Die NCSC sê “Dis tyd om op te tree”, maar hoe?

Dit is ongewoon om 'n ope brief van 'n sakeleier aan die begin van 'n regering se kuberveiligheidsverslag te sien. Veral iemand wie se maatskappy pas 'n vernederende oortreding beleef het. Maar dit is ongewone tye. En die boodskap is van kritieke belang. Daarom het GCHQ se Nasionale Kuberveiligheidsentrum (NCSC) plek gemaak vir die uitvoerende hoof van die Co-op Groep, Shirine Khoury-Haq, aan die begin van sy ... Jaarlikse oorsig 2025.

Haar boodskap, wat deur die hele dokument herhaal en versterk is, was eenvoudig: voorbereiding is alles. Maar hoe verseker maatskappyleiers dat hulle vandag voldoende kuberveerkragtigheid in hul organisasie inbou, om sake soos gewoonlik te verseker in die geval van 'n oortreding môre?

Nasionaal Beduidende Voorvalle Toename

Die syfers van die afgelope jaar vertel hul eie storie. Die NCSC beweer dat byna die helfte (48%) van die voorvalle waarop hul Voorvalbestuurspan oor die afgelope jaar gereageer het, "nasionaal beduidend" was. Dit kom neer op 204 afsonderlike voorvalle, of vier per week. Sowat 4% (18) word as "hoogs beduidend" gekategoriseer – 'n jaarlikse toename van 50%. Dit is een stap af van die maksimum erns, wat voorvalle aandui wat ernstige ekonomiese/sosiale gevolge of lewensverlies kan hê. Maar dit dui steeds op kuberaanvalle en -oortredings wat 'n ernstige impak op die sentrale regering, noodsaaklike dienste en 'n groot deel van die Britse bevolking of ekonomie kan hê.

Interessant genoeg het 29 voorvalle wat deur die NCSC oor die tydperk bestuur is, voortgespruit uit slegs drie kwesbaarhede: CVE-2025-53770 (Microsoft SharePoint Server), CVE-2025-0282 (Ivanti Connect Secure, Policy Secure & ZTA Gateways) en CVE-2024-47575 (Fortinet FortiManager). Dit beklemtoon onmiddellik 'n paar lae-hangende vrugte vir organisasies wat kies om risiko-gebaseerde regstellingsbestuursprogramme te ontplooi.

Hierdie laehangende vrugte is oral as sakeleiers net gemotiveerd genoeg of bewus was van die behoefte om dit te vind, sê Richard Horne, uitvoerende hoof van NCSC. In sy voorwoord beskryf hy die uitdagings waarmee Britse organisasies te kampe het as groeiend teen "'n orde van grootte". Horne sluit af: "Kuberveiligheid is nou van kritieke belang vir sakelewendheid en sukses. Dit is tyd om op te tree."

'n Brief aan die FTSE 350

Hierdie klem op aksie word ondersteun deur onlangse katastrofiese kuberverwante onderbrekings wat Jaguar Land Rover (JLR), M&S en Co-op-groep geraak het, om maar net drie te noem. Sommige ramings stel die totale verliese wat deur hierdie maatskappye en hul verskaffers ervaar is, op byna £1 miljard. Dit is deel van die rede waarom die verslag sakeleiers direk aanspoor om op te hou om kuber as 'n saak vir die IT-afdeling te behandel, en die kritieke belangrikheid daarvan vir sakegroei en die Britse ekonomie te begin besef.

Dis hoekom dit die Co-op Groep se Khoury-Haq bevat. En hoekom Horne uitroep: “Alle sakeleiers moet verantwoordelikheid neem vir hul organisasie se kuberveerkragtigheid.” Dis ook hoekom die verslag verskeie NCSC-inisiatiewe bevorder soos:

• Die Siberbestuurskode: ontwerp om rade en direkteure te help om digitale risiko's beter te bestuur
• Die opleidingsprogram vir kuberbestuur, wat ooreenstem met die kode se vyf kernbeginsels: risikobestuur, strategie, mense, voorvalbeplanning, reaksie en herstel, en versekering en toesig.
• NCSC-riglyne oor "Betrokkenheid by Rade om die bestuur van kuberveiligheidsrisiko te verbeter", wat KISO's help om meer effektief met hul direksie te kommunikeer.
• Die Kuberveiligheidskultuurbeginsels, wat uiteensit hoe 'n goeie sekuriteitskultuur lyk en hoe om gedrag te verander
• Die Kuberaksie-gereedskapskis, om kuberbewustheid onder kleinsakeleiers te bevorder

Dit is ook hoekom die regering, in wat 'n gekoördineerde stap blyk te gewees het, aan die uitvoerende hoofde van die FTSE 350 geskryf het en hulle gesmeek het om die omvang van die bedreiging te erken.

