Tässä on kaikki, mikä on vialla kyberturvallisuudessa Yhdistyneessä kuningaskunnassa tänään
Sisällysluettelo:
Hyödyllisen vuotuisen tilannekuvan Yhdistyneen kuningaskunnan yritysten turvallisuusasenteista löydät vain hallituksen Kyberturvallisuusloukkausten tutkimus. Se tarjoaa suhteellisen yksityiskohtaisen kuvan siitä, mikä toimii ja mikä ei, yleisemmin. Kaiken kaikkiaan kolme neljäsosaa yrityksistä (nousu 93 prosenttiin keskisuurista ja 98 prosenttiin suurista yrityksistä) sanoo, että niiden hallitus pitää kyberturvallisuutta "korkein prioriteettina". Mutta sanominen ei tee.
Monilla osa-alueilla on selkeästi parantamisen varaa, mukaan lukien häiriötilanteiden reagointi, toimitusketjun turvallisuus, hallituksen vastuullisuus ja riskienhallinta. Ehkä huolestuttavinta on tietoisuuden puute hallituksen johtamista turvallisuuskehyksistä ja aloitteista. Parhaiden käytäntöjen standardien, kuten ISO 27001, ohella ne voivat parantaa merkittävästi UK PLC:n kybersietokykyä.
Tilaa parannuksille
Otsikkotilasto on, että puolet (50 %) vastanneista yrityksistä ilmoittaa kokeneensa jonkinlaisen tietoturvaloukkauksen tai -hyökkäyksen viimeisten 12 kuukauden aikana – tämä on 70 % keskisuurista yrityksistä (ja 74 % suurista yrityksistä). Tämä on huomattavasti enemmän kuin viime vuonna vastaava luku 32 %, 59 % ja 69 %, mutta se ei välttämättä tarkoita lisää rikkomuksia – voi olla, että niitä havaitaan enemmän. Itse asiassa raportti alkaa hyvillä uutisilla.
Tutkimuksen mukaan, joka on koottu 2,000 44 brittiyrityksen kyselystä ja XNUMX:n seurantahaastatteluista, kyberhygienia on paranemassa. Raportti korostaa vuosittaista kasvua yritysten lukumäärässä, jotka harjoittavat:
- Ajantasainen haittaohjelmasuojaus (76 % vuonna 2023 83 % vuonna 2024)
- Pääkäyttäjän oikeuksien rajoittaminen (67 % - 73 %)
- Verkon palomuurit (66–75 %)
- Sovitut prosessit tietojenkalasteluviesteille (48–54 %)
Raportin mukaan tämä on käänteinen malli, joka on nähty tutkimuksen kolmena edellisenä vuonna, jolloin joillakin alueilla on tapahtunut jatkuvaa laskua. Seuraavat asiat ovat kuitenkin edelleen huolissaan:
Riskienhallinta: Alle kolmanneksella (31 %) yrityksistä suoritti kyberriskiarvioinnit kuluneen vuoden aikana (nousu 63 prosenttiin keskisuurista ja 72 prosenttiin suurista yrityksistä). Lisäksi vain kolmasosa (33 %) otti käyttöön tietoturvavalvonnan (63 %, 71 %).
Toimittajariski: Vain 11 % yrityksistä tarkastelee toimitusketjun riskejä – keskisuurista yrityksistä vain 28 % ja suuryrityksistä alle puolet (48 %).
Hallituksen sitoutuminen: Vain 30 prosentilla vastaajista hallituksen jäsenet ovat suoraan vastuussa kyberasioista osana rooliaan, mikä on puolet (51 %) keskisuurista yrityksistä ja 63 prosenttia suurista yrityksistä. Tämä on pysynyt muuttumattomana viime vuodesta.
Strategia: Vain 58 prosentilla keskisuurista yrityksistä ja 66 prosentilla suurista yrityksistä on edes virallinen kyberturvallisuusstrategia.
Tapahtumavastaus: Vain viidennellä (22 %) on suunnitelmat onnettomuuksien varalta, mikä on 55 % ja 73 % keskisuurista ja suurista yrityksistä.
Ulkoinen apu: Vain 41 % vastaajista sanoo hakevansa tietoa tai ohjausta kyberturvallisuudesta organisaation ulkopuolelta, mikä on vähemmän kuin vuonna 2023 (49 %). Vain 13 % on tietoisia kansallisen kyberturvallisuuskeskuksen toiminnasta 10 askeleen opastus (37 %, 44 %) ja vain 12 % sanoi saman asian Cyber Essentials (43 %, 59 %).
Mitä asiantuntijat ajattelevat
Marie Wilcox, Panaseerin turvallisuusevankelista, väittää, että edes kyberhygienian parannukset eivät voi peittää monien Yhdistyneen kuningaskunnan yritysten huonoa turvallisuusasentoa.
"Organisaatiot eivät edelleenkään pysty toteuttamaan olennaisia turvatarkastuksia. Parhaimmillaan organisaatiot ovat edelleen alle vuoden 2021 standardit. Jopa suuret yritykset, jotka ymmärtävät riskejä, epäonnistuvat usein toteuttamaan valvontaa kunnolla – ainakin 29 %:lla ei ole käytössään korjaustiedostojen hallintaa tai organisaation omistamien laitteiden pääsyn rajoittamista koskevia valvontatoimia”, hän perustelee.
