Kyberturvallisuuden edistyminen on pysähtynyt Yhdistyneen kuningaskunnan yrityksissä: näin se korjataan

Kyberturvallisuuden edistyminen on pysähtynyt Yhdistyneen kuningaskunnan yrityksissä: Näin voit korjata sen

Kirjoittanut Phil Muncaster • 24 huhtikuu 2025

Joka päivä luemme kyberhyökkäysten aiheuttamista vahingoista ja tuhoista. Juuri tässä kuussa, tutkimus paljasti että puolet brittiläisistä yrityksistä joutui keskeyttämään tai katkaisemaan digitaalimuunnosprojektit valtion tukemien uhkien vuoksi. Ihanteellisessa maailmassa tämänkaltaiset tarinat leviäisivät ylempään johtoon, ja ponnistelut kyberturvallisuuden parantamiseksi kaksinkertaistuvat. Hallituksen viimeisimmät havainnot kertovat kuitenkin toisenlaisen tarinan.

Valitettavasti edistyminen on viimeisimpien tietojen mukaan pysähtynyt useilla rintamilla Kyberturvallisuusloukkausten tutkimus. Yksi harvoista vuosikertomuksesta otetuista positiivisista puolista on kasvava tietoisuus ISO 27001 -standardista.

Suuremmat yritykset ristissä

Vuodesta 2016 lähtien julkaistu hallituksen tutkimus perustuu 2,180 50 brittiyrityksen kyselyyn. Mutta jopa yhdeksän työntekijän mikroyrityksen ja keskisuuren (249–250 työntekijää) tai suuren (yli XNUMX työntekijän) yrityksen välillä on suuri ero.

Tästä syystä emme voi lukea liikaa otsikkokuvasta: vuosittainen lasku niiden yritysten osuudessa, jotka raportoivat kyberhyökkäyksestä tai tietomurrosta viimeisen vuoden aikana (50 prosentista 43 prosenttiin). Jopa hallitus myöntää, että lasku johtuu todennäköisimmin siitä, että harvemmat mikro- ja pienyritykset tunnistavat tietojenkalasteluhyökkäyksiä. Voi yksinkertaisesti olla, että niitä on vaikeampi havaita generatiivisen tekoälyn (GenAI) haitallisen käytön ansiosta.

Itse asiassa tietoturvahäiriöistä ilmoittavien keskisuurten (67 %) ja suurten (74 %) yritysten osuus on edelleen korkea. Ja suuret (29 %) ja keskisuuret (20 %) yritykset kokevat negatiivisen tuloksen todennäköisemmin kuin yritykset yleensä (16 %). Tämä voi sisältää mitä tahansa tiedostojen ja kolmannen osapuolen palvelujen käyttöoikeuden menettämisestä vioittuneisiin järjestelmiin, hitaampiin sovelluksiin ja henkilötietojen ja varojen varkauksiin. Lisäksi suuret yritykset ilmoittavat todennäköisimmin liiketoiminnan häiriöistä, kuten:

Vaatii ylimääräistä henkilöstöaikaa rikkomusten/hyökkäysten käsittelemiseen (32 % vs. 17 % kokonaisuutena)
Uusien turvatoimien käyttöönotto (26 % vs 18 %)
Työntekijöiden päivittäisen työn keskeytys (19 % vs 9 %)
Palvelun/tavaroiden toimitushäiriöt (8 % vs 3 %)
Asiakasvalitusten vastaanottaminen (6 % vs 2 %)

Lisäksi, vaikka 20 prosentin yrityksistä yleisesti arvioidaan joutuneen vähintään yhden verkkorikoksen uhriksi viimeisten 12 kuukauden aikana, luku nousee 43 prosenttiin keskisuurista yrityksistä ja 52 prosenttiin suurista yrityksistä.