“Vir te lank was kuberveiligheid 'n bron van kommer vir die middelbestuur en word dit slegs in 'n krisis na die seniors geëskaleer. Dit gaan nie daaroor of jy die slagoffer van 'n kuberaanval sal wees nie, dit gaan daaroor om voorbereid te wees vir wanneer dit wel gebeur,” het die minister van veiligheid gesê Dan Jarvis by die bekendstelling van die oorsig. Dit is veelbetekenend dat hy die mededingende voordeel wou beklemtoon wat beste praktyke in kuberbedryf vir besighede kan bied.

Bou veerkragtigheid

Die goeie nuus is dat hoewel die bedreiging toeneem, die NCSC beweer dat die meeste aktiwiteite wat hulle sien nie radikaal nuut is nie, of dit nou staatsgeborg word of die werk van groepe soos Scattered Spider is. Dit behoort die bereiking van kuberveerkragtigheid effens makliker te maak. Maar wat is daar in die verslag? Afgesien van die lys van NCSC-inisiatiewe soos Active Cyber ​​Defence en Cyber ​​Essentials, beklemtoon die 100-bladsy dokument die idee van "veerkragtigheidsingenieurswese".

Alhoewel dit sy erfenis in veiligheidsingenieurswese het, kan die konsep effektief na die kuber-sfeer oorgeplant word, beweer die NCSC, via inisiatiewe soos:

Infrastruktuur as kode: Dit stel organisasies in staat om stelsels betroubaar te repliseer vir vinnige herstel en betroubare onveranderlike infrastruktuur te ontplooi.

Onveranderlike rugsteun: Maak effektiewe herstel moontlik wanneer daar totale omgewingverlies is (insluitend identiteit, wolkkonfigurasies, hipervisors, ens.).

segmentering: Vir isolasie en inperking om die impak tydens 'n gebeurtenis te minimaliseer, of "om aanhoudend vertrouensgrense te skep".

Minste voorreg: Oor alle dienste heen, om skade te beperk en Zero Trust-benaderings te ondersteun.

Waarneembaarheid en monitering: Om afwykings op te spoor en leer na die voorval te verbeter.

Chaos-ingenieurswese: Die doelbewuste bekendstelling van mislukking om opsporings- en herstelprosesse te valideer/toets.

Veerkragtige bedrywighede: Sluit in die versekering van die beskikbaarheid van krisisreaksie-loopboeke digitaal of fisies op geïsoleerde platforms of harde kopieë.

Kyk na standaarde

Peter Connolly, uitvoerende hoof by Toro-oplossings, voer aan dat beste praktykstandaarde soos ISO 27001 organisasies kan help om hul kuberveerkragtigheid te verbeter.

“Dit bied ’n gestruktureerde raamwerk vir die bestuur van risiko wat verder as IT strek en mense, fisiese sekuriteit en besigheidskontinuïteit insluit,” sê hy vir ISMS.online. “Deur hierdie geïntegreerde benadering te volg, kan organisasies die impak van voorvalle verminder, kritieke bedrywighede handhaaf en aan kliënte, beleggers en vennote demonstreer dat sekuriteit ’n ernstige prioriteit is.”

Connolly voeg by dat organisasies ISO 27001-nakoming moet gebruik om sekuriteit in die daaglikse sakekultuur te integreer.

“Dit beteken om sekuriteitsbeginsels deel te maak van roetinebedrywighede eerder as om dit as 'n aparte taak te behandel,” sluit hy af. “Begin deur eers die mees kritieke risiko's aan te spreek, en verseker dat kuber-, fisiese en mensverwante sekuriteit saam oorweeg word. Hierdie benadering bou ware veerkragtigheid terwyl dit ook internasionaal erkende geloofwaardigheid bied.”

Die woord “veerkragtigheid” word 139 keer in die NCSC-verslag genoem. Dis tyd dat UK PLC dit raaksien.