”Hyökkääjät pyrkivät poimimaan alhaisimman roikkuvan hedelmän, joten 98 % tietomurroista voitaisiin estää keskittymällä turvallisuuden perusasioihin ja parempaan kyberhygieniaan. Siirtyminen kohti lauman keskikohtaa oikeanlaisten hallintalaitteiden ja käytäntöjen avulla auttaa torjumaan suurimman osan hyökkäyksistä."
Cyleran turvallisuuspäällikkö Richard Staynings pitää kolmannen osapuolen riskinhallintaa kriittisenä epäonnistumisena monille Yhdistyneen kuningaskunnan yrityksille. Hän väittää, että myyjien ei koskaan pitäisi voittaa sopimuksia kriittisen infrastruktuurin aloilta, kuten terveydenhuollon, yksinkertaisesti alimman tarjouksen perusteella.
"Ongelmana on, että harvat yritykset noudattavat [turvallisuuden parhaita käytäntöjä] kolmansien osapuolten kanssa tekemissään sopimuksissa, mikä tekee edellytyksenä varmistaa, että niillä on käytäntöjä ja menettelyjä, jotka vastaavat omia standardejamme, että niillä on laadunvarmistus, henkilöstön koulutus ja pääsynvalvonta. ja että ne tarjoavat ISO/IEC 27001 -sertifikaatin, joka on maailman tunnetuin tietoturvan hallintajärjestelmien (ISMS) standardi”, hän lisää.
Socuran toimitusjohtaja Andy Kays on erityisen tyrmistynyt suhteellisen pienestä osuudesta yrityksiä, joilla on virallisia suunnitelmia onnettomuuksien torjuntaan – tosiasiaa hän kuvailee "hämmästyttäväksi".
”Yrityksillä on aina suunnitelma tulipalon varalta, mutta ne eivät noudata samaa huolellisuutta tietomurron yhteydessä – mikä on tilastollisesti paljon todennäköisempää. Se lentää tervettä järkeä vastaan”, hän jatkaa.
”Rikkomustapauksissa yritykset eivät pidä kirjaa, eivät ilmoita poliisille tai viranomaisille, eivät arvioi tapahtuman laajuutta ja vaikutuksia. He eivät pysty tekemään minimiä. On myös tärkeää huomata, että yritykset tekevät vain vähän estääkseen tai havaitakseen rikkomuksia."
Kestävämmän tulevaisuuden rakentaminen
Yksi raportin pettymyksellisimmistä havainnoista on tietoisuuden puute hallituksen turvallisuusaloitteista, kuten 10 Steps ja Cyber Essentials, joiden tarkoituksena on parantaa tavallisten yritysten perusturvaa. Sama koskee maailmanlaajuisesti tunnettuja parhaiden käytäntöjen turvastandardeja, kuten ISO 27001, vaikka jotkut vastaajat suhtautuivat siihen myönteisesti. Matt Thomas, NCC Groupin Ison-Britannian markkinoista vastaava johtaja, väittää, että sen pitäisi olla monien suurempien organisaatioiden tehtävälistalla.
”Vaikka ISO 27001 -sertifiointi ensisijaisesti tasoittaa tietä yrityksille, jotka voivat lisätä kybersietokykyään, hyödyt menevät paljon pidemmälle. Uskottavuuden näkökulmasta se voi auttaa maineen turvaamisessa. Ja maailmanlaajuisesti tunnustettuna viitekehyksenä se voi auttaa auditoinneissa ja strategioiden mukauttamisessa sekä varmistaa, että yritykset noudattavat lainsäädäntöä ja välttävät kalliit sakot", hän kertoo ISMS.online-sivustolle.
”Jos ISO 27001 otetaan käyttöön laajemmin, voimme nähdä hyvin toisenlaisen kuvan, kun tulevat tietoturvaloukkaustutkimukset julkaistaan. Yritykset, jotka suhtautuvat ennakoivasti kyberhygieniaan, joutuvat epäilemättä vähemmän todennäköisemmin kyberhyökkäyksen uhriksi."
Keith Fenner, EMEA:n ja Diligentin johtaja, päättelee, että EU:n lainsäädäntö, kuten NIS 2 ja DORA, pakottaa monet organisaatiot parantamaan riskienhallintaansa ja raportointiaan.
"Valmistautuakseen organisaatiot tarvitsevat vankan IT-vaatimustenmukaisuusohjelman, jota yhä enemmän tukevat tekoäly ja automaatioominaisuudet, jotta ne voivat kohdistaa säädöt useisiin säädöksiin ja valvoa jatkuvasti valvontaa vähentääkseen tietomurtojen todennäköisyyttä", hän kertoo ISMS.online-sivustolle.
"Tämän ohjelman tulisi olla osa integroitua GRC-alustaa, joka helpottaa sekä sisäisiä että ulkoisia auditointeja, mahdollistaa useiden organisaation sidosryhmien katselun ja yhteistyön sekä mahdollistaa virtaviivaistetun raportoinnin hallitukselle, jotta kyberriskit integroidaan organisaation yleisstrategiaan. . Lopuksi hallituksen ja johdon tulisi hyödyntää koulutusohjelmia ja sertifikaatteja – sekä hyödyntää CISO-vaatimuksiaan – kehittääkseen kyberlukutaitoaan, jotta he voivat hallita tehokkaasti koko yrityksen laajuisia kyberriskejä."
