Ако се случи сајбер напад, речиси 70 отсто од институциите ќе немаат тим за одговор на инциденти

Поразителни податоци објави Државниот завод за ревизија, а во однос на ефективноста на преземените мерки на надлежните органи за заштита на критичните информациски системи. Со ревизијата на успешност опфатен е период од 2020 до 2022 година, но и период пред и по завршување на ревизијата, до денот на изготвување на извештајот, пренесува агенцијата Мета.мк.

Ревизијата утврдила дека институциите и органите не обезбедуваат ефикасна и целосна заштита на критичните информациски системи.

„Причини за ваквата состојба се недостаток на закони за безбедноста на информациските системи, неусогласеност со европските директиви, недостаток од стратешки документи, нефункционирање на Националниот совет за сајбер безбедност и недоволна кадровска екипираност“, се вели во извештајот.

Освен тоа, исклучително ниски суми се користат од буџетите на институциите за финансирање на информациската безбедност. Од 2020 до крајот на 2023 година, македонските институции склучиле  69.504 договори во вредност од над 3 милијарди евра. Од нив, само за набавки чиј предмет на набавка бил од областа на информациската безбедност, склучени биле 283 договори за 6 милиони евра, што е само 0,18 отсто од вкупната вредност на склучените договори.

„Од исклучителна важност е институциите финансирањето во информациската безбедност да го гледаат како инвестиција, а не како трошок, при што ефектите се далеку поголеми во инвестирање на превентивни мерки од штета во однос на трошокот направен по безбедносен инцидент“, се вели во извештајот.

Ревизорите утврдиле и дека кај сите институции недостасуваат човечки ресурси за превенирање и справување со ИКТ (информациско комуникациска технологија) безбедносни инциденти, додека кај 40 проценти од институциите воопшто не е назначено лице за информациска безбедност.

Загрижувачки е и податокот дека 67 проценти од институциите немаат формирано тимови за одговор на компјутерски инциденти, додека кај 60 проценти не се склучени договори со надворешни компании за пренесување на ризикот од безбедносен инцидент. Во однос на вработените ИТ лица, 87 проценти од институциите воопшто немаат утврдено обврска за нивно ангажирање надвор од работното време, состојба која носи висок ризик од успешен одговор при соодветен сајбер напад или ИКТ безбедносен инцидент.

Исто така, ревизијата констатирала дека Националниот совет за сајбер безбедност, формиран во 2019 година за спроведување на Националната стратегија за сајбер безбедност, не функционира како што се очекуваше.

Утврдено е и дека минималните безбедносни мерки и стандарди за заштита на информациските системи не се пропишани, истите не се усогласени со ЕУ директивите, што може да предизвика ризик од недоволни инвестиции и одложување на мерки за подобра заштита

Во земјава растечки е трендот на ИТ безбедносни инциденти. Бројот на инциденти по информациската безбедност кои се пријавени во МКД-ЦИРТ за период 2020 -2022 се зголемува – од 1.441 во 2020 година, 1.880 во 2021 година, до 2.804 во 2022 година.

Според анализите на МКД-ЦИРТ дадена е статистика на хакирани јавни веб страни во државата.

„Во отсуство на правна регулатива во државата за задолжително пријавување на инциденти како и обврска за задолжително постапување по препораките од МКД ЦИРТ, не е возможно утврдување на точниот број на ИКТ безбедносни инциденти на ниво на држава, процентот на пораст на инцидентите, типовите на инциденти како и штетите предизвикани од нив. Исто така, нема можност за соодветно планирање, анализирање и преземање мерки за превенција односно навремено спречување на ескалација на истите“, констатираат ревизорите.

Мета