Hier is alles wat verkeerd is met kuberveiligheid in die Verenigde Koninkryk vandag
Vir 'n nuttige jaarlikse momentopname van die sekuriteitsposisie van Britse ondernemings, soek nie verder as die regering s'n nie Opname oor kuberveiligheidsoortredings. Dit bied 'n relatief gedetailleerde insig in wat werk en, meer algemeen, wat nie. In die algemeen sê driekwart van ondernemings (wat styg tot 93% van medium en 98% van groot ondernemings) hul direksies beskou kuberveiligheid as 'n "hoë prioriteit". Maar sê is nie doen nie.
Daar is duidelike ruimte vir verbetering oor verskeie gebiede, insluitend insidentreaksie, voorsieningskettingsekuriteit, direksie-aanspreeklikheid en risikobestuur. Miskien die meeste kommerwekkend is die gebrek aan bewustheid van regeringsgeleide veiligheidsraamwerke en -inisiatiewe. Benewens beste praktykstandaarde soos ISO 27001, kan dit baie help om die kuberveerkragtigheid van UK PLC te verbeter.
Ruimte vir verbetering
Die opskrifstatistiek is dat die helfte (50%) van besighede wat reageer, rapporteer dat hulle die afgelope 12 maande een of ander vorm van sekuriteitsbreuk of -aanval ervaar het – wat tot 70% van medium besighede (en 74% van groot besighede) styg. Dit is aansienlik hoër as die onderskeie syfers van 32%, 59% en 69% verlede jaar, maar beteken nie noodwendig meer oortredings nie – dit kan wees dat meer opgespoor word. Trouens, die verslag begin met goeie nuus.
Volgens die studie, wat saamgestel is uit 'n opname van 2,000 44 Britse ondernemings en opvolgonderhoude met XNUMX, word kuberhigiëne beter. Die verslag beklemtoon 'n jaarlikse toename in die aantal besighede wat betrokke is by:
- Bygewerkte wanwarebeskerming (van 76% in 2023 tot 83% in 2024)
- Beperk administrasieregte (67% tot 73%)
- Netwerk firewalls (66% tot 75%)
- Ooreengekome prosesse vir uitvissing-e-posse (48% tot 54%)
Volgens die verslag is dit 'n ommekeer van 'n patroon wat in die vorige drie jaar van die opname gesien is, waar sommige gebiede konsekwente dalings gesien het. Daar is egter steeds kommer oor die volgende:
Risiko bestuur: Minder as 'n derde (31%) van besighede het die afgelope jaar kuberrisikobeoordelings gedoen (wat tot 63% van medium en 72% van groot maatskappye gestyg het). Daarbenewens het slegs 'n derde (33%) sekuriteitsmonitering ontplooi (63%, 71%).
Verskafferrisiko: Slegs 11% van besighede hersien voorsieningskettingrisiko's – styg tot slegs 28% van middelslag en minder as die helfte (48%) van groot besighede.
Direksiebetrokkenheid: Net 30% van die respondente het raadslede wat direk verantwoordelik is vir kuber as deel van hul rol, wat styg tot die helfte (51%) van mediumgrootte firmas en 63% van groot maatskappye. Dit is onveranderd sedert verlede jaar.
Strategie: Net 58% van mediumgrootte ondernemings en 66% van groot besighede het selfs 'n formele kuberveiligheidstrategie in plek.
Voorval reaksie: Slegs 'n vyfde (22%) het insidentreaksieplanne, wat tot 55% en 73% van middel- en groot firmas styg.
Eksterne hulp: Net 41% van die respondente sê hulle soek inligting of leiding oor kuberveiligheid van buite die organisasie, minder as die 2023-syfer (49%). Slegs 13% is bewus van die Nasionale Kuberveiligheidsentrum s'n 10 stappe leiding (37%, 44%) en net 12% het dieselfde oor gesê Cyber Essentials (43%, 59%).
Wat die kenners dink
Marie Wilcox, sekuriteitsevangelis by Panaseer, voer aan dat selfs verbeterings in kuberhigiëne nie die swak sekuriteitsposisie van baie Britse ondernemings kan verbloem nie.
“Organisasies versuim steeds om noodsaaklike veiligheidsbeheermaatreëls in plek te stel. Op sy beste is organisasies steeds onder 2021 se standaarde. Selfs groot ondernemings wat die risiko's verstaan, versuim dikwels om beheermaatreëls behoorlik te implementeer – ten minste 29% het nie kontroles in plek vir pleisterbestuur of beperking van toegang tot toestelle wat deur organisasie besit word nie,” voer sy aan.
