Pelottavat tilastot: Yhdistyneen kuningaskunnan alueet, joissa tietoverkkorikollisuus vaikuttaa eniten yrityksiin
Sisällysluettelo:
- 1) Kuinka paljon yritykset menettivät yhteensä kyberrikollisuuden vuoksi?
- 2) Missä yritykset ilmoittivat eniten tietoverkkorikoksista?
- 3) Kyberrikollisuus: korkean panoksen uhkapeli
- 4) Tapahtumaraportointi ja säännösten noudattaminen
- 5) ISO 27001:n käyttäminen kyberonnettomuuksien estämiseksi ja NIS 2:n mukaiseksi
- 6) BOO-st Your tietoturva-asento tänään
Tietoverkkorikollisuus muodostaa kasvavan uhan sekä yrityksille että yksityishenkilöille eri puolilla maailmaa, kun uhkatoimijat yrittävät päästä käsiksi arkaluontoisiin tietoihin tai talouteen lähes millä tahansa tarpeellisella tavalla. Yhdistyneessä kuningaskunnassa Action Fraudin tiedot osoittavat, että yritykset ilmoittivat yli 1,600 2024 verkkorikoksesta – petoksia lukuun ottamatta – tammi-syyskuussa XNUMX.
Halloweenin ja pelottavien tilastojen hengessä tarkastelemme alueita, joilla organisaatiot tekivät vuonna 2024 selkärankaa jäähdyttävän eniten kyberrikosilmoituksia ja kuinka voit puolustaa yritystäsi kybertapahtumia vastaan.
Kuinka paljon yritykset menettivät yhteensä kyberrikollisuuden vuoksi?
Action Fraud -tiedot paljastivat, että organisaatiot ilmoittivat yhteensä 1,613 932,200 verkkorikoksesta ja 2024 XNUMX punnan tappioista tammi-syyskuussa XNUMX.
| Kuukausi | Tietoverkkorikosraportit | Tietoverkkorikosten raportoitu menetys |
| tammikuu 2024 | 196 | £423,500 |
| helmikuu 2024 | 200 | £89,000 |
| maaliskuu 2024 | 191 | £2,200 |
| huhtikuu 2024 | 179 | £24,000 |
| voi 2024 | 173 | £120,400 |
| kesäkuu 2024 | 206 | £5,800 |
| heinäkuu 2024 | 182 | £63,000 |
| elokuu 2024 | 149 | £190,000 |
| syyskuu 2024 | 137 | £14,300 |
| Yhteensä | 1613 | £932,200 |
Tammikuu 2024 oli pahin kuukausi taloudellisille tappioille, 423,500 45 puntaa, mikä oli 206 prosenttia kaikista taloudellisista tappioista yhdeksän kuukauden aikana. Eniten tietoverkkorikoksia kirjattiin kesäkuussa, 5,800 ilmoitusta ja 137 14,300 punnan menetyksiä. Samaan aikaan vähiten tietoverkkorikosilmoituksia tehtiin syyskuussa, XNUMX ilmoitusta ja XNUMX XNUMX punnan tappioita.
Missä yritykset ilmoittivat eniten tietoverkkorikoksista?
Nämä tiedot tallennetaan poliisivoimien toimesta eikä alueellisesti. Ehkä ei ole yllättävää, että Lontoon Metropolitan Police sai eniten tietoverkkorikosilmoituksia järjestöiltä: tammi-syyskuussa tehtiin 325 ilmoitusta ja yhteensä 69,100 97 puntaa taloudellisia menetyksiä. Loput viiden parhaan joukosta vaativat Suur-Manchester (82 raporttia), Thames Valley (54 raporttia), West Yorkshire (47 raporttia) ja West Midlands (XNUMX raporttia).
| arvo | Poliisivoimat | Raporttien määrä | Raportoidut taloudelliset tappiot |
| 1 | Suurkaupungin | 325 | £69,100 |
| 2 | Greater Manchester | 97 | £891 |
| 3 | Thames Valley | 82 | £400 |
| 4 | West Yorkshire | 54 | £50,000 |
| 5 | West Midlands | 47 | £565 |
Tiedot osoittavat, että suuri määrä ilmoituksia ei aina johda suurempiin taloudellisiin tappioihin. Vaikka Suur-Manchester sijoittui toiseksi, organisaatiot menettivät vain 891 puntaa viimeisen yhdeksän kuukauden aikana, ja Thames Valleyn yritykset menettivät 400 puntaa 82 tapaukseen.
