Cybersikkerhedsfremskridt er gået i stå blandt britiske virksomheder: Sådan løses det
Indholdsfortegnelse:
Hver dag læser vi om skader og ødelæggelser forårsaget af cyberangreb. Bare denne måned, forskning afsløret at halvdelen af britiske virksomheder blev tvunget til at standse eller forstyrre digitale transformationsprojekter på grund af statssponsorerede trusler. I en ideel verden ville historier som denne filtrere igennem til seniorlederskab, med indsatsen fordoblet for at forbedre cybersikkerhedspositionen. Alligevel fortæller de seneste resultater fra regeringen en anden historie.
Desværre er fremskridtene gået i stå på flere fronter, ifølge det seneste Undersøgelse om brud på cybersikkerhed. En af de få positive ting at tage med fra årsrapporten er en voksende bevidsthed om ISO 27001.
Større firmaer i trådkorset
Udgivet siden 2016 er regeringens undersøgelse baseret på en undersøgelse af 2,180 britiske virksomheder. Men der er en verden til forskel mellem en mikrovirksomhed med op til ni ansatte og en mellemstor (50-249 ansatte) eller stor (250+ ansatte) virksomhed.
Derfor kan vi ikke læse for meget i overskriften: et årligt fald i andelen af virksomheder, der samlet rapporterer et cyberangreb eller brud i det seneste år (fra 50 % til 43 %). Selv regeringen indrømmer, at faldet højst sandsynligt skyldes, at færre mikro- og småvirksomheder identificerer phishing-angreb. Det kan simpelthen være, at de bliver sværere at få øje på, takket være den ondsindede brug af generativ AI (GenAI).
Faktisk er andelen af mellemstore (67%) og store (74%) virksomheder, der rapporterer sikkerhedshændelser, fortsat høj. Og store (29%) og mellemstore (20%) virksomheder er også mere tilbøjelige end virksomheder generelt (16%) til at opleve et negativt resultat. Dette kan omfatte alt fra tab af adgang til filer og tredjepartstjenester til korrupte systemer, langsommere apps og tyveri af personlige data og penge. Derudover er det mest sandsynligt, at store virksomheder rapporterer forretningsforstyrrelser, såsom:
- Kræver ekstra personaletid til at håndtere brud/angreb (32 % mod 17 % samlet)
- Indførelse af nye sikkerhedsforanstaltninger (26 % mod 18 %)
- Afbrydelse af medarbejdernes daglige arbejde (19% mod 9%)
- Afbrydelse af service/varelevering (8 % mod 3 %)
- Modtagelse af kundeklager (6 % mod 2 %)
Derudover, mens 20 % af virksomhederne samlet vurderes at have været udsat for mindst én cyberkriminalitet inden for de seneste 12 måneder, stiger tallet til 43 % af mellemstore virksomheder og 52 % af store virksomheder.
Den gode og den dårlige
Den gode nyhed er, at de fleste mellemstore og store virksomheder har taget nøglehandlinger i hver af NCSC's bedste praksis 10-trin guide til forbedring af cybersikkerhedsstilling. Og den procentdel, der har truffet handling på fem eller flere områder, er steget i løbet af det seneste år, fra 80 % til 82 % for mellemstore og 91 % til 95 % for større virksomheder. Derudover har omkring 95-100 % af disse organisationer mindst tre bedste praksis tekniske regler eller kontroller på plads, såsom opdateret malwarebeskyttelse, netværksfirewalls, begrænsede it-admin-/adgangsrettigheder, enhedssikkerhed og VPN'er.
Alligevel skjuler dette et velsagtens mere bekymrende større billede. For eksempel:
Personalets træningsprogrammer var på plads i 54 % af mellemstore og 76 % af store virksomheder – svarende til sidste års statistikker.
Risikovurderinger af tredjepartsleverandører blev udført af kun 32 % af mellemstore og 45 % af store virksomheder – mod 28 % og 48 % sidste år.
Hændelsesplaner var på plads i kun 53 % af mellemstore virksomheder og 75 % af store virksomheder (mod 55 % og 73 %).
