Hарастващо разделение между публичния и частния сектор по отношение на киберустойчивостта

Hарастващо разделение между публичния и частния сектор по отношение на киберустойчивостта

Докладът на Световния икономически форум (СИФ) „Глобални перспективи за киберсигурност през 2025 г.“ разглежда предизвикателствата и последиците от все по-сложния глобален пейзаж на киберсигурността.

Предизвикателствата идват основно от новите технологии, нарастващата сложност на престъпността (както финансово мотивирани, така и свързани с държавата групи), удължаването на веригите за доставки, геополитическото напрежение, регулациите и продължаващия недостиг на умения. Основният ефект е липсата на достатъчна устойчивост сред компаниите и дори държавите.

Необходимостта от устойчивост в областта на киберсигурността е основна тема на доклада. Ефектът от предизвикателствата върху различните нива на корпоративна и национална готовност обаче води до големи различия в тази киберустойчивост.

Например според WEF устойчивостта в малките компании намалява. Тридесет и пет процента смятат, че в момента тя е недостатъчна – но това е седемкратно увеличение от 2022 г. насам. В същото време устойчивостта в по-големите компании е намаляла почти наполовина.

Подобно несъответствие има и между публичния и частния сектор. Тридесет и осем процента от анкетираните в публичния сектор отчитат недостатъчна устойчивост, докато само 10 % от средните и големите фирми в частния сектор съобщават за подобно нещо. Почти половината от организациите от публичния сектор също така предполагат, че липсата на умения е може би основната причина; в сравнение с една трета от организациите миналата година.

WEF е съгласен с тази оценка на уменията: „Всички тези предизвикателства се изострят от увеличаващата се липса на умения, което прави изключително трудно ефективното управление на киберрисковете.“ Но така нареченият „недостиг на умения“ е мъглява обща фраза, която често се използва като оправдание. Не става въпрос толкова за това, че няма квалифицирани хора, а по-скоро за това, че те не се наемат – вероятно поради нежеланието да се запълни свободно място от някой, който не е 100% напълно перфектен за точно определена позиция, съчетаващ правилните академични квалификации с правилния опит и готов да приеме ниска стартова заплата.

Нежеланието или невъзможността да се плати приемлива заплата, която да отрече недостига на умения, се потвърждава от това, че той е проблем предимно за малките организации и публичния сектор, а не за средните и големите организации.

Освен този недостиг на умения, основните причини за липсата на устойчивост са управлението на риска от трети страни, сложността на средата на заплахите и сложността на вътрешната ИТ екосфера (сливането на ИТ и ОТ). Може би е изненадващо, че липсата на готовност за реакция при инциденти е сериозен проблем само за малките компании.

Слабостта на доклада на WEF е, че той ни казва предимно това, което професионалистите в областта на сигурността вече знаят. Това не е изненадващо, тъй като информацията, която той предоставя за професията на сигурността, е събрана от професията на сигурността.

Например, за да противодействаме на риска от трети страни, трябва да увеличим видимостта и да подобрим управлението на риска от трети страни (което едва ли е ново предложение). Трябва да възприемем нови технологии за изкуствен интелект, за да противодействаме на новите заплахи от изкуствен интелект (въпреки че двете вероятно вече се отричат взаимно, което води до това, че производителите на изкуствен интелект са основният бенефициент). Трябва да засилим регулаторното си съответствие (въпреки че това отклонява ресурси към сложна и невинаги последователна мрежа от държавни, национални и международни изисквания, която сама по себе си не осигурява това, което трябва да бъде осигурено). За икономическа устойчивост трябва да приемем киберзастраховане (въпреки че застрахователната индустрия трябва да вземе повече пари от застрахованите, отколкото изплаща на застрахованите).

Публикуван една седмица преди годишната среща на WEF в Давос-Клостерс, Швейцария, докладът е съставен основно от въпросник, попълнен от 321 респонденти, 43 индивидуални интервюта с ръководители от C-Suite, два 90-минутни семинара и дискусии със 170 ръководители, присъстващи на годишната среща на WEF по киберсигурност през ноември 2024 г.

Макар че това звучи впечатляващо, докладът е изготвен предимно въз основа на проучване; а всички проучвания страдат от подобна слабост: те се свеждат до субективни мнения от много малка част от всички заинтересовани. Докладът не е толкова впечатляващ, колкото изглежда. Например, всеки професионален специалист по киберсигурност, който все още не е наясно със сложността на киберсигурността и стъпките, необходими за справяне с тези проблеми, не би трябвало да е професионален специалист.

Истинският проблем, на който трябва да се обърне внимание, не е нито защо, нито как перспективите пред киберсигурността са толкова трудни – това вече го знаем, както и причините за него, – а защо компаниите не успяват (или не им се позволява) да решат или смекчат тези проблеми. И отговорът на този въпрос може да е извън компетенциите на специалистите по киберсигурност и по-скоро в по-широките компетенции на WEF, свързани с глобалните икономически условия.

Източник: e-security.bg

Сподели в: