Hoeveel kos kubermisdaad werklik Britse ondernemings?
INHOUDSOPGAWE:
Kubermisdaad hou 'n voortdurende bedreiging vir Britse ondernemings in. Met baie organisasies wat op 'n digitale voorsieningsketting staatmaak en wolkgebaseerde platforms gebruik om hul data te stoor, groei geleenthede vir bedreigingsakteurs om kwesbaarhede uit te buit, en besighede sukkel om tred te hou.
Trouens, 100% van ons globale Staat van inligtingsekuriteitsverslag respondente – meer as 1,500 12 inligtingsekuriteitskundiges – sê hul organisasie het die afgelope 99 maande 'n kuberveiligheids- of inligtingsekuriteitvoorval ervaar. Bo en behalwe enige potensiële finansiële verliese van hierdie voorvalle, het XNUMX% van die Britse respondente regulatoriese boetes ontvang vir 'n data-oortreding of 'n oortreding van databeskermingsreëls.
Deur gebruik te maak van data wat aan Action Fraud en uit ons Staat van Inligtingsekuriteitsverslag gerapporteer is, kyk Christie Rae na die finansiële impak van kubermisdaad op Britse* ondernemings en hoe organisasies hul inligtingsekuriteitsverdediging kan verbeter.
Die top vyf kubermisdade wat Britse ondernemings raak
Action Fraud lys verskeie verskillende misdade in die kuberafhanklike misdaadkategorie. Hierdie is:
- NFIB50A – Rekenaarvirus/Wadware/Spioenware
- NFIB51A – Ontkenning van diens aanval
- NFIB51B – Diensweieringaanval – Afpersing
- NFIB52A – Hacking – Bediener
- NFIB52B – Hacking – Persoonlik
- NFIB52C – Hacking – Sosiale media en e-pos
- NFIB52D – Hacking – PBX/Bel deur
- NFIB52E – Hacking – Afpersing.
Hieronder is die top vyf kubermisdade wat Britse organisasies raak.
| Tipe bedrog (Top 5) | Verslag Volume | Finansiële verlies | Gemiddelde verlies per verslag** |
| NFIB50A – Rekenaarvirus \ Malware \ Spyware | 274 | £908,196 | £3,315 |
| NFIB52C – Hacking – Sosiale media en e-pos | 1,944 | £783,704 | £403 |
| NFIB52E – Hacking Afpersing | 411 | £401,923 | £978 |
| NFIB52B – Hacking – Persoonlik | 199 | £98,565 | £495 |
| NFIB52A – Hacking – Bediener | 398 | £0 | £0 |
| Totaal | 3,226 | £2,192,388 | £680 |
1. NFIB50A – Rekenaarvirus / wanware / spioenware
Nasionale Bedrog-intelligensieburo (NFIB) misdaadbeskrywing[1]: Misdade moet onder hierdie afdeling aangeteken word tot op die punt waar die oortreder dan die wanware gebruik. Wanneer die oortreder die wanware gebruik, word dit 'n doelbewuste teiken van daardie rekenaar.
Waar wanware gebruik word om besonderhede te bekom om bedrog of ander rekenaarmisbruikmisdrywe te pleeg, is die bedrog- of rekenaarmisbruikmisdrywe die hoofmisdaad en moet dit aangeteken word. Die wanware is gebruik om 'n ander oortreding moontlik te maak om gepleeg te word en geen oortreding moet onder hierdie afdeling aangeteken word as dit terselfdertyd aangemeld word nie.
Voorbeeld: Mnr A rapporteer aan Action Fraud dat hy op 'n skakel geklik het wat 'n program afgelaai het. Hy het 'n anti-spyware-program bestuur en is meegedeel dat die program 'n keylogger-program is en suksesvol verwyder is. Een misdaad van ongemagtigde wysiging van rekenaarmateriaal (klas NFIB50A). 'n Week later kontak hy Action Fraud om te rapporteer dat daar vandag onwettig toegang tot sy aanlyn bankrekening verkry is en £2000 is daaruit gesteel deur 'n staande bevel te verander om sy verband te betaal. Een bykomende misdaad van Mandaatbedrog (NFIB5D) moet aangeteken word.
Totale verslagvolume: 274
Totale finansiële verlies: £908,196
Gemiddelde verlies per verslag: £3,315
Tussen Januarie 2023 en Junie 2024 het Britse ondernemings meer as £900,000 274 verloor weens rekenaarvirusse, wanware of spioenware in slegs 3,300 verslae – wat beteken dat 'n enkele wanware-voorval besighede gemiddeld meer as £35 12 kos. Wanware was die kuberveiligheidsvoorval wat die meeste gerapporteer is in ons Staat van Inligtingsveiligheidverslag, met meer as 'n derde (XNUMX%) van organisasies wat 'n wanware-voorval in die afgelope XNUMX maande ervaar het.
