Asiakkaat, hallitukset ja sääntelyviranomaiset ovat kaikki yhtä mieltä. Jos kyberturvallisuusmurtoja on mahdotonta estää 100-prosenttisesti, on keskityttävä parantamaan resilienssiä, jotta organisaatiot ovat paremmin valmistautuneita kestämään niitä ja toipumaan niistä. Mutta edistymisen mittaaminen tällä alueella ei ole helppo tehtävä. Hallituksen Kyberturvallisuusmurtojen kysely on melko yksityiskohtainen. Mutta mikä tärkeintä, se ei tee kyselyä täsmälleen samoille organisaatioille joka vuosi tarkistaakseen, miten niiden tilanne kehittyy.
Tässä kohtaa hallituksen Kyberturvallisuuden pitkittäistutkimus tulee mukaan. Nyt viidennellä vuodellaan (tai "aallollaan") se pyrkii osoittamaan, miten organisaatiot muuttuvat ajan myötä. Tulokset ovat valaisevia. Vaikka viidennestä aallosta on varmasti joitakin myönteisiä asioita, raportti korostaa taipumusta reaktiiviseen tietoturvaan, joka on ristiriidassa parhaiden käytäntöjen kanssa.
Mikä menee oikein (ja väärin)?
Raportista käy ilmi, että useimmat organisaatiot kokivat edelleen jonkinlaista "kyberhyökkäystä" viime vuonna: 82 % verrattuna 79 %:iin edellisenä vuonna. Mutta positiivista on, että ne tekevät asialle jotain. Itse asiassa:
- Kyberturvallisuusperiaatteiden noudattamisesta ilmoittavien organisaatioiden osuus nousi 23 prosentista 30 prosenttiin neljännen ja viidennen aaltojen välillä.
- Kybervakuutuksen omaavien yritysten osuus kasvoi 29 prosentista 35 prosenttiin
- Niiden yritysten osuus, jotka väittivät, etteivät tienneet vakuutuksista, laski 20 prosentista 13 prosenttiin
- Yritykset ilmoittivat todennäköisemmin investoivansa uhkatietoon (44 % vs. 36 %).
- Vastaajat suorittivat todennäköisemmin kyberturvallisuuden haavoittuvuuksien auditoinnin (60 % vs. 56 %)
- Yli kolmannes organisaatioista (37 %) ilmoitti kyberturvallisuusbudjettien kasvusta
On kuitenkin myös syitä huoleen. Vaikka parhaiden käytäntöjen standardien ja viitekehysten noudattaminen lisääntyi viime vuonna, suuri osa (37 %) yrityksistä ei noudata ISO 27001 -standardia, Cyber Essentials- tai Cyber Essentials Plus -standardia.
Myös toimitusketjun riskienhallinta oli edelleen monille sokea piste. Vain 28 % yrityksistä kertoo tehneensä virallisen toimittajien arvioinnin viimeisen 12 kuukauden aikana. Raportissa todetaan, että organisaatioilla ei yleensä ollut riittävästi tietoa toimitusketjujensa kyberturvallisuuspoikkeamista, ja ne myönsivät, että niitä todennäköisesti tapahtuu heidän tietämättään.
Se paljastaa myös, että vaikka 90 % yrityksistä väittää integroivansa kyberriskin laajempaan liiketoimintariskiin, "tämä ei aina johda tehokkaisiin budjetteihin tai hallitustason koulutukseen".
Reaktiivisen tietoturvan ongelma
Raportissa korostettu suurin ongelma ei välttämättä ole se, etteivätkö Yhdistyneen kuningaskunnan yritykset pyrkisi parantamaan kriisinsietokykyään, koska monissa tapauksissa ne tekevät niin. Kyse on tavasta, jolla näitä investointeja tehdään. Raportin tekijät seuraavat vastaajia kahden eri haastattelujakson aikana ("ajankohta 1" ja "ajankohta 2") – tyypillisesti vuoden aikana – pitkittäismuutoksen mittaamiseksi.
He havaitsivat, että yli kolmannes (34 %) organisaatioista, jotka kokivat vaikutuksen ja/tai seurauksen omaavan tapahtuman ajankohtana 1, koki myöhemmin vaikutuksettoman ja/tai seurauksen vailla olevan tapahtuman ajankohtana 2. Tämä viittaa siihen, että joko organisaatio on reaktiivisesti parantanut selviytymiskykyään tai toinen tapahtuma ei ollut yhtä tunkeileva.
Ja paljon muutakin. Organisaatiot, jotka eivät kokeneet tapaturmaa ensimmäisenä ajankohtana, eivät näyttäneet tekevän ennakoivia muutoksia parantaakseen tietoturvatilannettaan, mikä saattaa viitata siihen, että ne odottivat jotakin, joka laukaisi positiivisen muutoksen. Toisaalta, jos organisaatio koki tapaturman, se todennäköisemmin toteutti positiivisia muutoksia kahdeksassa muuttujassa, mukaan lukien tapauksiin reagointi, toimitusketjun riskienhallinta ja hallituksen jäsenten yhteistyö.
