kuberveiligheidsvooruitgang het onder Britse maatskappye tot stilstand gekom, hier is hoe om dit reg te stel

Vooruitgang met kuberveiligheid het tot stilstand gekom onder Britse maatskappye: Hier is hoe om dit reg te stel

Elke dag lees ons van die skade en vernietiging wat deur kuberaanvalle veroorsaak word. Net hierdie maand, navorsing aan die lig gebring dat die helfte van Britse firmas gedwing is om digitale transformasieprojekte te staak of te ontwrig weens staatsgeborgde dreigemente. In 'n ideale wêreld sal stories soos hierdie deursyfer na senior leierskap, met pogings verdubbel om kuberveiligheidsposisie te verbeter. Tog vertel die jongste bevindings van die regering 'n ander storie.

Ongelukkig het vordering op verskeie fronte gestuit, volgens die jongste Opname oor kuberveiligheidsoortredings. Een van die min positiewe aspekte om van die jaarverslag weg te neem, is 'n groeiende bewustheid van ISO 27001.

Groter firmas in die visier

Gepubliseer sedert 2016, is die regering se studie gebaseer op 'n opname van 2,180 50 Britse ondernemings. Maar daar is 'n wêreld van verskil tussen 'n mikro-onderneming met tot nege werknemers en 'n medium (249-250 personeel) of groot (XNUMX+ werknemers) onderneming.

Daarom kan ons nie te veel in die hoofsyfer lees nie: 'n jaarlikse daling in die aandeel van besighede wat die afgelope jaar 'n kuberaanval of oortreding aangemeld het (van 50% tot 43%). Selfs die regering erken dat die daling heel waarskynlik te wyte is aan minder mikro- en klein besighede wat uitvissing-aanvalle identifiseer. Dit kan eenvoudig wees dat dit moeiliker word om hulle raak te sien, danksy die kwaadwillige gebruik van generatiewe KI (GenAI).

Trouens, die aandeel van medium- (67%) en groot-grootte (74%) besighede wat sekuriteitsvoorvalle aanmeld, bly hoog. En groot (29%) en medium (20%) besighede is ook meer geneig as besighede in die algemeen (16%) om 'n negatiewe uitkoms te ervaar. Dit kan enigiets insluit van verlies van toegang tot lêers en derdepartydienste tot korrupte stelsels, stadiger toepassings en diefstal van persoonlike data en fondse. Boonop sal groot firmas waarskynlik besigheidsontwrigting rapporteer soos:

  • Vereis ekstra personeeltyd om oortredings/aanvalle te hanteer (32% teenoor 17% in die algemeen)
  • Om nuwe veiligheidsmaatreëls in plek te stel (26% vs 18%)
  • Onderbreking van werknemers se daaglikse werk (19% vs 9%)
  • Ontwrigting van diens/goederelewering (8% vs 3%)
  • Ontvang klanteklagtes (6% vs 2%)

Daarbenewens, terwyl 20% van besighede in die algemeen geassesseer word om die slagoffer van ten minste een kubermisdaad in die afgelope 12 maande te gewees het, styg die syfer tot 43% van medium besighede en 52% van groot besighede.

Die Goeie en die Slegte

Die goeie nuus is dat die meeste medium en groot besighede sleutelaksies in elk van die NCSC se beste praktyke geneem het 10-stap gids tot die verbetering van kuberveiligheidsposisie. En die persentasie wat op vyf of meer gebiede opgetree het, het die afgelope jaar gestyg, van 80% tot 82% vir medium en 91% tot 95% vir groter ondernemings. Boonop het ongeveer 95-100% van hierdie organisasies ten minste drie beste praktyk tegniese reëls of kontroles in plek, soos bygewerkte wanwarebeskerming, netwerk-brandmure, beperkte IT-administrasie-/toegangsregte, toestelsekuriteit en VPN's.

Tog verberg dit 'n waarskynlik meer kommerwekkende groter prentjie. Byvoorbeeld:

Personeelopleidingsprogramme was in plek in 54% van medium en 76% van groot besighede – soortgelyk aan verlede jaar se statistieke.

Derdepartyverskaffersrisikobeoordelings is uitgevoer deur slegs 32% van medium en 45% van groot firmas – teenoor 28% en 48% verlede jaar.

Voorvalreaksieplanne was in plek in net 53% van mediumgrootte besighede en 75% van groot besighede (teenoor 55% en 73%).