2. NFIB52C – Hacking – Sosiale media en e-pos
NFIB misdaadbeskrywing: Hierdie misdaad sluit alle vorme van individuele e-posrekeninge en alle vorme van individuele sosiale media in, byvoorbeeld X en Facebook. Dit sluit persoonlike rekeninge sowel as maatskappye of organisasies se individuele rekeninge in. Hierdie bedrog moet nie beskou word as beperk tot rekenaar- of skootrekenaars nie. Dit kan enige toestel insluit wat bedryfsagteware gebruik wat aanlyn toeganklik is, byvoorbeeld speletjiekonsoles en slimfone.
Totale verslagvolume: 1,944
Totale finansiële verlies: £783,704
Gemiddelde verlies per verslag: £403
Sosiale media en e-pos inbraak het besighede meer as £780,000 18 in die afgelope 32 maande gekos. Ons Staat van Inligtingsekuriteitsverslag het bevind dat sosiale ingenieurswese die tweede mees algemene kuberveiligheidsvoorval was, wat deur XNUMX% van die respondente ervaar is.
3. NFIB52E – Hacking – Afpersing
NFIB misdaadbeskrywing: Dit vind plaas waar daar 'n ongeregverdigde aanvraag is met bedreigings (afpersing) verbonde aan enige rekenaarkrakery of dreigement van rekenaarkrakery. Die afpersing kan verband hou met enige NFIB-klas onder NFIB52 Computer Hacking.
Voorbeeld: ABC Bpk rapporteer dat hulle 'n eis ontvang het dat £100,000 52 betaal moet word, anders sal 'n kopie van die kode vir hul nuwe rekenaarspeletjie op die wêreldwye web geplaas word. Hulle is uiters bekommerd, want verlede week het hulle 'n geheuestokkie ontvang met 'n deel van die kode van hul bediener daarop gekopieer. Een misdaadrekenaar Inbraak (afpersing) (klas NFIBXNUMXE).
Totale verslagvolume: 411
Totale finansiële verlies: £401,923
Gemiddelde verlies per verslag: £978
Ons verslag het bevind dat in die afgelope 12 maande, 29% van organisasies – byna een uit drie – 'n losprysware-aanval ervaar het. Afpersingsake het meer as £400,000 se verliese deur Britse ondernemings in die afgelope 12 maande veroorsaak, met £180,000 van hierdie verliese wat in 2024 gemaak is ondanks aansienlik minder verslae.
4. NFIB52B – Hacking – Persoonlik
NFIB misdaadbeskrywing: Ongemagtigde toegang tot rekenaarmateriaal met die doel om verdere oortredings te pleeg of te fasiliteer. Waar die optrede van die kuberkraker slegs voorbereidend is en geen substantiewe oortreding onder enige ander bedrogmisdryf gepleeg is nie, moet 'n oortreding onder hierdie afdeling aangeteken word.
Verslagvolume: 199
Finansiële verlies: £98,565
Gemiddelde verlies per verslag: £495
Organisasies het byna £100,000 35 verloor weens die inbraak van persoonlike toestelle, soos 'n skootrekenaar of selfoon. Robuuste werktoestelsekuriteitsmaatreëls en werknemersopleiding en -bewustheid is die sleutel om hierdie tipe aanval te bekamp. XNUMX% van organisasies het gesê dat hul werknemers persoonlike toestelle vir werkdoeleindes gebruik het sonder behoorlike sekuriteitsmaatreëls in ons verslag, wat dit die grootste kuberveiligheidsfout maak wat deur werknemers gemaak is.
5. NFIB52A Hacking – Bediener
NFIB misdaadbeskrywing: Vir misdade om onder hierdie afdeling aangeteken te word, moet die lêers of dienste wat gewysig is op die bediener wees en nie op 'n rekenaar se plaaslike hardeskyf nie.
Voorbeeld: 'n Werknemer laat sy rekenaar aangeteken wanneer hy die kantoor verlaat. 'n Kollega kry dan toegang tot sy diensrekords wat op die bediener gehou word en wysig sommige van die besonderhede wat op sy lêer aangeteken is, deur die aangemelde rekenaar te gebruik. Een misdaad van Hacking-Server (klas NFIB52A).
Totale verslagvolume: 398
Finansiële verlies: £0
Gemiddelde verlies per verslag: £0
Organisasies het die afgelope 18 maande geen finansiële verliese aan bedienerinbraakmisdade gemaak nie. Dit is egter waarskynlik te wyte aan die NFIB-misdaadregistrasiereëls, wat bepaal dat "waar die ongemagtigde toegang die pleging van 'n ander bedrogmisdryf direk moontlik gemaak het, die hoofmisdaad die ander bedrogmisdryf sal wees."
