Die Verkiesingskommissie en die polisiemag se data-oortredings beklemtoon groot veiligheidsgate in Brittanje se openbare sektor – hoe los ons dit op?
INHOUDSOPGAWE:
Ernstige data-oortredings by die Verkiesingskommissie en verskeie Britse polisiemagte het beklemtoon dat organisasies in die openbare sektor nie immuun is teen die bedreiging wat kubermisdadigers inhou nie.
In Augustus het die Verkiesingskommissie bevestig dit was die slagoffer van "'n komplekse kuberaanval" wat die persoonlike inligting van 40 miljoen Britse burgers in die gedrang gebring het. Die oortreding, wat die eerste keer in Augustus 2021 plaasgevind het, het tot Oktober 2023 onontdekt gebly en het gesien hoe kuberkrakers die kiesregisterverwysingsafskrifte ophaal. Dit het beteken dat hulle toegang gehad het tot die name en adresse van miljoene Britse kiesers.
Die Kommissie het erken dat "voldoende beskerming nie in plek was om hierdie kuberaanval te voorkom nie", en dit is nou oënskynlike dat die regeringsagentskap 'n Cyber Essentials-toets gedruip het wat ontwerp is om organisasies se kuberverdediging te verbeter voordat die aanval plaasvind. In die lig van die erns van die aanval in Augustus 2021, beweer die organisasie dat hulle begin het om die sekuriteit, veerkragtigheid en betroubaarheid van sy IT-stelsels te verbeter.
Elders in die Britse openbare sektor het verskeie Britse polisiemagte onlangs beduidende data-oortredings ervaar. In Augustus, Londen se Metropolitaanse Polisie gewaarsku tienduisende van sy personeel aan 'n data-oortreding veroorsaak deur "ongemagtigde toegang tot die IT-stelsel van 'n Met-verskaffer."
Die betrokke IT-verskaffer het inligting soos name, range, foto's, keuringsvlakke en betaalnommers vir die Met se polisiebeamptes en personeel op lêer gehad. Die Met het egter gesê die hack het nie gelei tot die uitlek van persoonlike data soos name, adresse en finansiële inligting nie. Ander Britse polisiemagte wat onlangse data-oortredings ervaar, sluit in die Greater Manchester Police en die Polisiediens van Noord-Ierland.
Hierdie data-oortredings het bewys dat persoonlike data nie noodwendig veilig in die hande van regeringsagentskappe is nie en dat hulle meer moet doen om hul kuberveiligheidsvermoëns te verbeter. Maar watter kuberveiligheidsraamwerke en beste praktyke kan hulle implementeer om te verseker dat hierdie voorvalle nooit weer gebeur nie?
Kritiese lesse om te leer
Een van die grootste lesse van hierdie oortredings is dat selfs hoogs veilige databasisse kwesbaar is vir oortredings en winsgewende teikens vir kubermisdadigers bly. Hersiening en beperking toegangsregte na databasisse wat groot volumes persoonlike data bevat, is 'n uitstekende eerste stap, maar dit is nie die enigste ding wat organisasies moet oorweeg nie.
Met die kuberbedreigingslandskap wat teen 'n ongekende spoed ontwikkel, moet organisasies 'n stappie voor kubermisdadigers bly deur die sekuriteitskwesbaarhede en inbraakmetodes wat hulle in hul aanvalle kan gebruik, te voorsien. Die enigste manier om dit te doen is deur gereelde kuberveiligheidsoudits uit te voer en op hoogte te bly van die jongste kuberveiligheidsbedreigings.
Om te verstaan dat data-oortredings meer as net finansiële verlies veroorsaak, is ook noodsaaklik. Gegewe die deurslaggewende rol wat die Verkiesingskommissie, polisiemagte en ander regeringsinstansies in die openbare lewe speel, kan hulle nie bekostig om burgers se vertroue te verloor nie. Maar ongelukkig is reputasieskade en die erosie van openbare vertroue groot risiko's kuber aanvalle openbare instellings beïnvloed. Boonop voel hierdie organisasies tipies die volle krag van regulerende liggame – wat hul noodsaaklike openbare werk aansienlik ondermyn.
David Sancho, 'n senior bedreigingsnavorser by die kuberveiligheidsfirma Trend Micro, het die kieserslys en polisiemagdata-oortredings beskryf as "goeie voorbeelde van gevalle waar organisasies nie die sekuriteit van die data wat hulle beskerm ernstig opneem nie".
Sancho het organisasies gewaarsku om nie datasekuriteit te verwaarloos nie “omdat aanvallers gereed is om enige oomblik toe te slaan”. Hy het gesê dat, ongeag hul grootte, elke maatskappy en organisasie "onderhewig is aan kuberaanvalle."
Hy het bygevoeg: "In my ervaring plaas sommige sekuriteitsbesteding 'n laer prioriteit met 'n redenasie soos "dit sal nie met ons gebeur nie, ons is nie 'n kuberaanvaller se tyd werd nie." Dit behoort nie te gebeur nie, en alle maatskappye moet gereed wees vir pogings soos hierdie.”
