Uhyggelige statistikker: Storbritanniens regioner, hvor virksomheder er mest påvirket af cyberkriminalitet
Indholdsfortegnelse:
- 1) Hvor meget tabte virksomheder i alt på grund af cyberkriminalitet?
- 2) Hvor rapporterede virksomheder flest it-kriminalitet?
- 3) Cybercrime: A High-stakes Game of Chance
- 4) Hændelsesrapportering og overholdelse af lovgivning
- 5) Brug af ISO 27001 til at forhindre cyberhændelser og tilpasse sig NIS 2
- 6) BOO-st din informationssikkerhedsstilling i dag
Cyberkriminalitet udgør en voksende trussel for både virksomheder og enkeltpersoner over hele kloden, efterhånden som trusselsaktører forsøger at få adgang til følsomme data eller finanser med næsten alle nødvendige midler. I Storbritannien viser data fra Action Fraud, at virksomheder rapporterede over 1,600 cyberkriminalitet – ikke inklusive svindel – mellem januar og september 2024.
I en ånd af Halloween og uhyggelige statistikker ser vi på regionerne med det rystende højeste antal cyberkriminalitetsrapporter fra organisationer i 2024, og hvordan du forsvarer din virksomhed mod cyberhændelser.
Hvor meget tabte virksomheder i alt på grund af cyberkriminalitet?
Action Fraud-data afslørede, at organisationer rapporterede i alt 1,613 cyberkriminalitet og tab på £932,200 mellem januar og september 2024.
| Måned | Rapporter om cyberkriminalitet | Anmeldte tab af cyberkriminalitet |
| Januar 2024 | 196 | £423,500 |
| februar 2024 | 200 | £89,000 |
| Marts 2024 | 191 | £2,200 |
| April 2024 | 179 | £24,000 |
| Maj 2024 | 173 | £120,400 |
| juni 2024 | 206 | £5,800 |
| Juli 2024 | 182 | £63,000 |
| August 2024 | 149 | £190,000 |
| September 2024 | 137 | £14,300 |
| I alt | 1613 | £932,200 |
Januar 2024 var den værste måned for økonomiske tab på £423,500, hvilket udgjorde 45 % af de samlede økonomiske tab gennem de registrerede ni måneder. Det højeste antal cyberkriminalitet blev registreret i juni med 206 anmeldelser og 5,800 GBP i rapporterede tab. I mellemtiden blev de færreste anmeldelser af cyberkriminalitet foretaget i september med 137 anmeldelser og 14,300 £ i rapporterede tab.
Hvor rapporterede virksomheder flest it-kriminalitet?
Disse data registreres af politiet i stedet for regionalt. Måske ikke overraskende modtog London Metropolitan Police det højeste antal anmeldelser af cyberkriminalitet fra organisationer, med 325 anmeldelser lavet mellem januar og september og i alt £69,100 i økonomiske tab. Resten af de fem bedste pladser blev hævdet af Greater Manchester (97 rapporter), Thames Valley (82 rapporter), West Yorkshire (54 rapporter) og West Midlands (47 rapporter).
| Rang (Kolonne) | Politi styrke | Antal rapporter | Rapporterede økonomiske tab |
| 1 | Metropolitan | 325 | £69,100 |
| 2 | Greater Manchester | 97 | £891 |
| 3 | Thames Valley | 82 | £400 |
| 4 | West Yorkshire | 54 | £50,000 |
| 5 | West Midlands | 47 | £565 |
Dataene viser, at et højt antal rapporter ikke altid fører til større økonomiske tab. Mens Greater Manchester blev nummer to, tabte organisationer kun £891 i løbet af de sidste ni måneder, og Thames Valley-virksomheder tabte £400 til 82 hændelser.
Cybercrime: A High-stakes Game of Chance
Når vi rangerer regioner i rækkefølge efter rapporterede økonomiske tab i stedet for antallet af anmeldelser, ser vi igen, at antallet af cyberkriminalitet ikke nødvendigvis øger mængden af økonomiske tab for virksomheder:
| Rang (Kolonne) | Politi styrke | Antal rapporter | Rapporterede økonomiske tab |
| 1 | Surrey | 31 | £442,000 |
| 2 | Ukendt | 101 | £109,200 |
| 3 | Hampshire | 46 | £105,000 |
| 4 | City of London | 35 | £98,700 |
| 5 | Metropolitan | 325 | £69,100 |
Organisationer i Surrey registrerede kun 31 anmeldelser på ni måneder, men svimlende £442,000 i økonomiske tab – næsten halvdelen (47 %) af de samlede økonomiske tab til cyberkriminalitet rapporteret af virksomheder i 2024. Fra den tidligere liste over politistyrker med det højeste antal af cyberkriminalitet rapporter, er det kun London Metropolitan, der er på denne liste, som er nummer fem med 325 rapporter og £69,100 i tab.
Den manglende sammenhæng mellem antallet af anmeldelser til en politistyrke og de indberettede økonomiske tab viser cyberkriminalitetens vilkårlige karakter. Bare et klogt udført angreb kunne se en virksomhed tabe tusindvis eller endda hundredtusindvis af pund. Det gennemsnitlige økonomiske tab pr. rapporteret cyberkriminalitet i Surrey i 2024 er £14,258 sammenlignet med London Metropolitans gennemsnit på £213, på trods af at Metropolitan har mere end ti gange så mange rapporterede cyberkriminalitet.
