Her er alt, der er galt med cybersikkerhed i Storbritannien i dag
Indholdsfortegnelse:
For et nyttigt årligt øjebliksbillede af britiske virksomheders sikkerhedsstilling, skal du ikke lede længere end regeringens Undersøgelse om brud på cybersikkerhed. Det giver et relativt detaljeret indblik i, hvad der virker, og mere almindeligt, hvad der ikke gør. Samlet set siger tre fjerdedele af virksomhederne (stigende til 93 % af mellemstore og 98 % af store virksomheder) at deres bestyrelser betragter cybersikkerhed som en "høj prioritet". Men at sige gør ikke.
Der er klart plads til forbedringer på tværs af flere områder, herunder hændelsesrespons, forsyningskædesikkerhed, bestyrelsesansvar og risikostyring. Det mest bekymrende er måske manglen på bevidsthed om regeringsledede sikkerhedsrammer og -initiativer. Ud over bedste praksis-standarder som ISO 27001 kan disse gå langt for at forbedre cyberresiliensen i UK PLC.
Plads til forbedring
Hovedstatistikken er, at halvdelen (50 %) af de reagerende virksomheder rapporterer at have oplevet en eller anden form for sikkerhedsbrud eller angreb inden for de seneste 12 måneder – stigende til 70 % af mellemstore virksomheder (og 74 % af store virksomheder). Dette er en betydelig stigning fra henholdsvis 32 %, 59 % og 69 % sidste år, men det betyder ikke nødvendigvis flere brud – det kan være, at flere bliver opdaget. Faktisk begynder rapporten med nogle gode nyheder.
Ifølge undersøgelsen, som er udarbejdet ud fra en undersøgelse af 2,000 britiske virksomheder og opfølgende interviews med 44, bliver cyberhygiejnen bedre. Rapporten fremhæver en årlig stigning i antallet af virksomheder, der beskæftiger sig med:
- Opdateret malwarebeskyttelse (fra 76 % i 2023 til 83 % i 2024)
- Begrænsning af administratorrettigheder (67 % til 73 %)
- Netværks firewalls (66 % til 75 %)
- Aftalte processer for phishing-e-mails (48 % til 54 %)
Ifølge rapporten er dette en vending af et mønster set i de foregående tre år af undersøgelsen, hvor nogle områder havde set konsekvente fald. Der er dog stadig bekymring over følgende:
Risikostyring: Mindre end en tredjedel (31 %) af virksomhederne gennemførte cyberrisikovurderinger i det seneste år (stigende til 63 % af mellemstore og 72 % af store virksomheder). Derudover implementerede kun en tredjedel (33 %) sikkerhedsovervågning (63 %, 71 %).
Leverandørrisiko: Kun 11 % af virksomhederne gennemgår forsyningskæderisici – stigende til kun 28 % af mellemstore og mindre end halvdelen (48 %) af store virksomheder.
Bestyrelsens engagement: Kun 30 % af de adspurgte har bestyrelsesmedlemmer direkte ansvarlige for cyber som en del af deres rolle, hvilket stiger til halvdelen (51 %) af mellemstore virksomheder og 63 % af store virksomheder. Dette er uændret siden sidste år.
Strategi: Kun 58 % af mellemstore virksomheder og 66 % af store virksomheder har endda en formel cybersikkerhedsstrategi på plads.
Hændelsessvar: Kun en femtedel (22 %) har hændelsesberedskabsplaner, hvilket er steget til 55 % og 73 % af mellemstore og store virksomheder.
Ekstern hjælp: Kun 41 % af de adspurgte siger, at de søger information eller vejledning om cybersikkerhed uden for organisationen, færre end tallet i 2023 (49 %). Kun 13% kender til det Nationale Cybersikkerhedscenter 10 trins vejledning (37 %, 44 %) og kun 12 % sagde det samme om Cyber Essentials (43 %, 59 %).
Hvad eksperterne mener
Marie Wilcox, sikkerhedsevangelist hos Panaseer, hævder, at selv forbedringer i cyberhygiejne ikke kan maskere den dårlige sikkerhedsstilling hos mange britiske virksomheder.
"Organisationer formår stadig ikke at indføre væsentlige sikkerhedskontroller. I bedste fald er organisationer stadig under 2021's standarder. Selv store virksomheder, der forstår risiciene, undlader ofte at implementere kontroller ordentligt – mindst 29 % har ikke kontrol på plads til patch-administration eller begrænsning af adgang til organisationsejede enheder,” argumenterer hun.