Verbetering van kuberveiligheidsgrondslae
Of dit nou finansiële verlies, reputasieskade of regulatoriese reperkussies is, baie van hierdie risiko's kan vermy word wanneer organisasies die bedreiging van kubermisdaad ernstig opneem. Maar dade spreek harder as woorde – organisasies moet nie net belowe om hul te verbeter nie kuber-sekuriteit postuur in 'n openbare verklaring na 'n ernstige oortreding, maar neem konkrete, kwalitatiewe stappe om hul kuberveiligheidsgrondslag te versterk.
Met menslike foute wat so 'n prominente rol speel in data-oortredings, moet organisasies meer doen om hul personeel op te voed oor die opsporing en vermindering van kuberveiligheidsrisiko's. Aangesien die kuberrisiko-landskap steeds betrokke is, sal 'n enkele PowerPoint-aanbieding om 'n blokkie te merk dit nie sny nie. Beide openbare en private sektor organisasies moet gereeld ontplooi personeel opleiding en bewustheid veldtogte. Organisasies soos die Nasionale Besigheidsmisdaadsentrum bied gratis kubersekuriteitsopleiding vir werknemers, so kuberbewustheid hoef nie in maatskappybegrotings te eet nie.
Nog 'n basiese maar noodsaaklike stap om 'n organisasie se kuberveiligheidsgrondslae te verbeter, is die gereelde opdatering van sagteware en stelsels om sekuriteitskwesbaarhede reg te stel. Migreer vanaf verouderde bedryfstelsels soos Windows 7 en 8 sal ook sagteware-sekuriteitsgate voorkom. Implementering multi-faktor verifikasie sal ook die waarskynlikheid verminder dat onheilspellende partye ongemagtigde toegang tot 'n organisasie se IT-stelsels kry.
Die implementering van 'n internasionaal erkende bedryfsraamwerk soos die Kuberveiligheidsraamwerk van die Nasionale Instituut van Standaarde of ISO 27001 sal organisatoriese kuberveerkragtigheid verhoog. Hierdie raamwerke help organisasies met areas soos Batebestuur, toegangsbeheer, kwesbaarheidsbestuur, insidentreaksie, derdeparty-sekuriteit en deurlopende verbetering.
Luke Dash, uitvoerende hoof van ISMS.online, het gesê sulke raamwerke sal organisasies help om “veerkragtigheid teen aanvalle aansienlik te verbeter”. In die lig van die oortredings van die Kieslys en Polisiemagdata, doen hy 'n beroep op regerings om die implementering van kuberveiligheidsraamwerke verpligtend te maak in regeringsagentskappe – veral as hulle sensitiewe data hou – saam met oudits en raamwerksertifisering.
Die integrasie van hierdie leerstellings en raamwerke
Die implementering van 'n kuberveiligheidsraamwerk en die verbetering van kuberveerkragtigheid sal heeltemal nuut wees vir baie organisasies. So, wat kan hulle doen om hierdie doelwitte suksesvol te bereik?
Dash sê organisasies moenie kuberveiligheid as 'n “nagedagte” beskou nie. Die sleutel tot kuberweerbaarheid is “toegewyde fokus, hulpbronne en ’n deurlopende verbintenis. Hy het voortgegaan: "Die implementering van 'n robuuste raamwerk kan help om verdediging te versterk voordat 'n oortreding plaasvind. Die publiek verdien wêreldklas sekuriteit vir hul data, en hierdie raamwerke bied 'n bloudruk. Werk moet nog gedoen word, maar die pad vorentoe is duidelik.”
Die verhoging van die sigbaarheid van 'n organisasie se netwerke sal hulle ook help om sensitiewe data te beskerm, volgens Sancho. Hy het aanbeveel: "Jy bereik dit met sagteware wat netwerkgedrag ontleed en uiteenlopende afwykings as 'n gesamentlike inbraakpoging kan vlag. Deur hierdie verbeterde sigbaarheid te hê, kan 'n verdediger verstaan dat hulle aangeval word voordat die skade aangerig is."
Ongeag die bedryf of grootte, alle organisasies wat sensitiewe inligting verwerk en berg, moet ook stappe neem om te verstaan data privaatheidswette soos die Algemene Databeskermingsregulasie.
Kevin Modiri, 'n prokureur by die prokureursfirma Nelsons, het gesê: "Die Algemene Databeskermingswetgewing (GDPR) het in 2018 in werking getree en beheer hoe ons persoonlike data kan gebruik, verwerk en berg, insluitend enige inligting oor 'n identifiseerbare, lewende persoon. Die wetgewing is van toepassing op alle organisasies, insluitend dié wat goedere en dienste verskaf.”
Belangrike take
Die kieserslys en die polisiemag se data-oortredings was ongelukkige voorvalle wat miljoene mense geraak het, maar wat duidelik is, is dat hulle waardevolle lesse gelewer het vir organisasies wat sensitiewe inligting hanteer.
Miskien is die grootste les dat alle organisasies hul kuberveiligheidsvermoëns moet assesseer en deurlopende maatreëls moet tref om sensitiewe data te beveilig. Om te wag dat oortredings plaasvind, is nie 'n opsie met soveel op die spel nie, insluitend finansiële verlies, reputasieskade en regulatoriese optrede.
Doeltreffende maatreëls vir die voorkoming van datalekkasies sluit in die implementering van internasionale kuberveiligheidsraamwerke en die lewering van gereelde, konsekwente kuberveiligheidsopleiding vir almal binne die organisasie.