Kyberrikollisuus: korkean panoksen uhkapeli
Järjesteltäessä alueita raportoitujen taloudellisten menetysten järjestykseen ilmoitusten määrän sijaan näemme jälleen, että tietoverkkorikosten määrä ei välttämättä lisää yritysten taloudellisten menetysten määrää:
| arvo | Poliisivoimat | Raporttien määrä | Raportoidut taloudelliset tappiot |
| 1 | Surrey | 31 | £442,000 |
| 2 | tuntematon | 101 | £109,200 |
| 3 | Hampshire | 46 | £105,000 |
| 4 | City of London | 35 | £98,700 |
| 5 | Suurkaupungin | 325 | £69,100 |
Surreyn organisaatiot kirjasivat vain 31 ilmoitusta yhdeksässä kuukaudessa, mutta 442,000 47 punnan taloudellisia tappioita – lähes puolet (2024 %) yritysten vuonna 325 ilmoittamista tietoverkkorikollisuuden kokonaistaloudellisista menetyksistä. Raporttien mukaan tällä listalla on vain London Metropolitan ja sijoittuu viidenneksi 69,100 raportilla ja XNUMX XNUMX punnan tappiolla.
Korrelaation puute poliisille tehtyjen ilmoitusten määrän ja ilmoitettujen taloudellisten menetysten välillä osoittaa tietoverkkorikollisuuden umpimähkäisen luonteen. Vain yksi taitavasti toteutettu hyökkäys voi johtaa yrityksen menettämiseen tuhansia tai jopa satoja tuhansia puntia. Keskimääräinen taloudellinen tappio raportoitua tietoverkkorikollisuutta kohti Surreyssa vuonna 2024 on 14,258 213 puntaa verrattuna Lontoon Metropolitanin XNUMX punnan keskiarvoon, vaikka Metropolitanilla on yli kymmenen kertaa enemmän ilmoitettuja tietoverkkorikoksia.
Tapahtumaraportointi ja säännösten noudattaminen
Action Fraud -tilastot edustavat vain raportoituja tietoja. Monista tietoverkkorikoksista ei todennäköisesti ilmoiteta, koska yritykset yrittävät hallita tapauksia ilman poliisin väliintuloa ja vähentää vaikutusta vakuutuksiinsa ja maineeseensa.
A 2021 tutkimus Van de Weijer et al. näytti 529 osallistujalle kolme vinjettiä kuvitteellisista kyberrikollisuustapauksista ja kysyi, miten he reagoisivat tässä tilanteessa. Tutkimuksessa todetaan, että "suurenemmistö pk-yritysten omistajista ilmoitti ilmoittavansa vinjeteistä tulleista tapauksista poliisille, mutta todellisen uhriksi joutumisen jälkeen vain 14.1 prosenttia tietoverkkorikoksista tehtiin poliisille."
Tietoverkkorikoksista ilmoittaminen on nyt vaatimus Euroopan unionissa toimiville organisaatioille juuri päivitetyn verkko- ja tietoturvajärjestelmän (NIS 2) direktiivi, joka tuli voimaan tässä kuussa. Organisaatiot, jotka eivät noudata vaatimuksia, mukaan lukien ne, jotka eivät ilmoita kybervälikohtauksista, uhkaavat mahdollisia taloudellisia seuraamuksia tai jopa suljetaan liiketoiminnasta alueella. Kybertapahtumien ilmoittaminen tulee olemaan myös eurooppalaisen kyberresiliencelain vaatimus sen tullessa voimaan.
Onneksi kansainvälisesti tunnustettu tietoturvastandardi ISO 27001 voi tarjota puitteet NIS 2 -yhteensopivuudelle ja auttaa sinua puolustamaan yritystäsi kyberuhkilta.
ISO 27001:n käyttäminen kyberonnettomuuksien estämiseksi ja NIS 2:n mukaiseksi
ISO 27001 -sertifiointi auttaa yrityksiä parantamaan tietoturva-asentoaan ja vähentämään tehokkaasti kyberhäiriöiden riskiä. Saavuttaakseen ISO 27001 -sertifikaatti, organisaation on rakennettava, ylläpidettävä ja jatkuvasti parannettava ISO 27001 -yhteensopiva tietoturvan hallintajärjestelmä (ISMS) ja saattamaan akkreditoidun tarkastuselimen suorittaman ulkoisen tarkastuksen onnistuneesti päätökseen.
