllıca azaltmak amacıyla güvenlik açıklarıyla ilgili riskleri belirleme ve değerlendirme sürecini tanımlar.
Güvenlik açıklarını yönetmek ve yamaların kullanılabilir olmasını sağlamak, son kullanıcıları korur ve güvenliğin herhangi bir ürünün tüm yaşam döngüsü boyunca uygulanmasını sağlamaya yardımcı olur. NIS Yatırımları raporunun 2022 baskısı, ankete katılan kuruluşların %46’sının kritik güvenlik açıklarını düzeltmesinin 1 aydan uzun sürdüğünü ortaya çıkardı.
Bilgi alışverişi amacıyla birlikte çalışabilirliğin, otomasyonun ve kolaylaştırılmış süreçlerin iyileştirilmesi, güvenlik açıklarının açığa çıkarılmasına yönelik uzun bir yol kat edebilir. Aynı zamanda, satıcıların kullanıcılar için riski azaltmak amacıyla tasarım gereği güvenli uygulamaları uygulamak için uygun araçlara, süreçlere ve kişilere sahip olmaları gerekir; kuruluşlar ise güvenlik açıklarının açıklanması ile güvenlik açıklarının açıklanması arasındaki süreyi azaltmaktan sorumludur. Otomatik güvenlik açığı bilgileri paylaşımına yönelik araçları etkinleştirerek iyileştirme.
AB güvenlik açığı koordinasyonu ve güvenlik açığı veritabanı
NIS2, AB genelinde yeni keşfedilen güvenlik açıkları için koordineli güvenlik açığı açıklaması konusunda sorumlu kilit aktörlerle temel bir çerçeve oluşturur ve AB siber güvenlik kurumu tarafından işletilecek ve bakımı yapılacak, BİT ürünleri ve BİT hizmetlerinde kamuya açık olarak bilinen güvenlik açıkları için bir AB güvenlik açığı veri tabanı oluşturur ( ENISA).
Ulusal çabaların ve AB çabalarının birleşimi, AB içinde olgun bir güvenlik açığı açıklama ekosisteminin temelini oluşturacaktır. Daha da önemlisi, bu girişimler gelişmiş bir güvenlik açığı yönetimi ortamına katkıda bulunacaktır.
AB siber güvenlik politikası çerçevesi bir dizi önerilen politika dosyasını içermektedir. Bunlar arasında, güvenliğin uygulanmasına katkıda bulunacak ürün ve hizmetlerin kalitesini güvence altına alan ek önlemler gibi AB’deki güvenlik açığı yönetimini daha da iyileştirmeyi öneren hükümleri içeren Siber Dayanıklılık Yasası (CRA) ve Siber Dayanışma Yasası (CSoA) yer almaktadır. ürün yaşam döngüsünün tamamı boyunca hususlar.
Ağ ve Bilgi Sistemleri Güvenliği Direktifinin (NIS Direktifi) amacı, tüm Üye Devletlerde yüksek düzeyde ortak bir siber güvenlik elde etmektir. 16 Ocak 2023’te yürürlüğe giren NIS2 olarak bilinen revize edilmiş direktifin kapsamı yeni ekonomik sektörleri kapsayacak şekilde genişletildi.
NIS Direktifinin üç sütunundan biri, OES ve DSP için risk yönetimi ve raporlama yükümlülüklerinin uygulanmasıdır.
OES, enerji (elektrik, petrol ve gaz), ulaştırma (hava, demiryolu, su ve karayolu), bankacılık, finansal piyasa altyapıları, sağlık, içme suyu temini ve dağıtımı ve dijital altyapı (İnternet değişim noktaları, alan adı sistemi servis sağlayıcıları, üst düzey alan adı kayıtları).
DSP, çevrimiçi pazaryerleri, çevrimiçi arama motorları ve bulut bilişim hizmetleri gibi çevrimiçi bir ortamda faaliyet gösterir.