NCSC siger "Det er tid til at handle", men hvordan?

Af Phil Muncaster • 6. November 2025

Det er usædvanligt at se et åbent brev fra en virksomhedsleder i starten af en regeringsrapport om cybersikkerhed. Især en person, hvis virksomhed lige har været udsat for et ydmygende brud. Men det er usædvanlige tider. Og budskabet er afgørende vigtigt. Derfor gav GCHQ's nationale center for cybersikkerhed (NCSC) plads til Co-op Groups administrerende direktør, Shirine Khoury-Haq, i starten af dens Årlig gennemgang 2025.

Hendes budskab, som blev gentaget og forstærket gennem hele dokumentet, var enkelt: forberedelse er altafgørende. Men hvordan sikrer virksomhedsledere, at de opbygger tilstrækkelig cyberrobusthed i deres organisation i dag for at sikre business as usual i tilfælde af et brud i morgen?

Nationalt signifikante hændelser med en stigning

Tallene fra det seneste år fortæller deres egen historie. NCSC hævder, at næsten halvdelen (48%) af de hændelser, som deres Incident Management-team reagerede på i løbet af det seneste år, var "nationalt signifikante". Det svarer til 204 separate hændelser eller fire om ugen. Omkring 4% (18) er kategoriseret som "meget signifikante" - en årlig stigning på 50%. Disse er et trin ned fra den maksimale alvorlighedsgrad, som angiver hændelser, der kan have alvorlige økonomiske/sociale konsekvenser eller tab af menneskeliv. Men de betegner stadig cyberangreb og -brud, der kan have en alvorlig indvirkning på centralregeringen, essentielle tjenester og en stor del af den britiske befolkning eller økonomi.

Interessant nok stammede 29 hændelser, som NCSC håndterede i perioden, fra kun tre sårbarheder: CVE-2025-53770 (Microsoft SharePoint Server), CVE-2025-0282 (Ivanti Connect Secure, Policy Secure & ZTA Gateways) og CVE-2024-47575 (Fortinet FortiManager). Det fremhæver straks nogle lavthængende frugter for organisationer, der vælger at implementere risikobaserede patch-styringsprogrammer.

Denne lavthængende frugt er overalt, hvis bare virksomhedsledere var motiverede nok eller bevidste om behovet for at finde den, siger NCSC's administrerende direktør, Richard Horne. I sit forord beskriver han de udfordringer, som britiske organisationer står over for, som voksende "i en størrelsesorden". Horne konkluderer: "Cybersikkerhed er nu afgørende for virksomheders levetid og succes. Det er tid til at handle."

Et brev til FTSE 350

Denne vægtning af handling bakkes op af de seneste katastrofale cyberrelaterede nedbrud, der har påvirket Jaguar Land Rover (JLR), M&S og Co-op Group, for blot at nævne tre. Nogle estimater anslår de samlede tab, som disse virksomheder og deres leverandører har oplevet, til at være tæt på 1 mia. pund. Det er en del af grunden til, at rapporten direkte opfordrer virksomhedsledere til at stoppe med at behandle cyber som et anliggende for IT-afdelingen og begynde at indse dets kritiske betydning for virksomhedens vækst og den britiske økonomi.

Det er derfor, den fremhæver Co-op Groups Khoury-Haq. Og derfor udbryder Horne: "Alle virksomhedsledere skal tage ansvar for deres organisations cyberrobusthed." Det er også derfor, rapporten promoverer forskellige NCSC-initiativer som:

Cyber Governance-kodekset: Udviklet til at hjælpe bestyrelser og direktører med bedre at håndtere digitale risici
Cyber Governance-træningsprogrammet, som er i overensstemmelse med kodeksets fem kerneprincipper: risikostyring, strategi, personale, hændelsesplanlægning, respons og genopretning samt sikring og tilsyn
NCSC-vejledning om "Samarbejde med bestyrelser for at forbedre håndteringen af cybersikkerhedsrisici", som hjælper CISO'er med at kommunikere mere effektivt med deres bestyrelse
Principper for cybersikkerhedskultur, som beskriver, hvordan en god sikkerhedskultur ser ud, og hvordan man ændrer adfærd
Cyber Action Toolkit, der skal øge cyberbevidstheden blandt ledere af små virksomheder

Det er også grunden til, at regeringen, i hvad der tilsyneladende har været et koordineret træk, har skrevet til administrerende direktører for FTSE 350 og bønfaldt dem om at anerkende omfanget af truslen.

