大多数国家仍然在没有可靠数字的情况下做出国家网络政策决策。法规通常侧重于损害发生后的事件报告,但它们未能为政府提供复原力的前瞻性图景。苏黎世保险集团的一份新报告认为,这种差距使经济暴露在外,并减缓了应对系统性威胁的能力。
为什么指标很重要
网络安全主要通过合规性或事件计数来衡量。虽然这些数据很有用,但并没有表明一个国家在吸收和从攻击中恢复方面准备得有多充分。决策者缺乏相当于网络事件的里氏量表。如果没有商定的基准,政府就无法比较跨行业的复原力或跟踪一段时间的进展。
缺乏标准化措施也使得很难缩小网络风险保护差距。目前,网络事件造成的经济损失总额中只有约1%是投保的,这一数字强调了有多少未被管理。
六个核心指标
该报告提出了政府可以跟踪的六个指标,以了解其国家对网络攻击的复原力。这些指标是广泛的指标,不是完美的,但足以显示事情是好是坏。每个都与NIST网络安全框架中的功能保持一致,使它们被安全领导者识别。
网络保险或审计认证覆盖范围:拥有网络保险或公认的安全审计的组织百分比。这表明有多少公司通过金融保护或遵守标准来管理网络风险。更高的数字表明,整个经济体的意识和准备程度更高。
老化漏洞:超过一年的漏洞被利用的比例。当攻击者仍然可以使用旧的弱点时,这表明修补习惯不好和补救缓慢。跟踪这个数字有助于决策者了解组织以多快的速度缩小已知的安全差距。
重大事件:报告期内的重大违规或攻击数量。政府需要定义“重要”的含义,无论是经济损失、受影响人数还是关键服务的中断。监控这一点有助于确定违规发生频率和严重程度的趋势。
遏制时间:一旦检测到威胁,隔离的平均时间。遏制意味着一旦检测到威胁就会阻止其传播。更短的遏制时间反映了公共和私营部门的更强的检测、协调和应对能力。
恢复时间:恢复正常操作所需的平均时间。这衡量的是一旦违反行为被遏制,恢复正常需要多长时间。更快的复苏表明了更高的复原力,对经济和社会的整体影响更小。
劳动力差距:未填补的网络安全角色的百分比是治理和响应的障碍。大量空缺限制了一个国家预防、检测和应对网络威胁的能力。
这些指标并不是详尽无遗的。它们的设计足够简单,供决策者解释,同时提供对优势和劣势的全国性看法。
数据差距
目前,没有一个国家以一致的方式收集所有六个数据点。即使在欧盟,根据NIS2和DORA等规则,事件报告是强制性的,要求也不够。在六个拟议的指标中,只有检测被欧盟法规完全涵盖。遏制和恢复被部分跟踪,而保险覆盖率、脆弱性年龄和劳动力空缺没有汇总。
碎片化的收藏也会造成盲点。例如,欧洲各地的多个机构都会收到报告,但它们很少相互共享数据。这使得很难看到整个部门的趋势,也很难将国家的反应与区域的反应保持一致。
欧盟网络事件报告法规中的数据差距。
机构修复
该报告建议建立国家网络统计局,以标准化和集中数据收集。这些局将不断跟踪事件、劳动力能力和复原力措施,以决策者可以采取行动的方式发布调查结果。随着时间的推移,一个国际机构可以汇总这些数据,发布全球警报,并帮助协调跨境标准。
没有这些机构,国家战略将继续依赖不完整的信息。相比之下,一个结构化的局可以制作记分卡,一目了然地显示国家网络健康状况。报告中的一个说明性示例使用颜色编码的指标来跟踪目标的进展情况,就像其他政策领域使用的公共仪表板一样。
原文链接地址:https://www.helpnetsecurity.com/2025/10/09/zurich-governments-cyber-resilience-metrics/
暂无评论内容