Nozomi Networks, AB kritik altyapı kuruluşlarının NIS2 uyumluluğunu karşılamak için operasyonel teknoloji (OT) güvenliğini ve risk yönetimi önceliklerini acilen revize etme ihtiyacını vurgulayan yeni bir çalışmanın sonuçlarını yayınladı.
Rapor “Siber dayanıklılığı artırmak: NIS2 Direktifinin etkisi” mevzuatın çoğu kritik altyapı kuruluşu için önemli bir zorluk gibi göründüğünü tespit etti. Çoğu, tam uyumluluk ve etkili siber koruma sağlamak için hâlâ tüm varlıkların ve ağların görünürlüğüne sahip değil.
Eylül 2024’e kadar ulusal yasalara dahil edilecek Ağ ve Bilgi Güvenliği Direktifi (NIS2) ile AB’deki kritik altyapı şirketlerinin, OT’yi de içerecek şekilde BT’nin ötesinde risk yönetimine odaklanması gerekiyor. Bu, tüm varlıklar ve ağlar hakkında daha fazla görünürlüğe sahip olmalarını hayati önem taşıyor ve bu da operasyonel ağların düzenli risk analizini gerektiriyor.
Vanson Bourne tarafından Almanya, Fransa, İsveç ve Hollanda’daki büyük kuruluşlarda görev yapan 300 BT güvenliği karar vericisi arasında yapılan çalışma, kritik bilgi sistemleri için kuruluşların yalnızca %50’sinin bir riskin yürütülmesi ve güncellenmesi açısından bir program takip ettiğini ortaya çıkardı. analiz. %34’ü bunu geçici olarak yapıyor ve Avrupa genelindeki şirketlerin %15’i şu anda herhangi bir risk analizi yapmıyor; Fransa (%29) ve İsveç’te (%22) bu oran daha da yüksek.
Andrea Carcano, CPO ve Nozomi Networks Kurucu Ortağı bulgulara ilişkin şu yorumu yaptı: ““NIS2 yaklaşırken, Avrupa çapındaki kritik altyapı kuruluşlarının acilen harekete geçmesi gerekiyor. 2024 yılına gelindiğinde pek çok kişinin, özellikle OT için güvenlik ve risk yönetimi önceliklerini gözden geçirmesi gerekecek. İyi haber şu ki, kuruluşların kendi üslerini kapsamasına yardımcı olacak etkili teknolojiler ve dağıtım seçenekleri mevcut. Etkili ağ izleme ve risk yönetiminin anahtarı, doğru bir risk görünümü sağlamak için gerçek zamanlı bilgilerin kullanılmasında yatmaktadır..”
Araştırma aynı zamanda birçok kuruluşun, hangi tehdit veya risklerle karşı karşıya olduklarını ya yalnızca eyleme geçmeye zorlandıklarında anladıklarını ya da bunları hiç anlamadıklarını ortaya çıkardı. Çoğu, varlık tanımlama ve envanter yönetimi (%81), güvenlik açığı haritalama/tehdit avlama (%80) ve durumsal farkındalık/veri analitiği (%75) ile ilgili programlardan yoksundur.
Anket aynı zamanda kuruluşların %35’inin OT ve IoT cihazlarının ve ağlarının güvenliğinin sağlanması konusunda nihai sorumluluğu CISO’ya verirken, diğerlerinin çoğunun BT departmanına (%24) ve/veya OT operatörlerine (%18) güvendiğini ortaya koyuyor.
İsveç (%44), Fransa (%43) ve Hollanda’da (%40) CISO’nun sorumluluğu daha fazlayken, Almanya’da kuruluşların yalnızca %21’i OT, IoT cihazları ve ağlarının güvenliğini sağlamak için CISO’larına güveniyor.
Anket, CISO’nun rolünün ülkeden ülkeye açıkça farklılık gösterdiğini ortaya koyuyor ancak NIS2’nin 2024’te yürürlüğe girmesiyle birlikte kuruluşların OT ve IoT varlıklarını anladıklarından emin olmaları ve OT ve IoT varlıkları için varlık envanteri ve güvenlik açığı yönetimi gerçekleştirmeleri gerekiyor. Olay müdahalesi sırasında temel neden analizi yapın ve olayları ve faaliyetleri gözden geçirin.