Hændelsesrapportering og overholdelse af lovgivning
Action Fraud-statistikken repræsenterer kun rapporterede data. Mange cyberkriminalitet bliver sandsynligvis ikke rapporteret, da virksomheder forsøger at håndtere hændelser uden politiets indgriben og reducere indvirkningen på deres forsikring og omdømme.
A 2021 undersøgelse af Van de Weijer et al. viste 529 deltagere tre vignetter om fiktive cyberkriminalitetshændelser og spurgte, hvordan de ville reagere i denne situation. Undersøgelsen fastslår, at "det store flertal af SMV-ejere sagde, at de ville anmelde hændelserne fra vignetter til politiet, men efter den faktiske viktimisering blev kun 14.1 procent af cyberkriminaliteterne anmeldt til politiet."
Indberetning af cyberkriminalitet er nu et krav for organisationer, der opererer i Den Europæiske Union under den nyligt opdaterede netværks- og informationssikkerhed (NIS 2) direktiv, som trådte i kraft denne måned. Organisationer, der ikke overholder kravene, inklusive dem, der ikke rapporterer cyberhændelser, står over for potentielle økonomiske sanktioner eller endda udelukkelse fra at drive forretning i et område. Indberetning af cyberhændelser vil også være et krav i henhold til European Cyber Resilience Act, når den træder i kraft.
Heldigvis den internationalt anerkendte informationssikkerhedsstandard ISO 27001 kan give en ramme for NIS 2-overholdelse og hjælpe dig med at forsvare din virksomhed mod cybertrusler.
Brug af ISO 27001 til at forhindre cyberhændelser og tilpasse sig NIS 2
ISO 27001-certificering hjælper virksomheder med at forbedre deres sikkerhedsposition og effektivt reducere risikoen for cyberhændelser. At opnå ISO 27001 certificering, skal en organisation opbygge, vedligeholde og løbende forbedre en ISO 27001-kompatibel informationssikkerhedsstyringssystem (ISMS) og gennemføre en ekstern revision udført af et akkrediteret revisionsorgan.
Et ISO 27001-certificeret ISMS kan forbedre din organisations informationssikkerhedsforsvar og overholde NIS 2 på følgende måder:
Risk Management
Risikostyring og -behandling er kravene i ISO 27001 paragraf 6.1, handlinger til at adressere risici og muligheder og NIS 2 artikel 21. Din organisation bør identificere de risici, der er forbundet med hvert informationsaktiv inden for rammerne af dit ISMS og vælge den passende risikobehandling for hver risiko – behandle, overføre, tolerere eller afslutte.
ISO 27001 Annex A skitserer de 93 kontroller, din organisation skal overveje i risikostyringsprocessen. I din Statement of Applicability (SoA) skal du begrunde beslutningen om at anvende eller ikke anvende en kontrol. Denne grundige tilgang til risikostyring og behandling sætter din organisation i stand til at identificere, behandle og afbøde risici gennem hele deres livscyklus, hvilket reducerer sandsynligheden for en hændelse og reducerer påvirkningen, hvis en hændelse skulle opstå.
Hændelsesrespons
Din organisation bør implementere hændelsesstyringsprocesser og hændelseslogfiler i overensstemmelse med ISO 27001 Annex A.5.24, A.5.25 og A.5.26, som fokuserer på informationssikkerhedshændelsesstyringsplanlægning, forberedelse, beslutninger og svar. En hændelsesstyringsprocedure og svarlog er også påkrævet i henhold til NIS 2 Artikel 21. Dette sikrer, at din organisation har en proces til at styre og minimere virkningen af eventuelle hændelser.
Medarbejderuddannelse og bevidsthed
Fremme af en kultur med bevidsthed om informationssikkerhed er en kritisk komponent i ISO 27001 og er lige så vigtig for NIS 2-overholdelse, som kræves af ISO 27001 Annex A.6.3, informationssikkerhedsbevidsthed, uddannelse og træning og NIS 2 artikel 21. Implementering en uddannelses- og oplysningsplan giver dig mulighed for at uddanne medarbejderne om cyberrisici. Det er også afgørende at sikre, at medarbejderne kender vigtigheden af stærke adgangskoder i overensstemmelse med din ISO 27001-kodeordspolitik.
Trusselaktører udnytter ofte menneskelige fejl i deres forsøg på at få adgang til følsom information, og overtaler endda medarbejdere til at foretage økonomiske transaktioner via phishing-e-mails eller sofistikerede AI-drevne deepfakes. Ud af de 1,613 cyberkriminalitet, der blev rapporteret til Action Fraud af britiske virksomheder i år, blev 919 (56%) logget under de sociale medier og e-mail-hackingkode. At have en trænings- og bevidstgørelsesplan på plads og uddanne medarbejderne er afgørende for at reducere risikoen for disse hændelser.
BOO-st din informationssikkerhedsstilling i dag
Med nye cyberregler som Cyber Resilience Act og Digital Operational Resilience Act (DORA) på vej, er det nu, du skal komme videre. Book din demo at lære, hvordan du mindsker risici, styrker dit omdømme, navigerer i det komplekse regulatoriske landskab og opnår ISO 27001-overensstemmelse ved hjælp af ISMS.online. Du kan også finde praktisk vejledning til mestre NIS 2-overholdelse ved hjælp af ISO 27001 i vores webinar med eksperter fra A-LIGN, Cybercontrols.io og ISMS.online.
