Me kaikki tiedämme, että monet organisaatiot voisivat parantaa tietosuojaansa. Yhdistyneen kuningaskunnan hallituksen Cyber Security Breaches Survey 2025 korostaa kokonaisen luettelon puutteista – tiedotuskoulutuksesta tietoturvaloukkauksiin reagointiin – jotka altistavat heidät epäsuorasti kyberriskeille. Edes tiukan tietosuojakehyksen (GDPR/tietosuojalaki 2018) olemassaolo viimeisten seitsemän vuoden aikana ei ole auttanut hillitsemään tätä kehitystä. hallituksen väitteet Yli kaksi viidesosaa (43 %) Yhdistyneen kuningaskunnan yrityksistä on kokenut hyökkäyksen tai tietomurron viimeisen 12 kuukauden aikana.
Nopeisiin voittoihin on kuitenkin runsaasti mahdollisuuksia, kuten uusi raportti korostaa. Huntsmanin turvallisuusSiinä todetaan, että 30 % Yhdistyneen kuningaskunnan ja Australian tietosuojaviranomaisille viime vuonna ilmoitetuista tapauksista oli vastuussa 90 %:sta tietomurtojen uhreista. Raportin havainnot voisivat siten tarjota hyödyllisen lähtökohdan rahapulassa oleville organisaatioille keskittää välittömät toimensa.
Miten Iso-Britannia ja Australia eroavat toisistaan
Huntsman Security lähetti tiedonvapauspyynnön (Freedom of Information Commissioner's Office, FOI) sekä Ison-Britannian että Australian tiedotusvaltuutetulle (OAIC). Tulokset antavat hieman erilaisen kuvan sääntely- ja yritystietoturvatilanteesta kummassakin maassa.
Iso-Britannia: Brittiläisten yritysten ICO:lle viime vuonna raportoimista 9,654 2,817 tietoturvahäiriöstä 29 80 (13.9 %) liittyi raa'an voiman hyökkäyksiin, haittaohjelmiin, tietojenkalasteluhyökkäyksiin, kiristysohjelmiin ja järjestelmän virheellisiin kokoonpanoihin. Silti nämä tapaukset muodostivat lähes 17.6 % tietomurtojen uhreista: XNUMX miljoonaa XNUMX miljoonasta.
Huntsman Security väitti, että nämä edustivat myös 90 %:a kyberturvallisuuteen liittyvistä tapauksista, mikä tarkoittaa, että keskittyminen tietoturvatoimenpiteisiin voisi olla tehokas tapa lieventää niitä. Monet tapaukset olivat ilmeisesti erittäin kohdennettuja ja siten suunniteltu johtamaan arvokkaiden tietojen, kuten terveystietojen, taloudellisten tietojen ja henkilöllisyystodistusten, varastamiseen.
Australia: Yhteensä 1,188 32 tapausta (2022 % vuosina 24/77 raportoiduista kokonaismäärästä) sisälsi raa'an voiman hyökkäyksiä, haittaohjelmia, tietojenkalastelua, kiristysohjelmia, hakkerointia ja luvatonta pääsyä. Nämä olivat vastuussa 62 %:sta kaikista vaarantuneista tietueista. Raportista käy myös ilmi, että rikolliset hyökkäykset (toisin kuin tahattomat tietomurrot) muodostivat 98 % kaikista tietomurroista, mutta XNUMX % kaikista uhreista.
Raportissa korostetaan myös, että Australiassa organisaatioilla kesti 48 päivää tunnistaa nämä tietomurrot ja 86 päivää ennen kuin ne ilmoitettiin OAIC:lle. Tämä ei yksinkertaisesti ole sallittua GDPR:n nojalla, jossa ilmoitus on useimmissa tapauksissa tehtävä 72 tunnin kuluessa.
