Kyberhyökkäykset vaikuttavat bruttokansantuotteeseen: Mitä se tarkoittaa yrityksille

Kun yhä useammat säännökset edellyttävät resilienssiä, miten jokainen organisaatio voi tehdä oman osansa?

Kate O'Flaherty

Yritykset ympäri Iso-Britanniaa painiskelevat vakavan ongelman kanssa: kyberhyökkäyksillä on nyt mitattavissa oleva vaikutus bruttokansantuotteeseen. Ison-Britannian kybervalvontakeskuksen (CMC) ja ONS:n raportit viittaavat Jaguar Land Roverin (JLR) hakkerointiin. hidastunut BKT:n kasvu, ja talous kasvoi vain 0.1 % neljänneksellä heinäkuusta syyskuuhun, kun autojen tuotanto laski 73 vuoden pohjalukemiin.

Merkittävät kyberhyökkäykset maksavat Yhdistyneen kuningaskunnan taloudelle vuosittain 14.7 miljardia puntaa (~0.5 % BKT:stä), ja pelkästään IP-osoitteisiin liittyvät hyökkäykset voivat maksaa jopa 8.5 miljardia puntaa. tutkimus tieteen, innovaatioiden ja teknologian osastolta ja Alma Economicsilta.

Jos yksittäisiä suuria tapahtumia, kuten JLR-hyökkäys voi mitattavasti vaikuttaa bruttokansantuotteeseen, tuhansien pienempien hyökkäysten kumulatiivinen vaikutus on todennäköisesti vielä suurempi. Tämä on huolestuttava tilanne, joka muotoilee kyberturvallisuuden uudelleen systeemiseksi taloudelliseksi riskiksi, joka ulottuu liiketoiminnan ja IT:n ulkopuolelle.

As kimmoisuus on yhä useamman säännöksen määräämä, miten jokainen organisaatio voi tehdä oman osansa minimoidakseen kyberhyökkäysten vaikutukset Ison-Britannian talouteen?

Kustannusvaikutus

ONS:n luvut ovat uusia, mutta kustannusvaikutus on aina ollut olemassa. Joka kerta, kun datasta maksetaan lunnaita tai yritystä huijataan, vaikutus on noin viisinkertainen menetettyihin mahdollisuuksiin ja palautuskustannuksiin verrattuna, kertoo Harry Mason, IT-palveluita tarjoavan Mason Infotechin asiakaspalvelupäällikkö. IO.

Hän mainitsee esimerkkinä JLR:n tietomurron. ”Hyökkäys pysäytti tuotannon useiksi viikoiksi, mikä loi valtavan ruuhkan, joka oli selvitettävä, kun tuotanto saatiin taas käyntiin. Tätä pahensivat myös mainehaitta lehdistössä ja kuluttajien luottamuksen menetys.”

Vaikka pk-yrityksille kybertapahtumien kustannukset saattavat olla pienemmät, ne ovat "yhtä lailla vahingollisia" ja voivat lopulta johtaa yritysten konkurssiin, hän varoittaa.

Nykypäivän kiristysohjelmat, yrityssähköpostien vaarantaminen, pilvipalveluiden virheelliset määrityshyökkäykset ja tietovarkauskampanjat johtavat "pidempiin palautumisaikoihin ja korkeampiin korjauskustannuksiin", kertoo Dominic Carroll, e2e Assuren portfoliojohtaja. IO”Hyökkääjät myös yhä useammin tuhoavat varmuuskopioita tai pitävät ne lepotilassa, kunnes lokien säilytysajat ovat umpeutuneet, mikä tarkoittaa, että organisaatiot eivät voi helposti rekonstruoida tapahtunutta tai palauttaa sitä puhtaasti, mikä pitkittää liiketoiminnan häiriöitä entisestään.”

Carrollin mukaan tänä vuonna Isoon-Britanniaan kohdistuneet korkean profiilin hyökkäykset ovat paljastaneet, kuinka kriittisiä nämä organisaatiot ovat taloudelle. ”Meillä ei yksinkertaisesti ole varaa menettää tällaista tuottavuutta emmekä turvautua valtion pelastuspaketteihin”, hän varoittaa.

Yksi suurimmista kerrannaisvaikutuksista laajempaan talouteen liittyy investointeihin. Jo ennestään riskiä välttelevillä markkinoilla sijoittajien houkutteleminen on entistä vaikeampaa, jos on olemassa kyberhyökkäyksen tai muun IT-katkoksen uhka, sanoo Mason. ”Yksittäisten yritysten on keskityttävä 100-prosenttisesti varmistamaan, että niillä on käytössä tietoturvastrategia asiakkaiden ja sijoittajien houkuttelemiseksi – ja olemassa olevien säilyttämiseksi.”

Kyberturvallisuus- ja vaatimustenmukaisuuskehykset

Tässä haastavassa talousympäristössä kyberturvallisuus- ja vaatimustenmukaisuuskehykset, kuten ISO 27001, Verkko- ja tietojärjestelmät 2 (NIS 2) ja Cyber ​​Essentials ovat tärkeämpiä kuin koskaan kaikille yrityksille.