ISO 27001 -sertifioitu ISMS voi parantaa organisaatiosi tietoturvaa ja noudattaa NIS 2 -standardia seuraavilla tavoilla:
Riskienhallinta
Riskienhallinta ja -käsittely ovat standardin ISO 27001 lausekkeen 6.1, riskien ja mahdollisuuksien käsittelemiseen tähtäävien toimien ja NIS 2:n artiklan 21 vaatimuksia. Organisaation tulee tunnistaa kuhunkin ISMS:n piiriin kuuluvaan tietoresursseihin liittyvät riskit ja valita kullekin tarkoitukseen sopiva riskinkäsittely. riski – hoitaa, siirtää, sietää tai lopettaa.
ISO 27001 -standardin liitteessä A esitetään 93 valvontaa, jotka organisaatiosi on otettava huomioon riskienhallintaprosessissa. Sovelluslausunnossa (SoA) sinun on perusteltava päätös soveltaa tai olla soveltamatta valvontaa. Tämä perusteellinen lähestymistapa riskienhallintaan ja hoitoon mahdollistaa sen, että organisaatiosi voi tunnistaa, hoitaa ja lieventää riskejä koko niiden elinkaaren ajan, mikä vähentää vaaratilanteen todennäköisyyttä ja vaikutusta, jos tapahtuma sattuu.
Vahinkotapahtuma
Organisaatiosi tulee ottaa käyttöön tapaturmien hallintaprosessit ja tapahtumalokit, jotka ovat yhdenmukaisia ISO 27001 -standardin liitteen A.5.24, A.5.25 ja A.5.26 kanssa, jotka keskittyvät tietoturvahäiriöiden hallinnan suunnitteluun, valmisteluun, päätöksiin ja niihin reagoimiseen. NIS 2:n artikla 21 edellyttää myös tapausten hallintamenettelyä ja vastauslokia. Tämä varmistaa, että organisaatiollasi on prosessi, jolla voit hallita ja minimoida tapahtumien vaikutus.
Työntekijöiden koulutus ja tietoisuus
Tietoturvatietoisuuden kulttuurin edistäminen on olennainen osa ISO 27001:tä ja yhtä tärkeää NIS 2 -yhteensopivuuden kannalta, jota vaaditaan ISO 27001 -standardin liitteen A.6.3, tietoturvatietoisuus, koulutus ja koulutus sekä NIS 2:n 21 artikla. koulutus- ja tietoisuussuunnitelman avulla voit kouluttaa työntekijöitä kyberriskeistä. On myös tärkeää varmistaa, että työntekijät tietävät vahvojen salasanojen tärkeyden ISO 27001 -salasanakäytäntösi mukaisesti.
Uhkailijat käyttävät usein hyväkseen inhimillisiä virheitä yrittäessään päästä käsiksi arkaluontoisiin tietoihin ja jopa suostuttelemaan työntekijöitä tekemään taloudellisia tapahtumia tietojenkalasteluviestien tai kehittyneiden tekoälypohjaisten syväväärennösten avulla. Ison-Britannian yritysten Action Fraudille tänä vuonna ilmoittamista 1,613 919 verkkorikoksesta 56 (XNUMX %) kirjattiin sosiaalisen median ja sähköpostin hakkerointikoodilla. Koulutus- ja tietoisuussuunnitelman laatiminen ja työntekijöiden kouluttaminen on elintärkeää näiden tapausten riskin vähentämiseksi.
BOO-st Your tietoturva-asento tänään
Kun uudet kybersäädökset, kuten Cyber Resilience Act ja Digital Operational Resilience Act (DORA), ovat näköpiirissä, nyt on aika mennä eteenpäin. Varaa esittelysi oppia vähentämään riskejä, vahvistamaan mainettasi, navigoimaan monimutkaisessa sääntelyympäristössä ja saavuttamaan ISO 27001 -yhteensopivuus ISMS.onlinen avulla. Voit myös löytää käytännön ohjeita NIS 2 -yhteensopivuuden hallitseminen ISO 27001 -standardin avulla webinaarissamme A-LIGN-, Cybercontrols.io- ja ISMS.online-asiantuntijoiden kanssa.