"Med angribere, der har en tendens til at plukke den lavest hængende frugt, kunne 98 % af brudene forhindres ved at fokusere på grundlæggende sikkerhedsprincipper og bedre cyberhygiejne. At bevæge sig mod midten af flokken ved at have de rigtige kontroller og politikker på plads vil hjælpe med at afværge langt de fleste angreb."
Cyleras chefsikkerhedsstrateg, Richard Staynings, fremhæver tredjeparts risikostyring som en kritisk fejl for mange britiske virksomheder. Han argumenterer for, at leverandører aldrig bør vinde kontrakter for kritiske infrastruktursektorer som sundhedspleje, blot baseret på det laveste bud.
"Problemet er, at de færreste virksomheder håndhæver [sikkerhedspraksis] i deres kontrakter med tredjeparter, hvilket gør det til en forudsætning for at sikre, at de har politikker og procedurer, der opfylder vores egne standarder, at de har kvalitetssikring på plads, personaleuddannelse og adgangskontrol. oprettet, og at de leverer ISO/IEC 27001-certificering – verdens mest kendte standard for informationssikkerhedsstyringssystemer (ISMS),« tilføjer han.
Socuras administrerende direktør, Andy Kays, er især forfærdet over den relativt lille andel af virksomheder, der har formaliserede hændelsesplaner på plads - et faktum, han beskriver som "forbløffende".
”Virksomheder vil altid have en plan i tilfælde af brand, men vil ikke udvise den samme omhu for et databrud – hvilket statistisk set er meget mere sandsynligt. Det flyver i øjnene af sund fornuft,” fortsætter han.
"I tilfælde af et brud, fører virksomheder ikke journaler, informerer ikke politiet eller regulatorer, vurderer ikke omfanget og virkningen af hændelsen. De formår ikke at gøre det absolutte minimum. Det er også vigtigt at bemærke, at virksomheder gør meget lidt for at forhindre eller opdage brud i første omgang.”
Opbygning af en mere robust fremtid
Et af de mest skuffende resultater af rapporten er manglen på bevidsthed omkring regeringens sikkerhedsinitiativer som 10 Steps og Cyber Essentials, som er designet til at forbedre basissikkerheden for almindelige virksomheder. Det samme gælder for globalt anerkendte sikkerhedsstandarder for bedste praksis som ISO 27001, på trods af at nogle respondenter ser det i positive vendinger. Matt Thomas, chef for britiske markeder hos NCC Group, argumenterer for, at det burde være på to-do-listen for mange større organisationer.
“Mens ISO 27001-certificering primært baner vejen for virksomheder til at øge deres cyberresiliens, rækker fordelene meget længere. Fra et troværdighedssynspunkt kan det hjælpe med beskyttelse af omdømme. Og som et globalt anerkendt rammeværk kan det hjælpe med revisioner og tilpasning af strategier, samtidig med at det sikrer, at virksomheder overholder lovgivningen og undgår dyre bøder,” siger han til ISMS.online.
"Hvis ISO 27001 bliver vedtaget mere bredt, kan vi se på et meget andet billede, når fremtidige undersøgelser af cyberbrud udgives. Virksomheder, der tager en proaktiv tilgang til deres cyberhygiejne, er uden tvivl mindre tilbøjelige til at blive ofre for et cyberangreb."
Keith Fenner, general manager EMEA og Diligent, konkluderer, at EU-lovgivning som NIS 2 og DORA vil tvinge mange organisationer til at forbedre deres risikostyring og rapportering.
"For at forberede sig har organisationer brug for et robust IT-compliance-program, som i stigende grad understøttes af kunstig intelligens og automatiseringsfunktioner for at sætte dem i stand til at kortlægge kontroller til flere regler og løbende overvåge kontroller for at reducere sandsynligheden for databrud," siger han til ISMS.online.
“Dette program bør være en del af en integreret GRC-platform for at lette både interne og eksterne revisioner, give flere interessenter fra organisationen mulighed for at se og samarbejde og muliggøre strømlinet rapportering op til bestyrelsen, så cyberrisiko integreres i organisationens overordnede strategi . Endelig bør bestyrelsen og ledelsen udnytte træningsprogrammer og certificeringer – samt udnytte deres CISO’er – for at opbygge deres cyberfærdigheder, så de effektivt kan styre cyberrisici for hele virksomheden."