Tällaiset viitekehykset tarjoavat jäsenneltyjä ohjeita ja parhaita käytäntöjä, jotka auttavat organisaatioita tunnistamaan, hallitsemaan ja vähentämään kyberriskien vaikutusta, sanoo Emma Hastings-Bray, Blacks Solicitorsin lakiasiainjohtaja.

Käyttöönotto voi myös osoittaa yrityksen sitoutumisen vaatimustenmukaisuuteen ja vastuullisuuteen asiakkailleen, kumppaneilleen, hallituksilleen ja sääntelyviranomaisilleen. ”Viitekehykset voivat auttaa varmistamaan, että kyberturvallisuus on integroitu hallitustasolle, sekä tarjota mitattavia mittareita suorituskyvyn arvioimiseksi ja Yhdistyneen kuningaskunnan tietosuojavaatimusten täyttämiseksi”, Hastings-Bray lisää.

Nämä määräykset ovat erityisen tärkeitä, koska ne keskittyvät toimitusketjuun – tärkeä tekijä kansallisen turvallisuuden vahvistamisessa, Carroll sanoo.

Hän huomauttaa, että NIS2 edellyttää nyt soveltamisalaan kuuluvilta tahoilta kriittisten toimitusketjujen riskinarviointia. Samaan aikaan Yhdysvalloissa on otettu käyttöön Kyberturvallisuuskypsyysmallin sertifiointi (CMMC 3.0), joka edellyttää toimitusketjun turvallisuutta kaikissa puolustusministeriön sopimuksissa lokakuusta 2026 alkaen.

Lähempänä kotia, Kyberturvallisuutta ja kestävyyttä koskeva lakiesitys virallistaa toimitusketjun turvallisuuden soveltamisalaan kuuluville organisaatioille, Carroll sanoo.

Rakenteellinen sietokykysuunnittelu

Koska kyberhyökkäykset uhkaavat heikentää bruttokansantuotetta entisestään, jäsennelty kriisinsietokykysuunnittelu auttaa vähentämään kumulatiivista vaikutusta.

Carrollin mukaan jäsennellyn kriisinsietokyvyn suunnittelun hyötyihin kuuluu se, että organisaatiot voivat "katkaista kyberhyökkäysten aiheuttaman taloudellisen hidasteen kierteen". "Kun yritykset rutiininomaisesti validoivat havaitsemiskattavuustaan, suorittavat hyökkäyssimulaatioita ja ottavat nopean eristämisen käyttöön toimintoissaan, tapahtumat eivät enää muutu viikon mittaisiksi katkoksiksi, vaan lyhytaikaisiksi häiriöiksi. Pelkästään tämä muutos poistaa valtavan määrän menetettyä tuotantoa taloudesta."

Rakenteellinen kriisinsietokykysuunnittelu voi auttaa pehmentämään kyberhyökkäysten "taloudellista iskua" estämällä tapausten paisumisen pitkiksi häiriöiksi, on samaa mieltä The Remarkablesin perustajan Kerry Parkinin kanssa. "Kun organisaatiot suunnittelevat sekä teknisen että viestinnällisen reagoinnin, ne toipuvat nopeammin."

Osana tätä selkeä viestintästrategia ”auttaa johtoa toimimaan nopeasti, pitää ihmiset ajan tasalla ja estää hämmennystä, joka vahingoittaa luottamusta toimitusketjuissa”, hän sanoo.

Kansallinen selviytymiskykykuva

Kyberturvallisuuden ja vaatimustenmukaisuuden ollessa kansallisella asialistalla, jokaisen yrityksen ponnisteluilla on merkitystä laajemmassa kriisinsietokykykuvassa.

Yritykset usein olettavat olevansa liian pieniä ollakseen merkityksellisiä, mutta Parkin huomauttaa, että ”yksi heikko lenkki voi paljastaa koko verkoston”.

Tämän mielessä pitäen peruskyberhygienian rakentaminen, harjoiteltu viestintäsuunnitelma ja rehellinen suhtautuminen haavoittuvuuksiin vahvistavat organisaatiota – ja laajemmin taloutta, hän sanoo.

Sääntely jo edellyttää, että yritykset tunnistavat kyberhyökkäysten aiheuttamat uhat ja ovat valmiita. Esimerkiksi Yhdistyneen kuningaskunnan tietosuojalain mukaan kaikkien organisaatioiden on lain mukaan toteutettava asianmukaiset toimenpiteet henkilötietojen suojaamiseksi, Hastings-Bray sanoo. ”Resilienssin tulisi olla jokaisen yrityksen prioriteetti toimitusketjujen arvioinnista ja due diligence -tarkastusten suorittamisesta aina sisäisten turvallisuusasiantuntijoiden kouluttamiseen ja säännölliseen henkilöstökoulutukseen asti.”

Kyberhyökkäyksiin liittyvä taloudellinen taantuma on epäilemättä motivoiva tekijä yrityksille. Masonin mukaan kollektiivisesti on kuitenkin vielä "valtavasti työtä tehtävänä" sen varmistamiseksi, että kaikki suhtautuvat tietoturvaan vakavasti. "Tämä on erityisen tärkeää johtotehtävissä oleville, koska heillä on kyky tehdä muutoksia ja varmistaa myös, että sitoutuminen leviää koko yritykseen."