ncsc kings puheblogi

NCSC:n vuosikatsaus 2023 ja Kingin puhe vahvistavat kyberturvallisuuden ja tietosuojan merkitystä

Kaksi Ison-Britannian kyberturvallisuusalan kalenterin merkittävimmistä tapahtumista viime kuukausina olivat National Cyber ​​Security Center (NCSC) Annual Review 2023 -julkaisu ja King's Speech.

NCSC Annual Review 2023:n mukaan valtion virasto pohtii kyberturvallisuusriskien maisemaa, trendejä ja työtään syyskuun 2022 ja elokuun 2023 välisenä aikana. Siinä käsitellään kaikkea kansallisvaltioiden aiheuttamasta uhasta kiristysohjelmahyökkäysten vaikutuksiin Ison-Britannian yrityksiin ja kansalaisiin. .

Tämän raportin julkaisemisen myötä kuningas Kaarle III:n ensimmäinen puhe House of Lordsista oli historiallinen hetki, ja siinä esitettiin kaksi uutta tulevaa kyberturvallisuus- ja tietosuojamääräystä. Tässä blogissa erittelemme NCSC:n vuosikatsauksen 2023 ja King's Speechin kyberturvallisuuselementtejä. 

Kansallisvaltion uhkat 

Vuoden 2023 vuosikatsauksessaan NCSC tutkii kyberturvallisuusuhkia, joita pahat kansallisvaltiot, kuten Kiina, Venäjä, Iran ja Pohjois-Korea, aiheuttavat Ison-Britannian kansalliselle turvallisuudelle, yrityksille, organisaatioille ja kansalaisille. 

NCSC näkee erityisesti Kiinan kasvavan teknisen suurvalta-aseman merkittävänä uhkana Britannian kansalliselle turvallisuudelle. Järjestö kuvailee Kiinaa "Ison-Britannian turvallisuuden aikakauden määritteleväksi haasteeksi" ja uskoo, että maasta tulee johtava kyberavaruusmahti, jos Britannia ei paranna kestävyyttään ja valmiuksiaan tällä alueella.

Se havaitsi, että kiinalaiset hakkerit käyttävät edelleen "kehittyneitä" kybervalmiuksia "uhatakseen Yhdistyneen kuningaskunnan etujen turvallisuutta ja vakautta" strategisesti. Brittiläiset startupit, tutkimus ja innovaatio ovat ensisijaisia ​​kohteita. NCSC kutsui Kiinan kyberturvallisuushaasteita "globaaleiksi ja systemaattisiksi" ja kehotti Britanniaa, sen liittolaisia ​​ja teollisuuskumppaneita lisäämään ymmärrystään näistä uhista. 

Toinen kybersodankäyntiin keskittyvä kansallisvaltio on Venäjä. Lähes kaksi vuotta Ukrainan hyökkäyksen jälkeen Venäjän hallitus ja siihen liittyvät hakkerit jatkavat kyberhyökkäyksiä Ukrainan hallitusta ja Ukrainassa sijaitsevia yrityksiä vastaan. Heidän suosikkitaktiikansa ovat hajautetut palvelunesto- ja datapyyhkijähyökkäykset, vaikka NCSC väittää, että "vaikutus Ukrainaan on ollut odotettua pienempi". Se selittää tämän maan "hyvin kehittyneen" tietoverkkoturvallisuus valmiuksia ja kansainvälistä tukea. 

Kaksi muuta maata, joilla on merkittäviä kyberturvallisuusuhkia, ovat Iran ja Pohjois-Korea. NCSC kuvaili Irania "aggressiiviseksi ja kykeneväksi kybertoimijaksi", joka "melkein varmasti käyttää kyberiä tavoitteissaan" ja kohdistuu kaikkiin poliitikoista toimittajiin. Samaan aikaan Pohjois-Korean hakkerointitoiminnan tavoitteena on auttaa sen vaikeuksissa olevaa taloutta "laittomalla tulonkeräyksellä ja pakotteiden kiertämisellä". Pohjoiskorealaiset hakkerit käynnistävät kyberhyökkäyksiä useita kansainvälisiä yrityksiä, hallituksia ja instituutioita vastaan ​​päästäkseen käsiksi arvokkaaseen tietoon. 