”Kyberhyökkäysten arvaamattomuus muutoksen katalysaattorina on huolenaihe”, raportin tekijät varoittavat.
Muita esimerkkejä reaktiivisesta tietoturvatilanteesta ovat seuraavat havainnot:
- Organisaatiot saavat todennäköisemmin ISO 27001/Cyber Essentials -akkreditoinnin ajankohtana 2, jos ne ovat kokeneet vaikutuksen ja/tai seurauksen omaavan tapahtuman ajankohtana 1.
- Maineriskit mainittiin vastaajien toimesta "usein" muutosten motivaattorina, erityisesti kyberturvallisuustiimien ja ylimmän johdon kohdalla.
- ”Ulkoiset vaikutukset” olivat keskeinen tekijä muutoksen vauhdittamisessa, kuten kiristysohjelmahyökkäykset kivijalkakauppiaat viime vuonna. ”Osallistujat mainitsivat, että nämä julkiset tapaukset saivat heidät tekemään lisätarkastuksia tai sallimaan rahoituksen, koska niillä oli todellisia potentiaalisia vaikutuksia heidän omaan organisaatioonsa”, raportissa todetaan.
Menestyksen esteet
”Reaktiivinen tietoturva jättää organisaatiot aina askeleen jälkeen. Siihen mennessä, kun hälytys laukeaa, hyökkääjä on jo onnistunut jossain muodossa”, SecureEnvoyn varatoimitusjohtaja Michael Downs kertoo IO:lle (entinen ISMS.online). ”Resilienssin ennakoiva rakentaminen, erityisesti identiteettitasolla, ei ole enää valinnaista; se on ainoa tapa vähentää riskiä ennen kuin se toteutuu.”
Jos ennakoiva tietoturva olisi kuitenkin niin helppoa, kaikki tekisivät sitä. Andy Ward, Absolute Securityn kansainvälinen varatoimitusjohtaja, viittaa useisiin keskeisiin esteisiin.
”Yksi haaste on saada hallituksen ja kyberturvallisuusjohtajien tuki, jotta voidaan nostaa hallinnon ylimmän tason selviytymiskykyä ja laatia selkeät strategiat toiminnan täydelliseen palauttamiseen häiriön jälkeen. Ilman tätä osallistumista ennakoivat toimenpiteet voivat viivästyä tai niitä ei sovelleta epäjohdonmukaisesti”, hän kertoo IO:lle.
”Toinen keskeinen este on laitteiden ja ohjelmistosovellusten nopea lisääntyminen, mikä tekee IT-järjestelmistä monimutkaisempia ja vaikeampia hallita. Tämä hajaannus vaikeuttaa järjestelmien ajan tasalla pitämistä ja ennakoivien kyberturvallisuustoimenpiteiden toteuttamista kaikissa päätepisteissä.”
Ward huomauttaa myös, että rahoitus ja osaajien saatavuus hidastavat yritysten – erityisesti pienten yritysten – pyrkimyksiä. ”Monet pienet yritykset uskovat myös virheellisesti olevansa liian pieniä houkutellakseen kyberrikollisia tai että tietojen tallentaminen pilveen suojaa niitä automaattisesti”, hän lisää.
Matka ennakoivaan tietoturvaan
Oikealla lähestymistavalla näiden esteiden ei kuitenkaan pitäisi olla ylitsepääsemättömiä, väittää MetaCompliancen toimitusjohtaja James Mackay.
"Proaktiivisemmaksi tuleminen alkaa turvallisuustietoisuuden tavoitteen uudelleenmäärittelyllä koulutuksen tarjoamisesta inhimillisten riskien hallintaan”, hän kertoo IO:lle. ”Ajan myötä tämä lähestymistapa rakentaa käyttäytymiseen perustuvaa turvallisuuskulttuuria. Työntekijät kohtaavat turvallisuuden osana päivittäistä työtään, eivät satunnaisena luokkahuoneharjoituksena.”
Mackay lisää, että parhaiden käytäntöjen standardit, kuten ISO 27001, voivat olla tämän uudelleenmäärittelyn "voimakkaita mahdollistajia", kunhan niitä ei pidetä tarkistuslistoina.
”ISO 27001 -standardi edellyttää, että ymmärrät tietoturvariskisi, otat käyttöön asianmukaiset valvontakeinot ja varmistat, että ihmiset ovat päteviä ja tietoisia tietoturvavastuistaan”, hän jatkaa. ”Ne luovat perustan sille, miten tietoturvaa tulisi hallita koko organisaatiossa.”
Jos useammat organisaatiot omaksuvat tällaisen jäsennellyn lähestymistavan, ensi vuoden pitkittäistutkimus voi tarjota vakuuttavamman tulkinnan.
Laajenna tietosi
Blogi: Resilienssitekijä: BridgePay-kiristysohjelmahyökkäyksen murtaminen
