Согласно новому опросу, проведённому Королевским институтом информационной безопасности (CIISec), 69% специалистов отрасли считает, что действующие законы о кибербезопасности всё ещё недостаточно строги.
Ежегодное исследование составляется на основе интервью с членами CIISec и представителями более широкого сообщества безопасников. Некоторые предварительные результаты были опубликованы в блоге гендиректором Амандой Финч. Она сообщила, что в этом году отчёт уделяет большое внимание регулированию.
За прошедшие 12 месяцев вступили в силу или прошли различные этапы Закон ЕС об искусственном интеллекте (AI Act), DORA, NIS2, законы Великобритании об использовании и доступе к данным, а также о кибербезопасности и устойчивости. Хотя DORA и NIS2 применяются только к британским компаниям, ведущим деятельность в Европе, а Закон о кибербезопасности и устойчивости всё еще находится на рассмотрении в парламенте, респонденты обозначают их как «оказавшие наиболее значительное влияние на профессию».
На вопрос о том, кто должен нести ответственность за нарушения, 91% участников указал на совет директоров и 31% назвал руководителей служб ИБ. Фактически только 34% утверждало, что конкретные сотрудники, нарушившие политику, должны понести наказание за свои действия, в то время как более половины (56%) заявило, что именно высшее руководство должно подвергаться санкциям, судебному преследованию или штрафам за серьёзные киберинциденты. Солидаризуясь с «гласом народа», новые законы, такие как NIS2 и DORA, впервые возлагают личную ответственность за ИБ-нарушения на высшее руководство.
«Наша профессия должна использовать более коллективный подход к безопасности, обеспечивая осведомлённость совета директоров о рисках и его участие в принятии важных решений, — написала Финч. — Это означает основательное обучение ИБ-специалистов, глубокое понимание нормативных актов и более эффективное информирование о рисках заинтересованных сторон за пределами службы безопасности».
В рамках законопроекта о кибербезопасности и устойчивости правительство Великобритании настаивает на запрете выплат за вымогательство в отношении определённых организаций госсектора и критической инфраструктуры, а также на внедрении обязательного режима отчётности об инцидентах со штрафами для организаций, которые отказываются это делать.
Усам Оздемиров