Ransomware Leads Way 

NCSC:n raportti tutkii myös kehittyvää kyberturvallisuusmaisemaa. Ransomware on yksi suurimmista kyberturvallisuusuhkista, joita Yhdistyneessä kuningaskunnassa toimivat yritykset ja organisaatiot kohtaavat, ja NCSC varoittaa, että niiden pitäisi "ryhtyä toimiin suojatakseen itseään tältä leviävältä uhalta".

Vaikka kyberrikolliset tekevät pääasiassa kiristysohjelmahyökkäyksiä "varastamalla ja salaamalla tietoja", NCSC on varoittanut organisaatioita ja yrityksiä pysymään valppaina tietojen kiristyshyökkäyksistä. Nämä näkevät rikollisten varastavan, mutta eivät salaa tietoja. 

Ransomware-uhrit tekivät 297 ilmoitusta NCSC:lle syyskuun 2022 ja elokuun 2023 välisenä aikana, joista eniten kärsivät akateeminen (50), valmistus (28), IT (22), rahoitus (19) ja suunnittelu (18). 

James Watts, toimitusjohtaja Datakasarmit, odottaa kiristysohjelmahyökkäysten lisääntyvän Yhdistyneen kuningaskunnan kohteisiin ja kehottaa heitä ryhtymään toimiin tämän uhan lieventämiseksi. Hän sanoo: ”Tee suunnitelma, testaa ja harjoittele usein, päivitä sitä tarvittaessa.

”Jos kohtaat onnistuneen kiristysohjelmahyökkäyksen, sen vaikutus voi olla katastrofaalinen, jos et ole valmistautunut. Tämä riski kasvaa, jos organisaatiosi käsittelee ja tallentaa arkaluontoisia tietoja."

Muut kyberuhat

Petokset ovat toinen merkittävä uhka, joka vaikuttaa sekä brittiläisiin yrityksiin että yksityishenkilöihin, ja suuri osa niistä (80 %) on kyberkäyttöisiä. Verkkopetosten uhriksi joutumisen välttämiseksi NCSC suosittelee käyttämään kolmea satunnaista sanaa salasanojen luomiseen ja kaksivaiheisen todennuksen määrittämiseen kaikilla Internet-tileillä.

Vuonna 2023 valtion toimijoiden lisäksi valtion toimijoiden lisäksi "uusi ja nousemassa oleva uhka" Britannialle kriittistä kansallista infrastruktuuria (CNI). Nämä ryhmät ovat alkaneet osoittaa "halua saada aikaan häiritsevämpi ja tuhoisempi vaikutus länsimaiseen CNI:hen" perinteisten kyberkampanjoiden, kuten DDoS-hyökkäysten ja verkossa levittämisen, ohella. 

Edistyminen tekoäly teknologia ja suuret kielimallit antavat myös kyberrikollisille mahdollisuuden "parantaa olemassa olevaa kauppaa. NCSC sanoo, että tämän lyhyen aikavälin uhka on nykyisten kyberuhkien voimistuminen. Erityisesti tekoäly antaa kyberrikollisille mahdollisuuden skaalata hakkerointikampanjoitaan ja nopeuttaa niitä. 

Katie Barnett, kyberturvallisuuden johtaja Toro, yhtyy NCSC:n havaintoihin, joiden mukaan tekoälyteknologia "vahvistaa hyökkäyksiä sekä nopeuden että mittakaavan suhteen". Hän sanoo: "Hyökkäysten määrä jatkaa kasvuaan, elleivät organisaatiot ala asettamaan turvallisuutta strategioidensa etusijalle."

Kaupallisten kyberturvallisuustyökalujen ja -palvelujen lisääntynyt saatavuus mahdollistaa myös uhkatoimijoille, mukaan lukien valtiolliset ja ei-valtiolliset, suorittaa kyberhyökkäyksiä nopeammin. Tämä helpottaa heidän "kustannustehokkaiden valmiuksien ja tiedustelutietojen" hankkimista ja tietoverkkorikosten tekemistä "ilman valvontaa tai ymmärrystä siitä, miten kansainväliset normit ovat voimassa". NCSC sanoo tukevansa Yhdistyneen kuningaskunnan hallitusta ja sen liittolaisia ​​varmistamaan, että nämä työkalut luodaan, tuodaan markkinoille ja käytetään laillisesti ja vastuullisesti. 