Daar blyk ook 'n gebrek aan strategiese rigting en aanspreeklikheid van senior leierskap te wees. Slegs 70% van groot ondernemings (vanaf 66%) en 57% van middelslagondernemings (af van 58%) het selfs 'n kuberveiligheidstrategie. In te veel groot maatskappye word kuberveiligheid bestuur deur die IT-direkteur (19%) of 'n IT-bestuurder, tegnikus of administrateur (20%).

"Besighede moet altyd 'n proporsionele reaksie op hul risiko hê; 'n onafhanklike bakker in 'n klein dorpie hoef waarskynlik nie byvoorbeeld gereelde pentoetse uit te voer nie. Hulle moet egter werk om hul risiko te verstaan, en vir 30% van groot maatskappye om nie proaktief te wees om ten minste oor hul risiko te leer nie, is verdoemend," argumenteer Tom Kidwell, medestigter van Ecliptic Dynamics.

"Daar is altyd stappe wat besighede kan neem om die impak van oortredings te verminder en aanvalle in hul kinderskoene te stop. Die eerste hiervan is om jou risiko te verstaan ​​en toepaslike stappe te neem."

Tog het net die helfte (51%) van direksies in middelslag-firmas iemand wat vir kuber verantwoordelik is, wat styg tot 66% vir groter firmas. Hierdie syfers het vir drie jaar feitlik onveranderd gebly. En net 39% van sakeleiers by mediumgrootte firmas kry maandelikse opdaterings oor kuber, wat tot die helfte (55%) van groot firmas styg. Gegewe die spoed en dinamika van vandag se bedreigingslandskap, is daardie syfer te laag.

Waar gaan ons van hier af?

'n Voor die hand liggende manier om kuberveiligheidsvolwassenheid te verbeter, sou wees om voldoening aan beste praktykstandaarde soos ISO 27001 te aanvaar. Op hierdie front is daar gemengde seine uit die verslag. Aan die een kant het dit dit te sê:

"Dit het gelyk of dit 'n groeiende bewustheid was van akkreditasies soos Cyber ​​Essentials en ISO 27001 en in die geheel is hulle positief beskou."

Kliënt- en raadslede-druk en "gemoedsrus vir belanghebbendes" dryf na bewering die vraag na sulke benaderings, terwyl respondente tereg oordeel ISO 27001 as "robuuster" as Cyber ​​Essentials.

Bewustheid van 10 Steps en Cyber ​​Essentials is egter besig om te daal. En baie minder groot besighede soek eksterne leiding oor kuberveiligheid as verlede jaar (51% teenoor 67%).

Ed Russell, CISO besigheidsbestuurder van Google Cloud by Kodea, beweer dat ekonomiese onstabiliteit 'n faktor kan wees.

"In tye van onsekerheid is eksterne dienste dikwels die eerste gebiede wat begrotingsbesnoeiings ondervind - al is die vermindering van besteding aan kuberveiligheidsvoorligting 'n riskante stap," sê hy aan ISMS.online.

Russell voer aan dat standaarde soos ISO 27001 kubervolwassenheid aansienlik verbeter, kuberrisiko verminder en regulatoriese voldoening verbeter.

"Hierdie standaarde help organisasies om sterk sekuriteitsgrondslae vir die bestuur van risiko's te vestig en toepaslike beheermaatreëls te ontplooi om die beskerming van hul waardevolle inligtingsbates te verbeter," voeg hy by.

"ISO 27001 is ontwerp om voortdurende verbetering te ondersteun, om organisasies te help om hul algehele kubersekuriteitsposisie en veerkragtigheid te verbeter namate bedreigings ontwikkel en regulasies verander. Dit beskerm nie net die mees kritieke inligting nie, maar bou ook vertroue met belanghebbendes op - wat 'n mededingende voordeel bied."

Cato Networks se hoofsekuriteitstrateeg, Etay Maor, stem saam, maar waarsku dat voldoening nie noodwendig gelyk is aan sekuriteit nie.

"Hierdie strategiese riglyne moet deel wees van 'n holistiese sekuriteitspraktyk wat meer operasionele en taktiese raamwerke insluit, konstante evaluering om dit te vergelyk met huidige bedreigings en aanvalle, oortredingsreaksie-oefeninge en meer," sê hy aan ISMS.online. "Hulle is 'n goeie plek om te begin, maar organisasies moet verder gaan."

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!