TÜV SÜD: trendy v oblasti kybernetické bezpečnosti v roce 2023

Opatření v oblasti kybernetické bezpečnosti, která společnosti zavádějí, jsou kromě geopolitických a ekonomických krizí ovlivňována také novými zákony a předpisy. Jedním z klíčových faktorů úspěchu zůstává průběžné vzdělávání. TÜV SÜD představuje nejnovější trendy v oblasti kybernetické bezpečnosti pro rok 2023.

„Rizika v oblasti kybernetické bezpečnosti jsou jedna z hlavních, kterým společnosti čelí,“ říká Sudhir Ethiraj, globální vedoucí oddělení kybernetické bezpečnosti (CSO) společnosti TÜV SÜD. „Význam investic do kybernetické bezpečnosti se zvýšil v souvislosti s vývojem hrozeb a s novými předpisy a jejich implementací. Zejména malé a střední podniky se pro zajištění své kybernetické bezpečnosti musí v budoucnu více zaměřovat na nákladově efektivní řešení “ vysvětluje Ethiraj. Rok 2023 přináší do oblasti kybernetické bezpečnosti následující trendy:

  • Provádění předpisů o kybernetické bezpečnosti
  • Nákladově efektivní řešení kybernetické bezpečnosti
  • Digitální důvěra prostřednictvím standardizace
  • Vzdělávání cílových skupin
  • Větší zaměření na kritickou infrastrukturu (KRITIS)

Nákladově efektivní řešení kybernetické bezpečnosti

V roce 2023 se zvýší poptávka po cenově výhodných a efektivních bezpečnostních řešeních a službách, což jasně dokazuje nejistotu plynoucí z celkové ekonomické situace i negativních dopadů pandemie Covid-19 a války na Ukrajině. Malé a střední podniky (MSP) budou obzvláště pečlivé v účelném využívání svého rozpočtu na IT bezpečnost a budou důkladně prověřovat svou nákladovou efektivitu na opatření v oblasti kybernetické bezpečnosti. V zájmu posílení kybernetické bezpečnosti v dodavatelském řetězci by dodavatelé již neměli být zatěžováni řadou různých požadavků na kybernetickou bezpečnost. Tyto požadavky by měly být standardizovány a normy by měly být pokud možno přijaty na celosvětové úrovni.

Provádění předpisů o kybernetické bezpečnosti

Některé vnitrostátní a mezinárodní zákony a předpisy o kybernetické bezpečnosti již byly přijaty, a proto nyní přišel čas uvést je do praxe. Vybrané příklady: Směrnice EU o bezpečnosti sítí a informačních systémů (NIS) bude nahrazena směrnicí NIS 2, ta zavede přísnější opatření v oblasti dohledu a podávání zpráv a přijme v celé EU harmonizované sankce. Návrh evropského zákona o kybernetické odolnosti (CRA) je prvním celoevropským právním předpisem, který stanoví povinné požadavky na kybernetickou bezpečnost zařízení a výrobků s digitálními prvky. Nařízení EU v přenesené pravomoci, jímž se doplňuje směrnice o rádiových zařízeních (RED), bude platit od srpna 2024 a stanoví povinnost kybernetické bezpečnosti pro všechna bezdrátová zařízení, jako jsou mobilní telefony, tablety nebo chytré hodinky. V USA počet předpisů provádějících kybernetickou bezpečnost vzrůstá, proto americké orgány, jako je CISA, pracují na zavádění požadavků na kybernetickou bezpečnost vztahujících se na několik odvětví. Společným aspektem všech předpisů je hlavně to, že spadají do působnosti společností a jak je možno je co nejefektivněji změnit. Vzhledem k mezinárodní působnosti budou normy a certifikace třetí stranou hrát v budoucnu ještě větší roli než dosud.

Větší zaměření na kritickou infrastrukturu (KRITIS)

Počet phishingových útoků, malwaru a ransomwaru roste a tento trend bude v blízké budoucnosti pokračovat. Vzhledem k rostoucí profesionalitě kybernetických útočníků a virtuální válce zůstává ochrana kritické infrastruktury stále v popředí zájmu. Jedná se především o velmi citlivá odvětví, jako jsou dodávky energie a zdravotní péče. Jedním z klíčových faktorů národní bezpečnostní strategie prezidenta Bidena je kybernetická odolnost. Německo plánuje přijmout zastřešující zákon zaměřený na ochranu kritické infrastruktury (KRITIS). Účelem tohoto zákona je stanovit pro všechna odvětví minimální požadavky, aby se posílila odolnost systému infrastruktury.

Školení zaměřené na cílovou skupinu

Slabým článkem řetězce kybernetické bezpečnosti zůstává lidský faktor, přičemž vedle technologií a procesů tvoří třetí hlavní složku zaměstnanci. Doposud se vzdělávací aktivity soustředily na školení všech pracovníků obecně. V budoucnu se budou stále více prosazovat vzdělávací opatření pro konkrétní cílové skupiny a jejich potřeby, včetně požadavků specifických odvětví, jako je automobilový průmysl nebo zdravotnický průmysl. Odborní a vedoucí pracovníci rovněž potřebují pravidelné průběžné školení o kybernetických hrozbách, o tom, jak správně jednat a chovat se.

Digitální důvěra prostřednictvím standardizace

Klíčovým faktorem je budování digitální důvěry v UI. S ohledem na to nabývají na významu normy a standardy. Pokud jde o právní předpisy, Evropská komise představila v dubnu 2021 zákon o umělé inteligenci. Nyní musí zúčastněné strany diskutovat o certifikátech a certifikačních normách pro umělou inteligenci, které jim umožní vytvořit IT prostředí s maximální bezpečností. Normalizační organizace, jako je ISO (International Standards Organisations), již začaly pracovat. Průmyslový sektor rovněž vyvíjí návrhy a řešení pro případné označení umělou inteligencí. Příkladně Charta důvěry, aliance kybernetické bezpečnosti vytvořená globálními společnostmi, mezi jejíž členy patří i TÜV SÜD. Zajistit rostoucí důvěru v digitální technologie je důležitý aspekt při vývoji a používání aplikací umělé inteligence.

Kam dále

SELECT YOUR LOCATION