Hyvä ja paha

Hyvä uutinen on, että useimmat keskisuuret ja suuret yritykset ovat ryhtyneet avaintoimiin kunkin NCSC:n parhaiden käytäntöjen mukaisesti 10-vaihe opas kyberturvallisuuden parantamiseen. Ja viidellä tai useammalla alueella toimien prosenttiosuus on noussut viimeisen vuoden aikana 80 prosentista 82 prosenttiin keskisuurissa yrityksissä ja 91 prosentista 95 prosenttiin suuremmissa yrityksissä. Lisäksi noin 95–100 %:lla näistä organisaatioista on käytössä vähintään kolme parhaiden käytäntöjen teknistä sääntöä tai valvontaa, kuten ajan tasalla oleva haittaohjelmasuojaus, verkon palomuurit, rajoitetut IT-järjestelmänvalvojan/käyttöoikeudet, laitteen suojaus ja VPN:t.

Silti tämä piilottaa kiistatta enemmän huolestuttavan isomman kuvan. Esimerkiksi:

Henkilökunnan koulutusohjelmat oli käytössä 54 prosentissa keskisuurista ja 76 prosentissa suurista yrityksistä – samaan tapaan kuin viime vuoden tilastot.

Kolmannen osapuolen toimittajan riskiarvioinnit vain 32 prosenttia keskisuurista ja 45 prosenttia suurista yrityksistä suoritti, kun vastaava luku viime vuonna oli 28 prosenttia ja 48 prosenttia.

Tapahtumasuunnitelmat oli käytössä vain 53 prosentissa keskisuurista yrityksistä ja 75 prosentissa suurista yrityksistä (verrattuna 55 prosenttiin ja 73 prosenttiin).

Ylimmältä johdolta näyttää myös puuttuvan strateginen suunta ja vastuullisuus. Vain 70 prosentilla suurista yrityksistä (yli 66 prosentista) ja 57 prosentilla keskisuurista yrityksistä (lasku 58 prosentista) on jopa kyberturvallisuusstrategia. Liian monissa suurissa yrityksissä kyberturvallisuutta johtaa IT-johtaja (19 %) tai IT-päällikkö, teknikko tai järjestelmänvalvoja (20 %).

"Yrityksillä tulee aina olla oikea vastaus riskeihinsä; pienessä kylässä toimivan riippumattoman leipurin ei välttämättä tarvitse tehdä säännöllisiä kynätestejä. Heidän pitäisi kuitenkin pyrkiä ymmärtämään riskinsä, ja 30 %:lla suurista yrityksistä ei ole proaktiivisia ainakaan riskinsä tiedossa on harmillista", väittää Ecliptic Dynamicsin toinen perustaja Tom Kidwell.

"Yritykset voivat aina ryhtyä toimiin vähentääkseen tietomurtojen vaikutusta ja pysäyttääkseen hyökkäykset niiden alkuvaiheessa. Ensimmäinen niistä on riskien ymmärtäminen ja asianmukaisten toimien toteuttaminen."

Silti vain puolella (51 %) keskisuurten yritysten hallituksista on joku, joka vastaa kyberasioista, ja suurempien yritysten osuus on 66 %. Nämä luvut ovat pysyneet käytännössä ennallaan kolmen vuoden ajan. Ja vain 39 % keskisuurten yritysten yritysjohtajista saa kuukausittain päivityksiä verkkopalveluista, mikä on puolet (55 %) suurista yrityksistä. Kun otetaan huomioon nykypäivän uhkakuvan nopeus ja dynaamisuus, luku on liian pieni.

Mistä tästä edetään?

Ilmeinen tapa parantaa kyberturvallisuutta olisi noudattaa parhaita käytäntöjä, kuten ISO 27001 -standardia. Raportista saa tällä alalla ristiriitaisia signaaleja. Toisaalta siinä sanotaan näin:

"Tietoisuus akkreditoinneista, kuten Cyber Essentials ja ISO 27001, näytti kasvavan, ja kaiken kaikkiaan niihin suhtauduttiin myönteisesti."

