Die VK se CNI-verskaffers sukkel: 2025 sal 'n kritieke jaar vir kuber wees
INHOUDSOPGAWE:
Die VK se kritieke nasionale infrastruktuur (CNI) word om 'n rede so genoem. Die groot volumes sensitiewe data wat verskaffers stoor, hul lae verdraagsaamheid vir onderbrekings en hul kritiek op nasionale en ekonomiese veiligheid maak hulle egter ook teikens. Versterkte nasiestaat-akteurs, hacktiviste en finansieel gemotiveerde kubermisdadigers vind toenemend veiligheidsgapings om te ontgin.
Wêreldwyd, meer as twee vyfdes (42%) berig data-oortredings oor die afgelope jaar, en 93% het gesien hoe aanvalle toeneem. Met inkomende Britse wetgewing wat in die nuwe jaar verwag word, moet CNI-firmas duidelik hul kuberveerkragtigheid verbeter. Die goeie nuus is dat daar reeds standaarde bestaan om hulle in hierdie pogings te lei.
Wat is besig om te gebeur?
Daar is geen tipiese CNI-firma nie, van nutsverskaffers tot finansiële dienste, gesondheidsorgorganisasies en verdedigingsvervaardigers. Maar baie is deur dieselfde bedreigings getref, insluitend massa-uitbuiting van kwesbaarhede deur Russiese akteurs en geteikende uitvissingsveldtogte vanaf Iranse staatkrakers.
In die Verenigde Koninkryk het 2024 aansienlike losprysware en data-oortredings gesien by 'n sleutel NHS-verskaffer (Synnovis) en by die MoD, wat lewens moontlik in gevaar stel. Daar was ransomware-aanvalle kinderhospitale teiken en majeur vervoerverskaffers. Maar afgesien van hierdie geïsoleerde voorvalle, kan ons die volgende neigings ontbloot:
Insider dreigemente: Volgens Thales het 30% van CNI-organisasies die afgelope jaar 'n insider-bedreigingsvoorval ervaar. Afsonderlik, Bridewell waarsku dat 35% van CNI-sekuriteitsleiers glo dat persoonlike finansiële probleme werknemers dwing om hulle tot datadiefstal en sabotasie te wend.
Stres en uitbranding: Veral veiligheidsleiers voel die druk. In 2022, a verslag geëis dat 95% faktore ervaar het wat hulle waarskynlik in die komende 12 maande sal verlaat.
Staking van begrotings: Die persentasie IT (33%) en OT (30%) begrotings in 2024 wat vir kuberveiligheid geoormerk is dramaties geval het vanaf 2023 syfers van 44% en 43% onderskeidelik.
Dalende vertroue in gereedskap: Bridewell beweer byna 'n derde (31%) van CNI-sekuriteitsleiers het "vertroue in kuberveiligheidsinstrumente" as 'n topuitdaging in 2024 beskou, 'n jaarlikse toename van 121%.
Vervaagde lyne tussen staats- en kubermisdaadbedreigings: Die rol van die Russiese staat om finansieel gemotiveerde aanvalle op hospitale en ander Britse CNI te skuil en aan te moedig, word toenemend op die hoogste vlakke uitgeroep.
Die NCSC het in sy Jaarlikse oorsig: “Deur sy aktiwiteite in die Oekraïne, inspireer Rusland nie-staatsbedreigingsakteurs om kuberaanvalle teen die westelike CNI uit te voer. Hierdie bedreigingsakteurs is nie onderhewig aan formele of openlike staatsbeheer nie, wat hul aktiwiteite minder voorspelbaar maak. Dit verminder egter nie die Russiese staat se verantwoordelikheid vir hierdie ideologies-gedrewe aanvalle nie.”
Groeiende sofistikasie. Hoewel nie gefokus op die Verenigde Koninkryk, die Chinese groep Volt tifoon het gesofistikeerde ambagte vertoon in 'n meerjarige veldtog wat vroeër in 2024 ontbloot is, waartydens dit Amerikaanse CNI-netwerke geïnfiltreer het om kritieke dienste te saboteer in die geval van 'n konflik.
“Baie CNI-stelsels maak staat op verouderde tegnologie, wat hulle kwesbaar maak vir aanvalle en moeilik om te beveilig. Om komplekse en ontwikkelende regulatoriese vereistes te navigeer, verg aansienlike hulpbronne en kundigheid,” het Thales EMEA tegniese direkteur vir datasekuriteit, Chris Harris, aan ISMS.online gesê.
“Boonop belemmer ’n gebrek aan vaardige kuberveiligheidspersoneel die vermoë om bedreigings doeltreffend te bestuur en daarop te reageer. Om die aanvaarding van nuwe tegnologieë te balanseer met die handhawing van robuuste veiligheidsmaatreëls is 'n voortdurende uitdaging.”
Martin Riley, uitvoerende hoof van Bridewell, stem saam en voeg by dat operasionele tegnologie (OT) nog 'n groot uitdaging vir CNI-firmas is.