Der ser også ud til at være mangel på strategisk retning og ansvarlighed fra den øverste ledelse. Kun 70 % af de store virksomheder (op fra 66 %) og 57 % af mellemstore virksomheder (ned fra 58 %) har endda en cybersikkerhedsstrategi. I alt for mange store virksomheder bliver cybersikkerheden styret af it-direktøren (19 %) eller en it-chef, tekniker eller administrator (20 %).
"Virksomheder bør altid have et forholdsmæssigt svar på deres risiko; en uafhængig bager i en lille landsby behøver sandsynligvis ikke at udføre regelmæssige pentests, for eksempel. De bør dog arbejde for at forstå deres risiko, og for 30 % af store virksomheder er det forbløffende at ikke være proaktive i at lære om deres risiko," argumenterer Tom Kidwell, medstifter af Ecliptic Dynamics.
"Der er altid trin, virksomheder kan tage for at mindske virkningen af brud og stoppe angreb i deres spæde start. Den første af disse er at forstå din risiko og træffe passende foranstaltninger."
Alligevel har kun halvdelen (51 %) af bestyrelserne i mellemstore virksomheder en person, der er ansvarlig for cyber, hvilket stiger til 66 % for større virksomheder. Disse tal har været stort set uændrede i tre år. Og kun 39 % af virksomhedslederne i mellemstore virksomheder får månedlige opdateringer om cyber, hvilket er steget til halvdelen (55 %) af de store virksomheder. I betragtning af hastigheden og dynamikken i nutidens trusselslandskab er det tal for lavt.
Hvor går vi hen herfra?
En oplagt måde at forbedre cybersikkerhedsmodenheden på ville være at omfavne overholdelse af best practice-standarder som ISO 27001. På denne front er der blandede signaler fra rapporten. På den ene side har det dette at sige:
"Der så ud til at være en voksende bevidsthed om akkrediteringer som Cyber Essentials og ISO 27001, og i det hele taget blev de set positivt."
Presset fra kunder og bestyrelsesmedlemmer og "ro i sindet for interessenter" siges at drive efterspørgslen efter sådanne tilgange, mens respondenterne med rette vurderer ISO 27001 som "mere robust" end Cyber Essentials.
Bevidstheden om 10 trin og Cyber Essentials er dog faldende. Og langt færre store virksomheder søger ekstern vejledning om cybersikkerhed end sidste år (51 % mod 67 %).
Ed Russell, CISO business manager for Google Cloud på Qodea, hævder, at økonomisk ustabilitet kan være en faktor.
"I tider med usikkerhed er eksterne tjenester ofte de første områder, der står over for budgetnedskæringer - selvom det er et risikabelt skridt at reducere udgifterne til cybersikkerhed," siger han til ISMS.online.
Russell hævder, at standarder som ISO 27001 i høj grad forbedrer cybermodenhed, reducerer cyberrisiko og forbedrer overholdelse af lovgivningen.
"Disse standarder hjælper organisationer med at etablere et stærkt sikkerhedsgrundlag for styring af risici og implementere passende kontroller for at forbedre beskyttelsen af deres værdifulde informationsaktiver," tilføjer han.
"ISO 27001 er designet til at understøtte løbende forbedringer og hjælpe organisationer med at forbedre deres overordnede cybersikkerhedsposition og modstandsdygtighed, efterhånden som trusler udvikler sig, og reglerne ændrer sig. Dette beskytter ikke kun de mest kritiske informationer, men opbygger også tillid til interessenter - og tilbyder en konkurrencefordel."
Cato Networks chefsikkerhedsstrateg, Etay Maor, er enig, men advarer om, at overholdelse ikke nødvendigvis er lig med sikkerhed.
"Disse strategiske retningslinjer bør være en del af en holistisk sikkerhedspraksis, der inkluderer flere operationelle og taktiske rammer, konstant evaluering for at sammenligne det med aktuelle trusler og angreb, øvelser med brudrespons og mere," siger han til ISMS.online. "De er et godt sted at starte, men organisationer skal gå videre."