“Met aanvallers wat geneig is om die vrugte wat die laagste hang af te pluk, kan 98% van die oortredings voorkom word deur op veiligheidsbeginsels en beter kuberhigiëne te fokus. Om na die middel van die groep te beweeg deur die regte kontroles en beleide in plek te hê, sal help om die oorgrote meerderheid aanvalle af te weer.”
Cylera se hoofsekuriteitstrateeg, Richard Staynings, sonder derdeparty-risikobestuur uit as 'n kritieke mislukking vir baie Britse firmas. Hy voer aan dat verkopers nooit kontrakte vir kritieke infrastruktuursektore soos gesondheidsorg moet wen bloot op grond van die laagste bod nie.
“Die probleem is dat min ondernemings [veiligheidsbeste praktyk] binne hul kontrakte met derde partye afdwing, wat dit 'n voorvereiste maak om te verseker dat hulle beleide en prosedures het wat aan ons eie standaarde voldoen, dat hulle gehalteversekering in plek het, personeelopleiding en toegangsbeheer. opgestel, en dat hulle ISO/IEC 27001-sertifisering verskaf – die wêreld se bekendste standaard vir inligtingsekuriteitbestuurstelsels (ISMS),” voeg hy by.
Socura se uitvoerende hoof, Andy Kays, is veral ontsteld oor die relatief klein deel van besighede wat geformaliseerde voorvalreaksieplanne in plek het - 'n feit wat hy as "verstommend" beskryf.
“Besighede sal altyd 'n plan hê in geval van 'n brand, maar sal nie dieselfde sorg vir 'n data-oortreding toepas nie – wat statisties baie meer waarskynlik is. Dit vlieg in die gesig van gesonde verstand,” gaan hy voort.
“In die geval van 'n oortreding hou besighede nie rekords nie, lig nie die polisie of reguleerders in nie, beoordeel nie die omvang en impak van die voorval nie. Hulle versuim om die minimum te doen. Dit is ook belangrik om daarop te let dat besighede in die eerste plek baie min doen om oortredings te voorkom of op te spoor.”
Bou 'n meer veerkragtige toekoms
Een van die mees teleurstellende bevindinge van die verslag is die gebrek aan bewustheid rondom regeringsekuriteitsinisiatiewe soos die 10 Steps en Cyber Essentials, wat ontwerp is om basislynsekuriteit vir gereelde besighede te verbeter. Dieselfde geld vir wêreldbekende beste praktyk-sekuriteitstandaarde soos ISO 27001, ten spyte van sommige respondente wat dit in positiewe terme beskou. Matt Thomas, hoof van Britse markte by NCC Group, voer aan dat dit op die doenlys vir baie groter organisasies moet wees.
“Terwyl ISO 27001-sertifisering hoofsaaklik die weg baan vir besighede om hul kuberveerkragtigheid te verhoog, strek die voordele baie verder. Vanuit 'n geloofwaardigheidsoogpunt kan dit help met reputasiebeskerming. En as ’n wêreldwye erkende raamwerk kan dit help met oudits en die aanpassing van strategieë, terwyl dit ook verseker dat besighede by wetgewing hou en duur boetes vermy,” sê hy aan ISMS.online.
"As ISO 27001 wyer aangeneem word, kan ons na 'n heel ander prentjie kyk wanneer toekomstige kuberoortredingsopnames vrygestel word. Besighede wat ’n proaktiewe benadering tot hul kuberhigiëne volg, is ongetwyfeld minder geneig om die slagoffer van ’n kuberaanval te word.”
Keith Fenner, hoofbestuurder EMEA en Diligent, kom tot die gevolgtrekking dat EU-wetgewing soos NIS 2 en DORA baie organisasies sal dwing om hul risikobestuur en verslagdoening te verbeter.
"Om voor te berei, benodig organisasies 'n robuuste IT-nakomingsprogram, wat toenemend deur KI en outomatiseringsvermoëns ondersteun word om hulle in staat te stel om kontroles aan veelvuldige regulasies te karteer en kontroles voortdurend te monitor om die waarskynlikheid van data-oortredings te verminder," sê hy aan ISMS.online.
“Hierdie program moet deel wees van 'n geïntegreerde GRC-platform om beide interne en eksterne oudits te fasiliteer, verskeie belanghebbendes van die organisasie toe te laat om te sien en saam te werk, en vaartbelynde verslagdoening tot by die direksie moontlik te maak, sodat kuberrisiko in die organisasie se algehele strategie geïntegreer word. . Laastens behoort die direksie en bestuur opleidingsprogramme en sertifiserings te gebruik – sowel as om hul CISO’s te ontgin – om hul kubergeletterdheid te bou sodat hulle ondernemingwye kuberrisiko’s effektief kan beheer.”
