Kuberveerkragtigheid het na vore gekom as een van die belangrikste fokusareas vir die kuberbedryf van die afgelope paar jaar. Selfs die regering het dit in 'n kritieke stuk hangende wetgewing aangehaal. Maar om dit te bereik, blyk ietwat moeilik te wees vir die VK se ses miljoen besighede. As die jongste Whitehall-navorsing enigiets is om te vergelyk, bly die afstand tussen die bedryf se ambisies vir veerkragtigheid en wat organisasies werklik bereik aansienlik.
Hierdie jaar se Opname oor kuberveiligheidsoortredings is uit. En dit bewys weereens dat die land se besighede water trap wat hul kuberveerkragtigheidspogings betref. Slegs die helfte (57%) van middelgrote firmas en driekwart (74%) van groot besighede het selfs 'n sekuriteitstrategie in plek – feitlik onveranderd van verlede jaar. Daar is nog baie werk om te doen.
Die Reis na Veerkragtigheid
Veerkragtigheid gaan oor die hersiening van kuberveiligheid teen die agtergrond van 'n wisselvallige bedreigingslandskap, toenemende regulatoriese ondersoek en onversadigbare aanvraag in direksiekamers vir digitale belegging. In 'n wêreld waar die kubermisdaad-ekonomie ... triljoene werd, die Nasionale Sentrum vir Kuberveiligheid (NCSC) is die hantering van vier "nasionaal beduidende" aanvalle per week, en miljarde gekompromitteer geloofsbriewe sirkuleer, sekuriteitspanne moet aanvaar dat geen organisasie 100% bestand is teen inbreuke nie.
In hierdie konteks verskuif die fokus verder as voorkoming na die vermoë om voor te berei, te reageer, te herstel en te leer uit enige aanvalle wat wel deursluip. Dit is belangriker as ooit tevore namate aanvalsoppervlaktes uitbrei met 'n ontploffing van IoT-toestelle, KI-agente, kletsbotte en LLM's – waarvan baie sonder die medewete van IT gebruik word. Die IO (voorheen ISMS.online) Stand van inligtingsekuriteitsverslag 2025 toon dat 'n derde (34%) van die respondente bekommerd is oor skadu-KI oor die komende jaar, een van die gewildste antwoorde.
Wat die regering gevind het
Ware veerkragtigheid vereis gelaagde verdediging. Ongelukkig toon die regering se jongste oortredingsverslag dat baie organisasies nie die basiese beginsels in plek stel nie. Hier is 'n paar van die hoofbevindinge:
Personeelopleiding en -bewustheid die verhoging vanAlhoewel die aandeel respondente wat aan hierdie aktiwiteite deelneem, vir die grootste firmas toegeneem het (van 76% verlede jaar tot 84% vanjaar), het dit oor die algemeen vasgesteek op 'n teleurstellende 19%.
Risikobeoordelings: 'n Baie klein jaarlikse toename in die aantal respondente wat kuberveiligheidsrisikobepalings uitvoer, onder middelgroot (57% tot 62%) en groot (70% tot 72%) besighede. Die algehele syfer het egter feitlik onveranderd gebly op 30%.
Voorsieningskettingrisikobestuur: Minder as 'n derde (30%) van mediumgrootte firmas en die helfte (48%) van groot besighede hersien die kuberrisiko's wat deur onmiddellike verskaffers inhou. Dit is byna onveranderd van verlede jaar se onderskeidelik 32% en 45%. Vir die breër voorsieningsketting was die syfers selfs laer: 13% en 24% teenoor 15% en 25%. Oor die algemeen het slegs 15% van besighede hul onmiddellike verskaffers hersien en 6% die breër voorsieningsketting – ongeveer dieselfde as verlede jaar (14% en 7%).
versekering: Die helfte (47%) van besighede sê hulle is verseker teen kuberrisiko, wat styg vir mediumgrootte firmas (61%). Dit is breedweg in lyn met verlede jaar (45% en 65%). Meer kommerwekkend is egter dat slegs 10% sê hulle het 'n spesifieke kuberversekeringspolis in plek, en meer as 'n vyfde (22%) weet glad nie. Beide statistieke was soortgelyk aan verlede jaar (7% en 20%).
Die raad: Kubersekuriteit word deur 72% van die respondente as 'n "hoë prioriteit" vir senior bestuur beskou. Maar is dit regtig? Verantwoordelikheid daarvoor op direksievlak het net effens toegeneem, van 27% tot 31%.
Voorval reaksie: Die aandeel respondente met 'n formele IR-plan was feitlik onveranderd (25%), asook die syfers vir medium (53% tot 57%) en groot (75% tot 76%) besighede.
Bewustheid van regeringsinisiatiewe: Meer respondente as verlede jaar sê hulle het al gehoor van regeringskemas soos Cyber Aware (24% tot 30%), die 10-stappe-riglyne (12% tot 17%) en Cyber Essentials (12% tot 17%). Maar hierdie syfers, en dié vir die nuwer Sagtewaresekuriteitskode (22%) en die Siberbestuurskode (16%), is steeds heeltemal te laag.
