Kunder, bestyrelser og tilsynsmyndigheder er alle enige. Hvis cybersikkerhedsbrud er umulige at forhindre 100 % af tiden, skal fokus være på at forbedre modstandsdygtigheden, så organisationer er bedre rustet til at modstå og komme sig efter dem. Men det er ingen nem opgave at måle fremskridt på dette område. Regeringens Undersøgelse af cybersikkerhedsbrud er ret detaljeret. Men afgørende er det, at den ikke spørger præcis de samme organisationer hvert år for at kontrollere, hvordan deres holdning udvikler sig.
Det er her, regeringens Longitudinel undersøgelse af cybersikkerhed kommer ind. Nu i sit femte år (eller "bølge") har den til formål at vise, hvordan organisationer ændrer sig over tid. Resultaterne er oplysende. Selvom der bestemt er nogle positive ting at tage med fra bølge fem, fremhæver rapporten en tilbøjelighed til reaktiv sikkerhed, som står i modstrid med bedste praksis.
Hvad går rigtigt (og forkert)?
Rapporten afslører, at de fleste organisationer fortsatte med at opleve en eller anden form for "cyberhændelse" sidste år: 82 % mod 79 % året før. Men på den positive side gør de noget ved det. Faktisk:
- Andelen af organisationer, der rapporterede "overholdelse" af Cyber Essentials, steg fra 23 % til 30 % mellem bølge fire og fem.
- Andelen af virksomheder med cyberforsikringer steg fra 29 % til 35 %
- Andelen af virksomheder, der hævdede ikke at kende til forsikringer, faldt fra 20 % til 13 %.
- Virksomheder var mere tilbøjelige til at rapportere investering i trusselsinformation (44 % versus 36 %)
- Respondenterne var mere tilbøjelige til at udføre en cybersikkerhedssårbarhedsrevision (60 % versus 56 %)
- Over en tredjedel af organisationerne (37%) rapporterede en stigning i cybersikkerhedsbudgetterne
Der er dog også grunde til bekymring. Selvom der i det seneste år har været en stigning i overholdelsen af standarder og rammer for bedste praksis, overholder en stor andel (37 %) af virksomhederne hverken ISO 27001, Cyber Essentials eller Cyber Essentials Plus.
Risikostyring i forsyningskæden var også fortsat en blind vinkel for mange. Kun 28 % af virksomhederne siger, at de har udført en formel vurdering af leverandører i løbet af de seneste 12 måneder. "Kvalitativt set manglede organisationer generelt bevidsthed om cybersikkerhedshændelser i deres forsyningskæder, da de erkendte, at de sandsynligvis sker uden deres viden," bemærker rapporten.
Den afslører også, at selvom 90 % af virksomhederne hævder at integrere cyberrisiko i den bredere forretningsrisiko, "omsættes dette ikke altid til effektive budgetter eller træning på bestyrelsesniveau".
Problemet med reaktiv sikkerhed
Det største problem, der fremhæves i rapporten, er ikke nødvendigvis, at britiske virksomheder ikke gør en indsats for at forbedre modstandsdygtigheden, for i mange tilfælde gør de det. Det er måden, disse investeringer sker på. Rapportens forfattere sporer de responderende organisationer på tværs af to forskellige interviewcyklusser ("tidspunkt 1" og "tidspunkt 2") - typisk i løbet af et år - for at måle longitudinelle ændringer.
De fandt ud af, at over en tredjedel (34%) af organisationer, der oplevede en hændelse med indvirkning og/eller udfald på tidspunkt 1, efterfølgende oplevede en hændelse uden indvirkning og/eller udfald på tidspunkt 2. Dette tyder på, at organisationen enten reaktivt har forbedret sin modstandsdygtighed, eller at den anden hændelse ikke var lige så indgribende.
Der er mere. Organisationer, der ikke oplevede en hændelse på tidspunkt 1, syntes ikke at have foretaget nogen proaktive ændringer for at forbedre sikkerhedstilstanden, hvilket potentielt kan tyde på, at de ventede på, at noget skulle udløse en positiv forandring. På den anden side, hvis en organisation oplevede en hændelse, var de mere tilbøjelige til at implementere positive ændringer på tværs af otte variabler, herunder hændelsesrespons, risikostyring i forsyningskæden og engagement i bestyrelseslokalet.
