Kliënte, rade en reguleerders stem almal saam. As dit onmoontlik is om kuberveiligheidsbreuke 100% van die tyd te voorkom, moet die fokus wees op die verbetering van veerkragtigheid sodat organisasies beter toegerus is om dit te weerstaan en daarvan te herstel. Maar om vordering op hierdie gebied te meet, is geen maklike taak nie. Die regering se Opname oor Kubersekuriteitsbreuke is nogal gedetailleerd. Maar van kardinale belang is dat dit nie elke jaar presies dieselfde organisasies ondervra om te kyk hoe hul houding ontwikkel nie.
Dit is waar die regering se Longitudinale opname oor kuberveiligheid kom in. Nou in sy vyfde jaar (of "golf") is dit daarop gemik om te wys hoe organisasies mettertyd verander. Die bevindinge is insiggewend. Hoewel daar beslis 'n paar positiewe punte uit golf vyf is, beklemtoon die verslag 'n geneigdheid tot reaktiewe sekuriteit wat strydig is met beste praktykbenaderings.
Wat gaan reg (en verkeerd)?
Die verslag toon dat die meeste organisasies verlede jaar steeds een of ander vorm van "kubervoorval" ervaar het: 82% teenoor 79% die jaar tevore. Maar aan die positiewe kant doen hulle iets daaromtrent. Trouens:
- Die aandeel van organisasies wat "nakoming" van Cyber Essentials rapporteer, het tussen golf vier en vyf van 23% tot 30% gestyg.
- Die aandeel van besighede met kuberversekeringspolisse het van 29% tot 35% gestyg.
- Die aandeel van besighede wat beweer het dat hulle nie van versekering weet nie, het van 20% tot 13% gedaal.
- Besighede was meer geneig om aan te meld dat hulle in bedreigingsintelligensie belê het (44% teenoor 36%)
- Respondente was meer geneig om 'n kuberveiligheidskwesbaarheidsoudit uit te voer (60% teenoor 56%)
- Meer as een derde van organisasies (37%) het 'n toename in kuberveiligheidsbegrotings gerapporteer.
Daar is egter ook redes tot kommer. Alhoewel die afgelope jaar 'n toename in die nakoming van beste praktykstandaarde en -raamwerke gesien is, voldoen 'n groot deel (37%) van besighede nie aan ISO 27001, Cyber Essentials of Cyber Essentials Plus nie.
Risikobestuur in die voorsieningsketting het ook vir baie 'n blindekol gebly. Slegs 28% van besighede sê hulle het die afgelope 12 maande 'n formele assessering van verskaffers uitgevoer. “Kwalitatief het organisasies oor die algemeen 'n gebrek aan bewustheid gehad oor kuberveiligheidsvoorvalle in hul voorsieningskettings, en erken dat dit waarskynlik sonder hul medewete gebeur,” lui die verslag.
Dit toon ook dat, hoewel 90% van besighede beweer dat hulle kuberrisiko in wyer besigheidsrisiko integreer, “dit nie altyd in effektiewe begrotings of opleiding op direksievlak vertaal nie”.
Die probleem met reaktiewe sekuriteit
Die grootste probleem wat in die verslag uitgelig word, is nie noodwendig dat pogings om veerkragtigheid te verbeter nie deur Britse firmas aangewend word nie, want in baie gevalle word dit wel gedoen. Dit is die manier waarop hierdie beleggings tot stand kom. Die verslagskrywers volg reageerende organisasies oor twee verskillende onderhoudsiklusse ("tydpunt 1" en "tydpunt 2") – tipies oor die verloop van 'n jaar – om longitudinale verandering te meet.
Hulle het bevind dat meer as 'n derde (34%) van organisasies wat 'n voorval met impak en/of uitkoms op tydstip 1 ervaar het, daarna 'n voorval sonder impak en/of uitkoms op tydstip 2 ervaar het. Dit dui daarop dat die organisasie óf reaktief veerkragtigheid verbeter het, óf die tweede voorval nie so indringend was nie.
Daar is meer. Organisasies wat nie 'n voorval in tydstip 1 ervaar het nie, het blykbaar geen proaktiewe veranderinge aangebring om sekuriteitsposisie te verbeter nie, wat moontlik daarop dui dat hulle wag vir iets om positiewe verandering te veroorsaak. Aan die ander kant, as 'n organisasie wel 'n voorval ervaar het, was hulle meer geneig om positiewe veranderinge oor agt veranderlikes te implementeer, insluitend voorvalreaksie, risikobestuur in die voorsieningsketting en direksiebetrokkenheid.