Totale besigheids finansiële verliese aan kuberafhanklike misdade
Tussen Januarie 2023 en Junie 2024 het besighede byna 3,500 2,234,788 kubermisdade met finansiële verliese van £2,377 1,367,477 12 aan Action Fraud aangemeld. XNUMX van die verslae en £XNUMX van verliese is in die afgelope XNUMX maande gemaak.
Januarie 2023 het die hoogste finansiële verliese gehad, met 179 verslae, £580,734 finansiële verliese en £3,244 beraamde gemiddelde verlies per verslag. Junie 2023 het die laagste finansiële verliese gehad, met 191 verslae maar geen finansiële verliese nie.
| Maand | Verslag Volume | Finansiële verlies | Gemiddelde verlies per verslag |
| Jan-23 | 179 | £580,734 | £3,244 |
| Februarie-23 | 194 | £196,743 | £1,014 |
| Mar-23 | 216 | £40,862 | £189 |
| Apr-23 | 176 | £30,067 | £170 |
| Mei-23 | 166 | £18,905 | £113 |
| Junie-23 | 191 | £0 | £0 |
| Julie-23 | 196 | £95,963 | £489 |
| Augustus-23 | 208 | £160,237 | £770 |
| September-23 | 215 | £254,252 | £1,182 |
| Oct-23 | 214 | £2,956 | £13 |
| November-23 | 222 | £74,249 | £334 |
| Desember-23 | 177 | £114,920 | £649 |
| Jan-24 | 196 | £423,500 | £2,160 |
| Februarie-24 | 200 | £89,000 | £445 |
| Mar-24 | 191 | £2,200 | £11 |
| Apr-24 | 179 | £24,000 | £134 |
| Mei-24 | 173 | £120,400 | £695 |
| Junie-24 | 206 | £5,800 | £28 |
| Totaal | 3,499 | £2,234,788 | £638 |
Die tabel hieronder toon die totale aantal kuberafhanklike misdaadverslae en finansiële verliese wat deur besighede en individue aangemeld is tussen Januarie 2023 en Junie 2024. Net 5.7% van aangemelde kuberafhanklike misdade is deur besighede aangemeld, maar dit het 30% van die totale finansiële verliese.
| Totale kuberafhanklike misdade Januarie 2023-Junie 2024 | ||
| datum | Verslag Volume | Finansiële verlies |
| Jan-23 | 2,176 | £670,752 |
| Februarie-23 | 1,972 | £442,071 |
| Mar-23 | 2,517 | £659,304 |
| Apr-23 | 2,267 | £253,575 |
| Mei-23 | 2,965 | £547,045 |
| Junie-23 | 2,874 | £310,386 |
| Julie-23 | 3,952 | £718,226 |
| Augustus-23 | 3,313 | £332,210 |
| September-23 | 3,224 | £500,528 |
| Oct-23 | 3,670 | £363,292 |
| November-23 | 3,957 | £264,566 |
| Desember-23 | 3,439 | £490,098 |
| Jan-24 | 4,028 | £890,500 |
| Februarie-24 | 3,777 | £215,300 |
| Mar-24 | 4,101 | £242,700 |
| Apr-24 | 3,849 | £187,100 |
| Mei-24 | 4,461 | £257,600 |
| Junie-24 | 4,436 | £219,400 |
| Totaal | 60,978 | £7,564,652 |
Hoeveel verloor die gemiddelde Britse onderneming per jaar?
Ons staat van inligtingsekuriteitsverslag het bevind dat 99% van Britse besighede boetes ontvang het vir 'n data-oortreding of oortreding van databeskermingsreëls in die afgelope 12 maande. Respondente het die totale bedrag in boetes wat hul organisasies ontvang het onthul:
| Boete bedrag | Respondent telling |
| Tot £ 50,000 | 36 |
| £ 50,001- 100,000 £ | 101 |
| £ 101,000- 250,000 £ | 177 |
| £ 250,001- 500,000 £ | 133 |
| £ 500,001- 1,000,000 £ | 51 |
| Meer as £1,000,000 XNUMX XNUMX, spesifiseer asseblief | 0 |
| Ons het in die afgelope 12 maande geen boete ontvang vir data-oortreding of oortreding van databeskermingsreëls nie | 4 |
Die gemiddelde totale boete wat besighede ontvang het, is £366,475***, terwyl die gemiddelde finansiële verlies van 'n enkele kuberafhanklike misdaadverslag deur organisasies aan Action Fraud in dieselfde tydperk (April 2023-Maart 2024) £538.37 was. Organisasies kon soveel as £367,013 XNUMX verloor het van 'n enkele voorval.