"Uforudsigeligheden i, at cyberhændelser kan fungere som en katalysator for forandring, er bekymrende," advarer forfatterne af rapporten.
Andre eksempler på reaktiv sikkerhedsholdning omfatter følgende resultater:
- Organisationer har større sandsynlighed for at opnå ISO 27001/Cyber Essentials-akkreditering på tidspunkt 2, hvis de oplevede en hændelse med en indvirkning og/eller et resultat på tidspunkt 1.
- Omdømmerisici blev "ofte nævnt" af respondenterne som en motivation for forandring, især for cybersikkerhedsteams og den øverste ledelse.
- "Eksterne påvirkninger" var en nøglefaktor i at skabe momentum for forandring, såsom ransomware-angrebene på detailhandlere på hovedgaden sidste år. "Deltagerne nævnte, at disse offentlige hændelser fik dem til at foretage ekstra kontroller eller tillod dem finansiering på grund af den potentielle indvirkning på deres egen organisation," står der i rapporten.
Barrierer for succes
"Reaktiv sikkerhed vil altid efterlade organisationer et skridt bagud. Når en alarm udløses, har angriberen allerede haft succes på en eller anden måde," fortæller Michael Downs, vicedirektør for SecureEnvoy, til IO (tidligere ISMS.online). "At opbygge modstandsdygtighed proaktivt, især på identitetslaget, er ikke længere valgfrit; det er den eneste måde at reducere risikoen på, før den materialiserer sig."
Men hvis proaktiv sikkerhed var så let, ville alle gøre det. Andy Ward, international vicedirektør hos Absolute Security, peger på flere centrale barrierer.
"En udfordring er at opnå støtte fra bestyrelsen og cyberledelsen for at øge modstandsdygtigheden til de øverste ledelsesniveauer med klare strategier for fuldstændig operationel genoprettelse efter en afbrydelse. Uden denne involvering kan proaktive foranstaltninger blive forsinket eller anvendt inkonsekvent," fortæller han IO.
"En anden vigtig barriere er den hurtige stigning i antallet af enheder og softwareapplikationer, hvilket gør IT-systemer mere komplekse og sværere at administrere. Denne spredning gør det vanskeligt at holde systemerne opdaterede og implementere proaktive cybermodstandsdygtighedsforanstaltninger på tværs af alle endpoints."
Ward peger også på finansiering og adgang til talent som noget, der hæmmer virksomheder i disse bestræbelser – især mindre virksomheder. "Mange mindre virksomheder tror også fejlagtigt, at de er for små til at tiltrække cyberkriminelle, eller at lagring af data i skyen automatisk beskytter dem," tilføjer han.
Rejsen til proaktiv sikkerhed
Men med den rette tilgang burde disse barrierer ikke være uoverstigelige, argumenterer James Mackay, CEO for MetaCompliance.
""At blive mere proaktiv starter med at omformulere målet om sikkerhedsbevidsthed fra at levere træning til at håndtere menneskelig risiko," fortæller han IO. "Over tid opbygger denne tilgang en adfærdsbaseret sikkerhedskultur. Medarbejdere oplever sikkerhed ikke som en lejlighedsvis klasseøvelse, men som en del af deres daglige arbejde."
Best practice-standarder som ISO 27001 kan være "kraftfulde katalysatorer" for denne omformulering, så længe de ikke ses som en tjekliste, tilføjer Mackay.
"ISO 27001 forventer, at du forstår dine informationssikkerhedsrisici, implementerer passende kontroller og sørger for, at medarbejderne er kompetente og bevidste om deres sikkerhedsansvar," fortsætter han. "De lægger grundlaget for, hvordan sikkerhed skal håndteres på tværs af en organisation."
Hvis flere organisationer anvender denne form for struktureret tilgang, kan næste års longitudinelle undersøgelse være mere betryggende læsning.
Udvid din viden
Blog: Modstandsdygtighedsfaktoren: Nedbrydning af BridgePay Ransomware-angrebet