“Die onvoorspelbaarheid van kubervoorvalle as ’n katalisator vir verandering is ’n bron van kommer,” waarsku die verslagskrywers.
Ander voorbeelde van reaktiewe sekuriteitshouding sluit die volgende bevindinge in:
- Organisasies is meer geneig om ISO 27001/Cyber Essentials-akkreditasie op tydstip 2 te verkry as hulle 'n voorval met 'n impak en/of uitkoms op tydstip 1 ervaar het.
- Reputasierisiko's is "gereeld aangehaal" deur respondente as 'n motivering vir verandering, veral vir kuberveiligheidspanne en senior leierskap.
- “Eksterne invloede” was 'n sleutelfaktor in die skep van momentum vir verandering, soos die ransomware-aanvalle op hoofstraatkleinhandelaars verlede jaar. “Deelnemers het genoem dat hierdie openbare voorvalle hulle aangespoor het om ekstra kontroles te doen of befondsing toegelaat het as gevolg van die realiteit van potensiële impak vir hul eie organisasie,” lui die verslag.
Hindernisse tot sukses
“Reaktiewe sekuriteit sal organisasies altyd een stap agterlaat. Teen die tyd dat 'n waarskuwing geaktiveer word, het die aanvaller reeds in een of ander vorm geslaag,” sê Michael Downs, vise-president van SecureEnvoy, aan IO (voorheen ISMS.online). “Om proaktief veerkragtigheid te bou, veral op die identiteitslaag, is nie meer opsioneel nie; dit is die enigste manier om risiko te verminder voordat dit realiseer.”
As proaktiewe sekuriteit egter so maklik was, sou almal dit doen. Andy Ward, SVP internasionaal by Absolute Security, wys op verskeie belangrike struikelblokke.
“Een uitdaging is om die ondersteuning van die direksie en kuberleierskap te verkry om veerkragtigheid tot die hoogste vlakke van bestuur te verhoog, met duidelike strategieë vir volledige operasionele herstel na 'n ontwrigting. Sonder hierdie betrokkenheid kan proaktiewe maatreëls vertraag of inkonsekwent toegepas word,” sê hy vir IO.
“Nog 'n belangrike hindernis is die vinnige toename in toestelle en sagtewaretoepassings, wat IT-stelsels meer kompleks en moeiliker maak om te bestuur. Hierdie verspreiding maak dit moeilik om stelsels op datum te hou en proaktiewe kuberveerkragtigheidsmaatreëls oor alle eindpunte te implementeer.”
Ward wys ook op befondsing en toegang tot talent as faktore wat besighede in hierdie pogings terughou – veral kleiner firmas. “Baie kleiner besighede glo ook verkeerdelik dat hulle te klein is om kubermisdadigers te lok, of dat die berging van data in die wolk hulle outomaties beskerm,” voeg hy by.
Die Reis na Proaktiewe Sekuriteit
Tog, met die regte benadering, behoort hierdie hindernisse nie onoorkomelik te wees nie, redeneer James Mackay, uitvoerende hoof van MetaCompliance.
"Om meer proaktief te word, begin deur die doelwit van sekuriteitsbewustheid te herformuleer van die lewering van opleiding na die bestuur van menslike risiko,” sê hy vir IO. “Met verloop van tyd bou hierdie benadering 'n gedragsgebaseerde sekuriteitskultuur. Werknemers ervaar sekuriteit nie as 'n af en toe klaskameroefening nie, maar as deel van hul daaglikse werk.”
Beste praktykstandaarde soos ISO 27001 kan "kragtige moontlikmakers" van hierdie herformulering wees solank hulle nie as 'n kontrolelys beskou word nie, voeg Mackay by.
“ISO 27001 verwag dat jy jou inligtingsekuriteitsrisiko's verstaan, toepaslike beheermaatreëls implementeer en seker maak dat mense bevoeg en bewus is van hul sekuriteitsverantwoordelikhede,” gaan hy voort. “Hulle lê die grondslag vir hoe sekuriteit regoor 'n organisasie bestuur moet word.”
Indien meer organisasies hierdie soort gestruktureerde benadering volg, kan volgende jaar se longitudinale opname meer gerusstellende leesstof wees.
Brei jou kennis uit
Blog: Die Veerkragtigheidsfaktor: Die afbreek van die BridgePay-losware-aanval
