Cyberrobusthed er blevet et af de vigtigste fokusområder for cyberindustrien i de seneste par år. Selv regeringen har nævnt det i et kritisk lovforslag, der er under behandling. Men det viser sig at være noget vanskeligt for Storbritanniens seks millioner virksomheder at opnå det. Hvis man skal sige noget om den seneste Whitehall-forskning, er afstanden mellem branchens ambitioner for robusthed og det, organisationer rent faktisk opnår, fortsat betydelig.
Dette års Undersøgelse om brud på cybersikkerhed er ude. Og det er endnu et bevis på, at landets virksomheder halter bagefter, når det kommer til deres cybermodstandsdygtighed. Kun halvdelen (57%) af mellemstore virksomheder og tre fjerdedele (74%) af store virksomheder har overhovedet en sikkerhedsstrategi på plads – stort set uændret fra sidste år. Der er stadig meget arbejde at gøre.
Rejsen til modstandsdygtighed
Modstandsdygtighed handler om at omformulere cybersikkerhed på baggrund af et ustabilt trusselslandskab, voksende regulatorisk kontrol og umættelige bestyrelsesbehov for digitale investeringer. I en verden, hvor cyberkriminalitetsøkonomien er billioner værd, Det Nationale Center for Cybersikkerhed (NCSC) er være oppe imod fire "nationalt betydningsfulde" angreb om ugen, og milliarder af kompromitterede Loginoplysninger cirkulerer, og sikkerhedsteams må acceptere, at ingen organisation er 100 % sikret mod brud.
I denne sammenhæng skifter fokus fra forebyggelse til at være i stand til at forberede sig, reagere, genoprette og lære af eventuelle angreb, der sniger sig igennem. Dette er vigtigere end nogensinde, da angrebsfladerne udvides med en eksplosion af IoT-enheder, AI-agenter, chatbots og LLM'er – hvoraf mange bruges uden IT-afdelingens viden. IO (tidligere ISMS.online) Status for informationssikkerhedsrapport 2025 afslører, at en tredjedel (34%) af respondenterne er bekymrede over skygge-AI i det kommende år, et af de mest populære svar.
Hvad regeringen fandt
Ægte modstandsdygtighed kræver lagdelt forsvar. Desværre afslører regeringens seneste rapport om sikkerhedsbrud, at mange organisationer ikke implementerer det grundlæggende. Her er nogle af de vigtigste resultater:
Personaleuddannelse og -bevidstgørelse hæveSelvom andelen af respondenter, der deltog i disse aktiviteter, steg for de største virksomheder (fra 76 % sidste år til 84 % i år), forblev den samlet set på skuffende 19 %.
Risikovurderinger: En meget lille årlig stigning i antallet af respondenter, der udfører cybersikkerhedsrisikovurderinger, blandt mellemstore (57 % til 62 %) og store (70 % til 72 %) virksomheder. Det samlede tal forblev dog stort set uændret på 30 %.
Risikostyring i forsyningskæden: Mindre end en tredjedel (30%) af mellemstore virksomheder og halvdelen (48%) af store virksomheder gennemgår de cyberrisici, som direkte leverandører udgør. Det er næsten uændret fra sidste års henholdsvis 32% og 45%. For den bredere forsyningskæde var tallene endnu lavere: 13% og 24% mod 15% og 25%. Samlet set gennemgik kun 15% af virksomhederne deres direkte leverandører, og 6% den bredere forsyningskæde – omtrent det samme som sidste år (14% og 7%).
Forsikring: Halvdelen (47%) af virksomhederne siger, at de er forsikret mod cyberrisiko, hvilket er stigende for mellemstore virksomheder (61%). Dette er stort set på linje med sidste år (45% og 65%). Det er dog mere bekymrende, at kun 10% siger, at de har en specifik cyberforsikringspolice på plads, og over en femtedel (22%) ved det slet ikke. Begge statistikker var ens med sidste år (7% og 20%).
Bestyrelsen: Cybersikkerhed betragtes som en "høj prioritet" for den øverste ledelse hos 72 % af respondenterne. Men er det virkelig? Bestyrelsesniveauets ansvar for det steg kun en smule, fra 27 % til 31 %.
Hændelsessvar: Andelen af respondenter med en formel IR-plan var stort set uændret (25 %), ligesom tallene for mellemstore (53 % til 57 %) og store (75 % til 76 %) virksomheder.