"Cybersikkerhed har alt for længe været en bekymring for mellemledelsen og bliver kun eskaleret til de øverste ledelser i en krise. Det handler ikke om, hvorvidt man bliver offer for et cyberangreb, det handler om at være forberedt på, når det sker," sagde sikkerhedsministeren Dan Jarvis ved lanceringen af rapporten. Sigende nok forsøgte han at understrege den konkurrencefordel, som bedste praksis inden for cybersikkerhed kan give virksomheder.

Bygge modstandsdygtighed

Den gode nyhed er, at selvom truslen intensiveres, hævder NCSC, at det meste af den aktivitet, den ser, ikke er radikalt ny, uanset om den er statsstøttet eller er et resultat af grupper som Scattered Spider. Det burde gøre det lidt lettere at opnå cyberrobusthed. Men hvad indeholder rapporten? Udover at opremse NCSC-initiativer som Active Cyber Defence og Cyber Essentials, fremhæver det 100 sider lange dokument begrebet "robusthedsteknik".

Selvom konceptet har sin arv inden for sikkerhedsteknik, kan det effektivt overføres til cybersfæren, hævder NCSC, via initiativer som:

Infrastruktur som kode: Giver organisationer mulighed for pålideligt at replikere systemer til hurtig gendannelse og implementere pålidelig, uforanderlig infrastruktur.

Uforanderlige sikkerhedskopier: Muliggør effektiv gendannelse ved totalt miljøtab (inklusive identitet, cloudkonfigurationer, hypervisorer osv.).

Segmentering: Til isolation og inddæmning for at minimere påvirkningen under en begivenhed, eller "vedvarende for at skabe tillidsgrænser".

Mindst privilegium: På tværs af alle tjenester for at begrænse skader og understøtte Zero Trust-tilgange.

Observerbarhed og overvågning: At opdage anomalier og forbedre læring efter hændelser.

Kaosteknik: Den bevidste introduktion af manglende validering/testning af detektions- og genoprettelsesprocesser.

Robuste operationer: Omfatter sikring af tilgængelighed af krisehåndterings-runbooks digitalt eller fysisk på isolerede platforme eller i papirformat.

Se på standarder

Peter Connolly, administrerende direktør hos Toro-løsninger, argumenterer for, at standarder for bedste praksis som ISO 27001 kan hjælpe organisationer med at forbedre deres cyberrobusthed.

"Det giver en struktureret ramme for risikostyring, der går ud over IT og inkluderer mennesker, fysisk sikkerhed og forretningskontinuitet," fortæller han ISMS.online. "Ved at anvende denne integrerede tilgang kan organisationer minimere virkningen af hændelser, opretholde kritiske operationer og demonstrere over for kunder, investorer og partnere, at sikkerhed er en alvorlig prioritet."

Connolly tilføjer, at organisationer bør bruge ISO 27001-overholdelse til at integrere sikkerhed i den daglige forretningskultur.

"Det betyder at gøre sikkerhedsprincipper til en del af rutineoperationerne i stedet for at behandle dem som en separat opgave," konkluderer han. "Start med at adressere de mest kritiske risici først, og sørg for, at cyber-, fysisk og personrelateret sikkerhed betragtes samlet. Denne tilgang opbygger ægte modstandsdygtighed, samtidig med at den giver internationalt anerkendt troværdighed."

Ordet "modstandsdygtighed" nævnes 139 gange i NCSC-rapporten. Det er på tide, at UK PLC lægger mærke til det.

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Læs mere fra Phil Muncaster

Cyber sikkerhed 3 December 2025

Hvad lovforslaget om cybersikkerhed og modstandsdygtighed betyder for kritisk infrastruktur

Det har været længe undervejs. Lovforslaget om cybersikkerhed og modstandsdygtighed (CSRB) har været undersøgt helt tilbage i 2024, og det har nu endelig...

Phil Muncaster

Cyber sikkerhed 18. November 2025

Når det kommer til OT, er synlighed fundamentet for effektive sikkerhedsbannere

Når det kommer til OT, er synlighed fundamentet for effektiv sikkerhed

IT rammer ofte overskrifterne, især nu hvor vi går ind i en ny tidsalder med AI-drevet alting. Men det er operationel teknologi (OT), der stadig...

Phil Muncaster

Cyber sikkerhed 11. November 2025

Hvad Deloitte Australia-sagaen siger om risiciene ved at administrere AI-banner

Hvad Deloitte Australia-sagaen siger om risiciene ved at håndtere AI

Generativ AI (GenAI) har nået de højeste niveauer af branchehype, siden den brød frem i slutningen af 2022. Nu træder den ind i det, som Gartner kalder...

Phil Muncaster