A Agência da União Europeia para a Segurança Cibernética publica o último relatório sobre Investimentos em Segurança das Redes e da Informação na UE, fornecendo uma visão de como a Directiva NIS afectou o orçamento de segurança cibernética dos operadores durante o ano passado com mergulhos profundos nos sectores da Energia e da Saúde.
O relatório analisa os dados recolhidos de Operadores de Serviços Essenciais (OES) e de Prestadores de Serviços Digitais (DSP) identificados na Directiva da União Europeia sobre Sistemas de Segurança de Redes e Informação (Directiva NIS).
A análise procura compreender se esses operadores investiram os seus orçamentos de forma diferente durante o ano passado, a fim de satisfazer os novos requisitos estabelecidos pelo texto legislativo.
O relatório inclui uma análise que atinge mais de 1000 operadores nos 27 Estados Membros da UE. Resultados relacionados mostram que a proporção do orçamento das Tecnologias de Informação (TI) dedicada à Segurança da Informação (SI) parece ser menor, em comparação com os resultados do ano passado, caindo de 7,7% para 6,7%.
Estes números devem ser concebidos como uma visão geral das despesas com a segurança da informação através de uma tipologia variada de sectores estratégicos. Por conseguinte, contingências macroeconómicas específicas como a COVID19 podem ter influenciado os resultados médios.
Quais são as principais conclusões?
A Directiva NIS, outras obrigações regulamentares e o panorama de ameaças são os principais factores que afectam os orçamentos de segurança da informação;
Os grandes operadores investem 120 000 euros em Cyber Threat Intelligence (CTI) em comparação com 5 500 euros para as PME, enquanto os operadores com SOCs totalmente internos ou com recursos internos gastam cerca de 350 000 euros em CTI, o que é 72% mais do que os gastos dos operadores com um SOC híbrido;
Os sectores da saúde e bancário suportam o custo mais elevado entre os sectores críticos em caso de incidentes graves de cibersegurança, sendo o custo médio directo de um incidente nestes sectores de 300 000 euros;
37% dos Operadores de Serviços Essenciais e Prestadores de Serviços Digitais não operam um SOC;
Para 69% a maioria dos seus incidentes de segurança da informação são causados por vulnerabilidades em produtos de software ou hardware com o sector da saúde a declarar o maior número de tais incidentes;
O seguro cibernético caiu para 13% em 2021, atingindo um baixo nível de 30% em comparação com 2020;
Apenas 5% das PME subscrevem seguros cibernéticos;
86% implementaram políticas de gestão de riscos de terceiros.
Principais conclusões dos sectores da Saúde e da Energia
Saúde
De uma perspectiva global, os investimentos em TIC para o sector da saúde parecem ser muito afectados pela COVID-19, com muitos hospitais à procura de tecnologias para expandir os serviços de saúde a serem prestados para além das fronteiras geográficas dos hospitais. Ainda assim, os controlos de cibersegurança continuam a ser uma prioridade máxima para as despesas, com 55% dos operadores de saúde a procurarem um maior financiamento para as ferramentas de cibersegurança.
64% dos operadores de saúde já recorrem a dispositivos médicos conectados e 62% já implementaram uma solução de segurança especificamente para dispositivos médicos. Apenas 27% dos OES inquiridos no sector têm um programa dedicado à defesa de resgate e 40% deles não têm um programa de sensibilização para a segurança para o pessoal não especializado em TI.
Energia
Os operadores de petróleo e gás parecem dar prioridade à cibersegurança, com investimentos que aumentam a uma taxa de 74%. O sector energético mostra uma tendência de mudança de investimentos de infra-estruturas e centros de dados herdados para serviços em nuvem.
No entanto, 32% dos operadores deste sector não têm um único processo de Tecnologia de Operação (OT) crítico monitorizado por um SOC. As OT e TI são cobertas por um único SOC para 52% de OES no sector da energia.
Se quer ler notícias como esta, subscreva gratuitamente a newsletter da Security Magazine..