Kendskab til regeringens initiativer: Flere respondenter end sidste år siger, at de har hørt om offentlige ordninger som Cyber Aware (24 % til 30 %), 10-trinsvejledningen (12 % til 17 %) og Cyber Essentials (12 % til 17 %). Men disse tal, og dem for den nyere Software Security Code of Practice (22 %) og Cyber Governance Code of Practice (16 %), er stadig alt for lave.
Derudover er andelen af respondenter, der har Cyber Essentials, kun steget en smule, fra 3 % til 5 % samlet set og fra 21 % til 35 % for store virksomheder.
AI: Omkring en femtedel (21%) af respondenterne siger, at de har implementeret nogle AI-værktøjer i organisationen. Alligevel hævder næsten halvdelen (45%), at AI ikke er relevant for deres organisation.
Ud over sikkerhed i afkrydsningsfelter
Cybanetix' tekniske direktør, Merlin Gillespie, fortæller IO, at rapporten endnu engang illustrerer to realiteter: Større virksomheder er generelt kompetente, mens deres mindre konkurrenter er udsatte.
"Standardforskriften er veløvet. Indtag en "antage-breach"-holdning, skriv en afprøvet hændelsesresponsplan med klare eskaleringsstier, implementer en række sikkerhedskontroller, MDR, identitetsstyring, autentificeringshærdning, og begynd formelt at gennemgå din forsyningskæde," forklarer han.
"Alle disse er det rigtige svar for virksomheder med en formaliseret sikkerhedsfunktion og ressourcer, der er i stand til at udføre disse. Problemet er, at denne recept forudsætter en kapacitet, som de fleste britiske virksomheder ikke har."
Richard Groome, OT-cybersikkerhedsspecialist hos e2e-assure, er bekymret over den dårlige kapacitet til at reagere på incidenter. "De fleste virksomheder kan eskalere internt, men kun en tredjedel har klare eksterne rapporteringsprocesser. Det er ikke modstandsdygtighed, det er reaktion," fortæller han IO.
"Virksomheder er nødt til at bevæge sig ud over sikkerhed i afkrydsningsfelter og fokusere på observerbarhed og operationel robusthed. Dette kræver kontinuerlig overvågning, hurtigere detektion og hændelsesrespons, der faktisk er blevet testet, ikke kun dokumenteret. Med krav om 24-timers rapportering kan man ikke reagere på en hændelse, man ikke har opdaget. Synlighed og hastighed er afgørende."
Dan Lattimer, EMEA VP hos Semperis, tilføjer, at identitet skal være en del af enhver plan for håndtering af hændelser. "Investering i identitetsovervågning og -gendannelse sammen med forebyggelse er afgørende for at reducere nedetid, gentagne hændelser og langvarig forretningsskade," siger han. "Hændelsesrespons uden identitetsgendannelse er en ufuldstændig respons."
Formalisering af bedste praksis
Trods lav bevidsthed om og anvendelse af bedste praksis-standarder og -rammer kan disse være en nyttig allieret i bestræbelserne på at forbedre cyberrobustheden, ifølge andre eksperter, som IO har talt med. Graeme Stewart, chef for den offentlige sektor, UK&I, hos Check Point, beskriver rapportens resultater som et "wake-up call" for organisationer af alle størrelser.
"Den magiske trekant af mennesker, processer og teknologi kræver alle opmærksomhed. Personalet skal være informeret og opmærksomt. Processerne skal være robuste og dække både forebyggelse og respons efter hændelser, og teknologien skal opdateres korrekt, anvendes korrekt og holdes opdateret," fortæller han IO.
"Rammer som Cyber Essentials, ISO 27001 og NIST-vejledning giver vigtige sikkerhedsforanstaltninger, især for mindre organisationer, hvis ledelse ikke er cybereksperter. Disse rammer giver virksomheder en struktureret vej fremad, og det er virkelig positive fremskridt."
Huntress vCISO Muhammad Yahya Patel er enig. "Rammer som Cyber Essentials og ISO-standarder er værdifulde, fordi de giver en ensartet og styret tilgang til styring af kontroller, risici og politikker," fortæller han IO. "Cyber Essentials fokuserer især stærkt på grundlæggende hygiejnekontroller, og virkeligheden er, at mange af de angreb, vi ser i dag, lykkes netop fordi disse grundlæggende kontroller ikke er på plads."
I vores rapport om sidste års undersøgelse Vi bemærkede også, hvordan indsatsen for at forbedre modstandsdygtigheden var gået i stå på tværs af UK PLC. Forhåbentlig siger vi ikke det samme igen næste år.
Udvid din viden
Guide: Status for informationssikkerhedsrapport 2025
Blog: Lukning af modstandsdygtighedskløften: Hvor regeringen siger, at UK PLC stadig fejler