Vuosina 2022–2023 NCSC sai 2,005 64 ilmoitusta yrityksiltä ja yksityishenkilöiltä kybervälikohtauksesta. Se on 1,226 % enemmän kuin edellisenä vuonna, jolloin organisaatio sai 2,005 XNUMX ilmoitusta. Näistä XNUMX XNUMX raportista organisaation vaaratilanteiden hallinta käsitteli 371 tapausta ja piti niistä 62:ta "valtakunnallisesti merkittävinä". Barnett lisäsi: ”Näiden lukujen on muistutettava organisaatioille siitä, että kyberturvallisuutta on kohdeltava yhtä arvokkaana kuin kaupallisia tavoitteita.

Kuninkaan puhe

Vuonna 2023 kuningas Kaarle III avasi myös parlamentin ensimmäistä kertaa hallituskautensa aikana ja piti valtaistuimelta puheen Lordsissa, jossa hän hahmotteli Yhdistyneen kuningaskunnan hallituksen esityslistaa seuraaville kuukausille. 

Kuningas keskusteli kahdesta uudesta laista, joiden tarkoituksena on parantaa Britannian kyberturvallisuutta ja tietosuoja, tietosuoja- ja digitaalitietolaki (DPDI) ja tutkintavaltuuksia (uudistus) koskeva laki.

Robert Wassall, lakipalveluiden johtaja NormCyber, selittää, kuinka hallitus toivoo voivansa auttaa yrityksiä saavuttamaan miljardeja säästöjä vaatimusten noudattamisessa ja lisäämään tuottavuutta ottamalla käyttöön innovatiivisen, joustavan tietosuojalain DPDI:n muodossa.

Väitetään, että tämä tapahtuu ensisijaisesti siten, että yritykset voivat suojata henkilötietoja suhteellisemmin ja käytännöllisemmin kuin EU:n GDPR, mikä tekee niistä tehokkaampia poistamalla tarpeetonta paperityötä ja vähentämällä byrokratiaa säilyttäen samalla korkeat tietosuojastandardit", hän sanoo. 

DPDI:n käyttöönotto voi kuitenkin heikentää Britannian jo ennestään kivistä suhdetta Euroopan unioniin. Wassall varoittaa, että EU saattaa pitää tätä lakia Yhdistyneen kuningaskunnan siirtyvän "liian kauas GDPR:stä".

Mitä tulee tutkintavaltuuksia (uudistus) koskevaan lakiin, Wassall sanoo, että tämä laillistaminen "pakottaa teknologiayritykset ilmoittamaan sisäministeriölle etukäteen kaikista turvallisuus- ja yksityisyysominaisuuksista, joita ne haluavat lisätä". 

Se myös pakottaa heidät "poistamaan käytöstä ne, joita hallitus vastustaa" samalla kun lisää "sisäministeriön valtaa pakottaa Yhdistyneen kuningaskunnan ulkopuoliset yritykset noudattamaan muutoksia, jotka se haluaa niiden tekevän turvaominaisuuksiin ilman valitusoikeutta". 

Barnett uskoo, että vaikka "lainsäädäntöuudistusta ja kattavaa yhdistettyä lähestymistapaa kybersääntelyyn tarvitaan", tämä ei todennäköisesti vähennä tapahtuvien kyberhyökkäysten määrää. Hän päättää: "Kuten vastauksessani NCSC:n raporttiin, meidän kaikkien on työskenneltävä yhdessä yritysten kanssa, jotka ottavat kyberturvallisuuden vakavasti estääkseen organisaationsa hyökkäyksiä."

SOC 2 on täällä! Vahvista turvallisuuttasi ja rakenna asiakkaiden luottamusta tehokkaalla vaatimustenmukaisuusratkaisullamme jo tänään!