Missä Iso-Britannia epäonnistuu
Nämä löydökset ovat jossain määrin yhdenmukaisia Yhdistyneen kuningaskunnan hallituksen raportin kanssa rikkomuksista. Kuten aiemmin on raportoitu ISMS.online, se korostaa useita ongelmia, jotka myötävaikuttavat ehkäistävissä olevien tietomurtojen lisääntymiseen, mukaan lukien yleinen puute:
- Henkilökunnan koulutusohjelmat, jossa käyttöaste ei ollut muuttunut edellisvuoden raportista
- Kolmannen osapuolen toimittajan riskiarvioinnit, joita toteutti vain 32 % keskisuurista ja 45 % suurista yrityksistä
- Tapahtumasuunnitelmat, joita käytti vain puolet (53 %) keskisuurista yrityksistä ja kolme neljäsosaa (75 %) suurista yrityksistä
- Kyberturvallisuusstrategia: vain 57 prosentilla keskisuurista yrityksistä ja 70 prosentilla suuremmista yrityksistä oli edes sellainen
- Edustus johtokunnassa kyberasioissa: vain puolella (951 %) keskikokoisista yrityksistä ja kahdella kolmasosalla (66 %) suurista yrityksistä oli kyberstrategiasta vastaava henkilö johtoryhmässä – luku on käytännössä muuttumaton kolmen vuoden ajan
- Kuukausittaiset kyberpäivitykset yritysjohtajille, jota vain 39 % keskisuurista ja 55 % suurista yrityksistä tekee
Parhaiden käytäntöjen yhdenmukaistaminen standardien kanssa
Huntsman Securityn luvuissa on yksi varoitus. Ne laskevat vain tapaukset, joissa kullekin tietomurrolle voitiin tunnistaa syy. Monille muille ei ehkä ole määritetty syytä huonon rikostutkinnan tai tietomurtoihin reagoinnin vuoksi. Luvut kuitenkin korostavat tärkeää viestiä. Keskittymällä edellä mainittuihin tapaustyyppeihin ja uhkiin sekä parhaisiin kyberturvallisuusprosesseihin, joiden tiedetään lieventävän näitä riskejä, tietoturvatiimit voivat saavuttaa hyödyllisiä nopeita voittoja.
Morten Mjels, konsulttiyrityksen toimitusjohtaja Vihreä korppi, väittää, että kulttuuri on avainasemassa parhaiden käytäntöjen noudattamisen varmistamisessa.
”Muutoksen täytyy tulla ylhäältä alas, ja kulttuuria voi muuttaa yksinkertaisesti ottamalla käyttöön useita käytäntöjä kerralla”, hän kertoo ISMS.online-sivustolle. ”Jos et tiedä lainkaan mahdollisesta altistumisestasi, teetä riskinarviointi ammattimaisesti. He pystyvät löytämään reiät seinissäsi ja voivat auttaa sinua korjaamaan ne. Älä luota IT-henkilöstösi korjaavan kaiken; he eivät ole kaikkitietäviä ihmeidentekijöitä.”
Huntsmanin tuotepäällikkö Piers Wilson kertoo ISMS.online-sivustolle, että standardit ja viitekehykset, kuten ISO 27001 ja ISO 27701, ”voivat olla tärkeä osa kyberriskien lieventämistä varmistamalla, että organisaatiot ymmärtävät riskinsä, noudattavat parhaita käytäntöjä ja määrittelevät asianmukaiset valvontakeinot.”
Hän lisää: ”Tärkeintä on valita, mitä viitekehystä sovelletaan: onko se ISO, NIST vai pienempiä, kohdennetumpia standardeja ja järjestelmiä, kuten Cyber Essentials tai Australian Essential Eight.”
Tavoitteena tulisi koko ajan olla sellaisten kontrollien luominen, jotka ymmärretään ja tunnustetaan laajalti ja joita sitten sovelletaan yleisesti, hän lisää.
”Useimmissa tapauksissa ongelma ei ole tarkoitus tai käytäntö, vaan toteutus. Standardien noudattamisesta voi tulla pelkkää rastittamista, eikä auditointien ja raportoinnin tiheys välttämättä ole riittävä nykyaikaisten, muuttuvien kyberuhkien varalta”, Wilson väittää.
”Vuosittainen auditointi tai neljännesvuosiraportti ei anna reaaliaikaista näkyvyyttä ja ymmärrystä haavoittuvuuksista, jota nykyaikainen uhkakuva vaatii. Näiden auditointien välillä organisaation tilanne voi vaihdella ja olla pitkälti epävarma.”
Siksi ISO 27001 -standardi edellyttää organisaatioilta säännöllisiä sisäisiä auditointeja ja jatkuvaa seurantaa jatkuvan parantamisen edistämiseksi.
Wilson huomauttaa, että tehokas viestintä on ratkaisevan tärkeää vaatimustenmukaisuuden saavuttamiseksi.
”Jokaisen organisaation sidosryhmän, turvallisuusanalyytikoista riskienhallintatiimeihin ja johtajiin, on ymmärrettävä yhdellä silmäyksellä, noudatetaanko hyviä, sovittuja käytäntöjä, mitä valtion rajoituksia todellisuudessa on olemassa ja kuka on vastuussa ongelmien korjaamisesta”, hän päättelee.
”Tämän jatkuvan näkyvyyden ja viestinnän varmistaminen on elintärkeää, jotta näillä standardeilla olisi haluttu vaikutus.”
