Ison-Britannian CNI-palveluntarjoajat kamppailevat: Vuodesta 2025 tulee kriittinen vuosi kybermaailmalle
Sisällysluettelo:
Ison-Britannian kriittinen kansallinen infrastruktuuri (CNI) on nimetty sellaiseksi syystä. Palveluntarjoajien tallentamat suuret arkaluontoisen tiedon määrät, niiden alhainen keskeytyssieto ja kriittisyys kansallisen ja taloudellisen turvallisuuden kannalta tekevät niistä kuitenkin myös kohteena. Rohkeutuneet kansallisvaltion toimijat, hacktivistit ja taloudellisesti motivoituneet kyberrikolliset löytävät yhä useammin tietoturvaaukkoja, joita voidaan hyödyntää.
Maailmanlaajuisesti yli kaksi viidesosaa (42 %) raportoitu tietomurtoja viimeisen vuoden aikana, ja 93 prosentissa hyökkäykset ovat lisääntyneet. Kun Yhdistyneen kuningaskunnan lainsäädäntöä odotetaan tulevana uudelle vuodelle, CNI-yritysten on selvästi parannettava kybersietokykyään. Hyvä uutinen on, että standardeja on jo olemassa, jotka ohjaavat heitä näissä pyrkimyksissä.
Mitä tapahtuu?
Ei ole olemassa tyypillistä CNI-yritystä yleishyödyllisten palvelujen tarjoajista rahoituspalveluihin, terveydenhuoltoorganisaatioihin ja puolustusalan valmistajiin. Mutta monet ovat joutuneet samojen uhkien kohteeksi, mukaan lukien haavoittuvuuksien massahyödyntäminen venäläisten näyttelijöiden toimesta ja kohdistettuja tietojenkalastelukampanjoita Iranin valtion hakkerit.
Isossa-Britanniassa vuonna 2024 tapahtui merkittäviä kiristysohjelmia ja tietomurtoja tärkeässä NHS-palveluntarjoajassa (Synnovis) ja klo MoD, mikä saattaa vaarantaa ihmishenkiä. Kiristysohjelmahyökkäyksiä on tapahtunut suunnattu lastensairaaloihin ja duuri kuljetuspalvelujen tarjoajat. Mutta näiden yksittäisten tapausten lisäksi voimme paljastaa seuraavat suuntaukset:
Sisäpiiriuhkaukset: Thalesin mukaan 30 % CNI-organisaatioista koki sisäpiirin uhkaamisen viimeisen vuoden aikana. Erikseen, Bridewell varoittaa että 35 % CNI:n tietoturvajohtajista uskoo, että henkilökohtaiset taloudelliset ongelmat pakottavat työntekijät turvautumaan tietovarkauksiin ja sabotaasiin.
Stressi ja työuupumus: Varsinkin turvallisuusjohtajat tuntevat painetta. Vuonna 2022 a raportti väitti että 95 % koki tekijöitä, jotka saivat heidät todennäköisesti jättämään tehtävänsä seuraavan 12 kuukauden aikana.
Pysähtyvät budjetit: Kyberturvallisuuteen varattu osuus IT- (33 %) ja OT (30 %) budjeteista vuonna 2024 laski dramaattisesti vuodesta 2023 lähtien 44 prosenttia ja 43 prosenttia.
Luottamuksen lasku työkaluihin: Bridewell väittää, että lähes kolmasosa (31 %) CNI-tietoturvajohtajista piti "luottamusta kyberturvallisuustyökaluihin" vuoden 2024 suurimmaksi haasteeksi, mikä merkitsee 121 prosentin vuotuista kasvua.
Hämärät rajat valtion ja kyberrikollisuuden uhkien välillä: Venäjän valtion roolia sairaaloihin ja muihin Yhdistyneen kuningaskunnan CNI:ihin kohdistuvien taloudellisten hyökkäysten suojelemisessa ja rohkaisemisessa puhutaan yhä enemmän korkeimmalla tasolla.
NCSC huomautti lausunnossaan Vuosikatsaus: ”Venäjä innostaa Ukrainan toiminnallaan ei-valtiollisia uhkatoimijoita toteuttamaan kyberhyökkäyksiä läntistä CNI:tä vastaan. Nämä uhkatoimijat eivät ole muodollisen tai avoimen valtion valvonnan alaisia, mikä tekee heidän toiminnastaan vähemmän ennakoitavissa. Tämä ei kuitenkaan vähennä Venäjän valtion vastuuta näistä ideologisista hyökkäyksistä.
Kasvava hienostuneisuus. Vaikka ei keskittynyt Yhdistyneeseen kuningaskuntaan, kiinalainen ryhmä Volt Typhoon esitteli hienostunutta kauppaa monivuotisessa kampanjassa, joka paljastui aiemmin vuonna 2024 ja jonka aikana se soluttautui Yhdysvaltain CNI-verkkoihin sabotoidakseen kriittisiä palveluita konfliktin sattuessa.
"Monet CNI-järjestelmät perustuvat vanhentuneeseen teknologiaan, mikä tekee niistä haavoittuvia hyökkäyksille ja niitä on vaikea suojata. Monimutkaisissa ja kehittyvissä sääntelyvaatimuksissa liikkuminen vaatii merkittäviä resursseja ja asiantuntemusta”, Thalesin EMEA-alueen tekninen tietoturvajohtaja Chris Harris kertoo ISMS.online-sivustolle.
”Lisäksi ammattitaitoisten kyberturva-ammattilaisten puute vaikeuttaa kykyä hallita uhkia ja vastata niihin tehokkaasti. Uusien teknologioiden käyttöönoton tasapainottaminen vankkojen turvatoimien kanssa on jatkuva haaste.”