Asiakkaiden ja hallituksen jäsenten painostuksen ja "sidosryhmien mielenrauhan" sanotaan lisäävän tällaisten lähestymistapojen kysyntää, kun taas vastaajat arvioivat oikeutetusti ISO 27001:n olevan "lukeampi" kuin Cyber Essentials.

Tietoisuus 10 askeleesta ja Cyber Essentialsista on kuitenkin laskussa. Ja paljon harvemmat suuret yritykset hakevat ulkopuolista neuvontaa kyberturvallisuudesta kuin viime vuonna (51 % vs. 67 %).

Ed Russell, Google Cloudin CISO-liiketoiminnan johtaja osoitteessa Qodea, väittää, että taloudellinen epävakaus voi olla tekijä.

"Epävarmuuden aikoina ulkoiset palvelut ovat usein ensimmäisiä budjettileikkauksia - vaikka kyberturvallisuusohjauksen menojen vähentäminen on riskialtista", hän kertoo ISMS.online-sivustolle.

Russell väittää, että standardit, kuten ISO 27001, lisäävät suuresti kyberkypsyyttä, vähentävät kyberriskejä ja parantavat säännösten noudattamista.

"Nämä standardit auttavat organisaatioita luomaan vahvan tietoturvaperustan riskien hallintaan ja ottamaan käyttöön asianmukaisia valvontatoimia arvokkaiden tietovarojensa suojaamiseksi", hän lisää.

"ISO 27001 on suunniteltu tukemaan jatkuvaa parantamista ja auttamaan organisaatioita parantamaan yleistä kyberturvallisuuden asentoaan ja kestävyyttään uhkien kehittyessä ja säädösten muuttuessa. Tämä ei ainoastaan suojaa kriittisintä tietoa, vaan myös rakentaa luottamusta sidosryhmien kanssa – tarjoten kilpailuetua."

Cato Networksin turvallisuusstrategi Etay Maor on samaa mieltä, mutta varoittaa, että vaatimusten noudattaminen ei välttämättä tarkoita turvallisuutta.

"Näiden strategisten suuntaviivojen tulisi olla osa kokonaisvaltaista turvallisuuskäytäntöä, joka sisältää enemmän operatiivisia ja taktisempia puitteita, jatkuvaa arviointia sen vertaamiseksi nykyisiin uhkiin ja hyökkäyksiin, tietomurtoharjoituksia ja paljon muuta", hän kertoo ISMS.onlinelle. "Ne ovat hyvä paikka aloittaa, mutta organisaatioiden on mentävä pidemmälle."

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Lue lisää Phil Muncasterilta

tietoverkkoturvallisuus 20 tammikuu 2026

tekoälyn hallintokuilun kurominen umpeen ISO 42001 -blogin avulla

Tekoälyn hallintoaukon kurominen umpeen ISO 42001 -standardin avulla

Isossa-Britanniassa on tekoälyn hallintaongelma. Tämä ei ehkä olisi ollut ongelma muutama vuosi sitten, kun projektit olivat useimmissa organisaatioissa hajanaisia. Mutta tänään...

Phil Muncaster

tietoverkkoturvallisuus 6 tammikuu 2026

Viisi tietoturva- ja vaatimustenmukaisuustrendiä, joihin kannattaa kiinnittää huomiota vuonna 2026

Miltä tulevat 12 kuukautta näyttävät kyberturvallisuuden ja vaatimustenmukaisuuden ammattilaisille? Olemme perehtyneet uutisiin, omaksuneet alan ennusteita...

Phil Muncaster

tietoverkkoturvallisuus 11 joulukuu 2025

Onko agenttien tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

Onko agenttisen tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

ChatGPT:n lanseerauksesta on ehkä kolme vuotta, jolloin se käynnisti uuden teknologiavarustelukilpailun, mutta nyt kaikkien katseet ovat agenttisessa tekoälyssä. Kannustajien mukaan se...

Phil Muncaster