Boonop het die aandeel respondente wat Cyber Essentials besit, slegs effens toegeneem, van 3% tot 5% oor die algemeen, en van 21% tot 35% vir groot besighede.
KI: Ongeveer 'n vyfde (21%) van die respondente sê hulle het KI-instrumente in die organisasie aangeneem. Tog beweer byna die helfte (45%) dat KI nie relevant is vir hul organisasie nie.
Verder as die Sekuriteit van Merkblokkies
Merlin Gillespie, hooftegnologiebeampte van Cybanetix, sê vir IO dat die verslag weereens twee realiteite illustreer: groter firmas is breedweg bekwaam terwyl hul kleiner eweknieë blootgestel is.
“Die standaardvoorskrif is goed geoefen. Neem 'n aanvaar-oortreding-houding aan, skryf 'n getoetste voorvalreaksieplan met duidelike eskalasiepaaie, ontplooi 'n klomp sekuriteitskontroles, MDR, identiteitsbestuur, verifikasieversterking, en begin formeel jou voorsieningsketting hersien,” verduidelik hy.
“Al hierdie is die regte antwoord vir besighede met 'n formele sekuriteitsfunksie en hulpbronne wat in staat is om dit uit te voer. Die probleem is dat hierdie voorskrif 'n kapasiteit veronderstel wat die meeste Britse besighede nie het nie.”
Richard Groome, OT-kubersekuriteitspesialis by e2e-assure, is bekommerd oor swak voorvalreaksievermoë. “Die meeste besighede kan intern eskaleer, maar slegs 'n derde het duidelike eksterne rapporteringsprosesse. Dis nie veerkragtigheid nie, dis reaksie,” sê hy vir IO.
“Besighede moet verder as net blokkie-sekuriteit beweeg en fokus op waarneembaarheid en operasionele veerkragtigheid. Dit vereis deurlopende monitering, vinniger opsporing en voorvalreaksie wat eintlik getoets is, nie net gedokumenteer nie. Met 24-uur-rapporteringsvereistes wat inkom, kan jy nie reageer op 'n voorval wat jy nie opgespoor het nie. Sigbaarheid en spoed is van kritieke belang.”
Dan Lattimer, EMEA-visepresident by Semperis, voeg by dat identiteit deel moet wees van enige voorvalreaksieplan. “Belegging in identiteitsmonitering en -herstel, tesame met voorkoming, is noodsaaklik om stilstandtyd, herhaalde voorvalle en langtermyn-besigheidskade te verminder,” sê hy. “Insidentreaksie sonder identiteitsherstel is onvolledige reaksie.”
Formalisering van beste praktyke
Ten spyte van lae bewustheid en opname van beste praktykstandaarde en -raamwerke, kan dit 'n nuttige bondgenoot wees in die poging om kuberveerkragtigheid te verbeter, volgens ander kenners met wie IO gepraat het. Graeme Stewart, hoof van die openbare sektor, UK&I, by Check Point, beskryf die verslag se bevindinge as 'n "wekroep" vir organisasies van alle groottes.
“Die magiese driehoek van mense, prosesse en tegnologie benodig almal aandag. Personeel moet ingelig en bewus wees. Prosesse moet robuust wees, beide voorkoming en reaksie na die voorval, en tegnologie moet behoorlik opgedateer, korrek gebruik en op datum gehou word,” sê hy vir IO.
“Raamwerke soos Cyber Essentials, ISO 27001, en NIST-riglyne bied noodsaaklike beskermingsmaatreëls, veral vir kleiner organisasies wie se leierskap nie kuberkundiges is nie. Hierdie raamwerke gee besighede 'n gestruktureerde pad vorentoe, en dit is werklik positiewe vordering.”
Huntress vCISO Muhammad Yahya Patel stem saam. “Raamwerke soos Cyber Essentials en ISO-standaarde is waardevol omdat hulle 'n konsekwente, beheerde benadering tot die bestuur van beheermaatreëls, risiko's en beleide bied,” sê hy vir IO. “Cyber Essentials fokus veral sterk op fundamentele higiënebeheermaatreëls en die werklikheid is dat baie van die aanvalle wat ons vandag sien, juis slaag omdat daardie basiese beheermaatreëls nie in plek is nie.”
In ons verslag oor verlede jaar se opname Ons het ook opgemerk hoe veerkragtigheidspogings by UK PLC vasgeval het. Hopelik sal ons nie volgende jaar weer dieselfde ding sê nie.
Brei jou kennis uit
gids: Die stand van inligtingsekuriteitsverslag 2025
Blog: Die veerkragtigheidskloof oorbrug: Waar die regering sê dat die Britse PLC steeds misluk