“OT-toestelle het nie die strengheid van ondernemingsekuriteit nie, met voortdurende kommer oor die impak van bedrywighede en gesondheid en veiligheid. Verouderde stelsels, baie ouer as 20 jaar, het nie dikwels moderne sekuriteitsvermoëns nie, en die neiging vir konvergensie van OT met IT-stelsels is besig om die aanvaloppervlak te vergroot,” sê hy aan ISMS.online.
“Weens vaardigheidstekorte kan CISO's nie 'n beroep doen op OT-spesifieke kundigheid om proporsionele kuberveiligheidsplanne te ontwikkel en IT- en OT-sekuriteit te oorbrug om hierdie risiko te verminder nie. Veral algemeen is die opkoms van randtoestelle in IT OT, en IoT-infrastruktuur, wat uitgebuit kan word in lewende-van-die-land-aanvalle, waar wettige gereedskap binne die stelsel geteiken word.
Riley voeg by dat vaardigheidsgapings in sommige gevalle selfs OT-spanne kan lei om maatreëls aan te neem wat gebruikerstoegang per ongeluk blokkeer, wat fisiese infrastruktuurskade of selfs 'n risiko vir menselewens veroorsaak.
Wat eis reguleerders?
Die behoefte om veerkragtigheid in CNI in te bou is duidelik in die bogenoemde tendense en voorvalle, maar daar is ook 'n groeiende regulatoriese noodsaaklikheid. Britse verskaffers met bedrywighede op die vasteland moet voldoen aan 'n streng nuwe stel basislynsekuriteit eise in NIS2. Die richtlijn verduidelik ook dat senior sakeleiers meer aanspreeklik gehou sal word vir kuberveiligheidsmislukkings, insluitend persoonlike aanspreeklikheid vir ernstige oortredings.
In die Verenigde Koninkryk, 'n inkomende Wetsontwerp op kuberveiligheid en veerkragtigheid sal die 2018 NIS-regulasies bywerk om meer diensverskaffers te dek, reguleerders te bemagtig en voorvalverslaggewing opdrag te gee. Nie al die besonderhede is nog uitgewerk nie, maar die algemene reisrigting vanuit 'n regulatoriese perspektief in die Verenigde Koninkryk is noukeuriger ondersoek van CNI-firmas.
Wat CNI-firmas in 2025 kan doen
“Die NCSC glo dat die erns van staatsgeleide bedreigings onderskat word en dat die kuberveiligheid van kritieke infrastruktuur, voorsieningskettings en die openbare sektor moet verbeter,” sê die NCSC in sy Jaarlikse oorsig.
Dit is alles baie goed, maar hoe kan verskaffers hul sekuriteitsposisie spesifiek verbeter?
“CNI staar uiteenlopende bedreigings, uitdagings en geleenthede in die gesig. Proaktiewe maatreëls, soos formele antwoorde op losprysware en nakomingsoudit, is noodsaaklik,” voer Thales se Harris aan.
“Opkomende tegnologieë soos 5G, wolk, identiteits- en toegangsbestuur en GenAI bied nuwe doeltreffendheid wanneer dit by CNI-bedrywighede geïntegreer word. Hoër verwagtinge en groter verbintenisse tot operasionele veerkragtigheid en betroubaarheid sal sekuriteit verbeter en vatbaarheid vir CNI-ondernemings verminder.”
Beste praktykstandaard ISO 27001 kan vir baie 'n goeie beginpunt wees, wat 'n "robuuste raamwerk" bied vir die bestuur van sekuriteitsrisiko's, gaan hy voort.
"Voldoening aan ISO 27001 verseker dat CNI-operateurs beste praktyke in kuberveiligheid implementeer, insluitend risikobepaling, voorvalbestuur en deurlopende verbetering," sê Harris.
Bridewell's Riley ondersteun ook die beste praktykbenaderings in die bedryf.
"'n Beste praktyk kuberveiligheidstrategie in 'n tipiese CNI-verskaffer bring IT- en OT-risikoregisters in lyn om risiko's holisties te evalueer. Dit moet aangedryf word deur die vermenging en kartering van ISO 27001-kontroles na NIST CSF, NCSC CAF, NIS-regulasies of spesifieke OT-raamwerke soos IEC 62443,” verduidelik hy.
“ISO 27001 alleen is nie 'n dryfveer vir die verbetering van CNI-sekuriteit nie. Baie organisasies handhaaf 'n enkele omvang en verklaring van toepaslikheid wat net die onderneming dek. Dit is hoekom dit so belangrik is vir CNI-organisasies om ander raamwerke en regulasies in hul strategie vir 'n multi-scope ISMS in te sluit. Die bou van 'n multi-scope ISMS kan ingewikkeld wees, maar dit is nie onmoontlik as OT en IT effektief geskei is en relevante regulasies geïnkorporeer word nie.”