Bridewellin teknologiajohtaja Martin Riley on samaa mieltä ja lisää, että operatiivinen teknologia (OT) on toinen suuri haaste CNI-yrityksille.
"OT-laitteilta puuttuu yrityksen tietoturvan tiukka tarkkuus, ja jatkuva huoli vaikutuksesta toimintaan sekä terveyteen ja turvallisuuteen. Vanhoissa järjestelmissä, joista monet ovat yli 20 vuotta vanhoja, eivät useinkaan ole nykyaikaisia tietoturvaominaisuuksia, ja trendi OT:n lähentymisessä IT-järjestelmien kanssa lisää hyökkäyspintaa”, hän kertoo ISMS.online-sivustolle.
”Ammattitaitopulan vuoksi CISO:t eivät voi käyttää OT-kohtaista asiantuntemusta kehittääkseen oikeasuhteisia kyberturvallisuussuunnitelmia ja siltaavat IT- ja OT-turvallisuutta tämän riskin vähentämiseksi. Erityisen yleistä on reunalaitteiden lisääntyminen IT OT:ssa ja IoT-infrastruktuurit, joita voitaisiin hyödyntää maan ulkopuolella tapahtuvissa hyökkäyksissä, joissa kohteena ovat järjestelmän lailliset työkalut.
Riley lisää, että joissain tapauksissa taitojen puutteet voivat jopa saada OT-tiimit ryhtymään toimenpiteisiin, jotka estävät vahingossa käyttäjien pääsyn aiheuttaen fyysisiä infrastruktuurivaurioita tai jopa vaaran ihmishengelle.
Mitä sääntelyviranomaiset vaativat?
Tarve rakentaa CNI:n kestävyyttä on ilmeinen edellä mainituissa trendeissä ja tapahtumissa, mutta myös sääntelyn tarve kasvaa. Ison-Britannian palveluntarjoajien, jotka toimivat mantereella, on noudatettava tiukkoja uusia perusturvavaatimuksia vaatimukset NIS2:ssa. Direktiivissä myös selvennetään, että ylempiä yritysjohtajia pidetään enemmän vastuussa kyberturvallisuuden puutteista, mukaan lukien henkilökohtainen vastuu vakavista rikkomuksista.
Isossa-Britanniassa saapuva Kyberturvallisuutta ja kestävyyttä koskeva lakiesitys päivittää vuoden 2018 NIS-säännökset kattamaan enemmän palveluntarjoajia, valtuuttamaan sääntelyviranomaisia ja velvoittamaan tapausten raportoinnin. Kaikkia yksityiskohtia ei ole vielä selvitetty, mutta yleinen kulkusuunta sääntelyn näkökulmasta Yhdistyneessä kuningaskunnassa on CNI-yritysten tarkempi valvonta.
Mitä CNI-yritykset voivat tehdä vuonna 2025
"NCSC uskoo, että valtion johtamien uhkien vakavuutta aliarvioidaan ja kriittisen infrastruktuurin, toimitusketjujen ja julkisen sektorin kyberturvallisuutta on parannettava", NCSC sanoo tiedotteessa. Vuosikatsaus.
Se on kaikki hyvin, mutta kuinka palveluntarjoajat voivat parantaa tietoturva-asentoaan erityisesti?
"CNI:llä on edessään erilaisia uhkia, haasteita ja mahdollisuuksia. Ennakoivat toimenpiteet, kuten muodolliset ransomware-vastaukset ja vaatimustenmukaisuuden auditointi, ovat välttämättömiä”, Thales' Harris väittää.
”Nousevat teknologiat, kuten 5G, pilvi, identiteetin ja pääsynhallinta sekä GenAI, tarjoavat uusia tehokkuuksia, kun ne integroidaan CNI-toimintoihin. Korkeammat odotukset ja lisääntyneet sitoutumiset toiminnan kestävyyteen ja luotettavuuteen lisäävät turvallisuutta ja vähentävät CNI-yritysten alttiutta."
Parhaiden käytäntöjen standardi ISO 27001 voisi olla hyvä lähtökohta monille, koska se tarjoaa "vankan kehyksen" tietoturvariskien hallintaan, hän jatkaa.
"ISO 27001:n noudattaminen varmistaa, että CNI-operaattorit ottavat käyttöön kyberturvallisuuden parhaat käytännöt, mukaan lukien riskien arvioinnin, tapausten hallinnan ja jatkuvan parantamisen", Harris sanoo.
Bridewell's Riley tukee myös alan parhaita käytäntöjä.
"Tyypillisen CNI-palveluntarjoajan paras kyberturvallisuusstrategia kohdistaa IT- ja OT-riskirekisterit arvioimaan riskejä kokonaisvaltaisesti. Tätä tulisi ohjata yhdistämällä ja yhdistämällä ISO 27001 -säätimet NIST CSF-, NCSC CAF-, NIS-sääntöihin tai tiettyihin OT-kehykseen, kuten IEC 62443, hän selittää.
"ISO 27001 ei yksinään edistä CNI-turvallisuuden parantamista. Monet organisaatiot ylläpitävät yhtä soveltamisalaa ja sovellettavuutta, joka kattaa vain yrityksen. Tästä syystä on niin tärkeää, että CNI-organisaatiot sisällyttävät muita puitteita ja määräyksiä moniulotteisen ISMS:n strategiaansa. Moniulotteisen ISMS:n rakentaminen voi olla monimutkaista, mutta se ei ole mahdotonta, jos OT ja IT erotetaan tehokkaasti ja asiaankuuluvat määräykset sisällytetään.