Voorkom kuberaanvalle met ISO 27001
Die top kuberafhanklike misdade wat by Action Fraud aangemeld is, toon dat die benutting van menslike foute 'n sleutelteiken vir bedreigingsrolspelers is. In reaksie hierop fokus organisasies op werknemersinligtingsekuriteitsopvoeding. Bykans die helfte (45%) van die respondente in ons Staat van Inligtingsekuriteitsverslag sê dat hul organisasie 'n groter fokus op werknemersopvoeding en -bewustheid aangeneem het, en 35% sê dat leerbestuurplatforms as die doeltreffendste metode bewys is.
Sertifisering volgens inligtingsekuriteitstandaarde soos ISO 27001 help besighede om 'n deeglike benadering te volg om hul sekuriteitsverdediging te versterk, wat die risiko van kubervoorvalle verminder. Om ISO 27001-sertifisering te behaal, moet besighede 'n ISO 27001-voldoenende inligtingsekuriteitbestuurstelsel (ISMS) bou, in stand hou en voortdurend verbeter en 'n eksterne oudit suksesvol voltooi.
Risikobestuur
Deurlopende inligtingsekuriteitsrisikobestuur is 'n vereiste van die ISO 27001-standaardklousule 6.1, aksies om risiko's en geleenthede aan te spreek. Jou organisasie moet die risiko's wat met elke inligtingsbate geassosieer word binne die bestek van jou ISMS identifiseer, en die toepaslike risikobehandeling vir elke risiko kies – behandel, oordra, verdra of beëindig.
ISO 27001 Bylae A gee 'n uiteensetting van die 93 beheermaatreëls wat jou organisasie moet oorweeg wanneer hulle risikobestuur onderneem, en regverdiging moet gegee word vir die besluit om 'n beheermaatreël toe te pas of nie toe te pas in jou Verklaring van Toepaslikheid (SoA). Hierdie deeglike benadering tot risikobestuur en -behandeling stel jou organisasie in staat om risiko's regdeur hul lewensiklus te identifiseer, te behandel en te versag, wat die waarskynlikheid van 'n voorval verminder en die impak verminder sou 'n voorval plaasvind.
Deurlopende verbetering
Die ISO 27001-standaard bevorder deurlopende verbetering in inligtingsekuriteit, insluitend deurlopende organisasiewye inligtingsekuriteitbewustheid. Bewustheid speel 'n sleutelrol in die voldoening aan ISO 27001; Bylae A.6.3 inligtingsekuriteit en privaatheidsbewustheid, onderwys en opleiding is een van die standaard se 93 kontroles. Die beheer verseker werknemers bewustheid en nakoming van hul inligtingsekuriteitsverantwoordelikhede.
Neem standpunt in teen duur kubermisdaad
Die statistieke van Action Fraud en ISMS.online se State of Information Security Report onthul dat kubermisdaad 'n voortdurende en groeiende uitdaging vir Britse besighede bied. Verslae van kuberafhanklike misdade neem jaar na jaar toe en organisasies wat die slagoffer van data-oortredings word of versuim om aan regulatoriese vereistes te voldoen, staar aansienlike boetes in die gesig.
Dit is nou die tyd vir besighede om hul inligtingsekuriteitspogings 'n hupstoot te gee.
Die verbetering van die bewustheid van personeel en belanghebbendes is noodsaaklik om die risiko van voorvalle wat deur menslike foute veroorsaak word, te verminder. Die bou van 'n robuuste ISMS wat ooreenstem met ISO 27001-vereistes sal bykomende lae van verdediging byvoeg. ISO 27001-sertifisering verhoog organisatoriese veerkragtigheid en bied 'n mededingende voordeel bo besighede wat minder fokus op hul sekuriteitsposisie.
-
Gegee bronne:
- ISMS.online State of Information Security 2024-data, navorsing uitgevoer deur onafhanklike marknavorsingsfirma Censuswide.
- 2023-aksiebedrogdata van Vryheid van Inligting-versoek FOI2024/00990, City of London Police, ontvang 25/7/2024.
- 2024-aksiebedrogdata vanaf Nasionale Bedrogintelligensieburo-kontroleskerm, ingesamel 25/7/24.
*Hierdie data sluit nie inligting van Polisie Skotland in nie, wat verantwoordelik is vir die insameling en afdwinging van bedrieglike aktiwiteite wat Skotse slagoffers raak. Die data wat deur Action Fraud verskaf word, het betrekking op bedrieglike aktiwiteite in Engeland, Wallis, Noord-Ierland en bedrieglike aktiwiteite wat direk aan Action Fraud deur Skotse organisasies en individue aangemeld is.
**Gemiddelde verlies per verslag bereken deur finansiële verlies deur verslagvolume te deel
***Gemiddelde boete bereken deur gemiddelde boete deur respondenttelling te deel
[1] https://assets.publishing.service.gov.uk/media/645b7b87479612000fc29318/nfib-fraud-april-2023.pdf
