Valgkommissionen og politiets databrud fremhæver store sikkerhedshuller i Storbritanniens offentlige sektor – hvordan løser vi dem?
Indholdsfortegnelse:
Alvorlige databrud ved valgkommissionen og flere britiske politistyrker har fremhævet, at offentlige organisationer ikke er immune over for truslen fra cyberkriminelle.
I august afholdt valgkommissionen bekræftet det var offer for "et komplekst cyberangreb", der kompromitterede 40 millioner britiske borgeres personlige oplysninger. Bruddet, som først fandt sted i august 2021, forblev uopdaget indtil oktober 2023 og så hackere hente referencekopier fra valgregistret. Det betød, at de havde adgang til navne og adresser på millioner af britiske vælgere.
Kommissionen indrømmede, at "tilstrækkelig beskyttelse ikke var på plads til at forhindre dette cyberangreb", og det er nu tilsyneladende at den statslige myndighed fejlede en Cyber Essentials-test designet til at forbedre organisationers cyberforsvar før angrebet fandt sted. I lyset af alvoren af angrebet i august 2021 hævder organisationen at have påbegyndt arbejdet med at "forbedre sikkerheden, modstandsdygtigheden og pålideligheden" af sine it-systemer.
Andre steder i den offentlige sektor i Storbritannien har flere britiske politistyrker for nylig oplevet betydelige databrud. I august Londons Metropolitan Police advaret titusindvis af dets ansatte til et databrud forårsaget af "uautoriseret adgang til en Met-leverandørs it-system."
Den pågældende it-leverandør havde oplysninger som navne, rækker, fotos, kontrolniveauer og lønnumre for Mets politibetjente og personale i arkivet. Met sagde dog, at hacket ikke resulterede i læk af personlige data som navne, adresser og økonomiske oplysninger. Andre britiske politistyrker, der oplever nylige databrud, omfatter Greater Manchester Police og Police Service of Northern Ireland.
Disse databrud har bevist, at personlige data ikke nødvendigvis er sikre i hænderne på offentlige myndigheder, og at de skal gøre mere for at forbedre deres cybersikkerhedskapacitet. Men hvilke cybersikkerhedsrammer og bedste praksis kan de implementere for at sikre, at disse hændelser aldrig sker igen?
Kritiske lektioner, der skal læres
En af de største lære af disse brud er, at selv meget sikre databaser er sårbare over for brud og forbliver lukrative mål for cyberkriminelle. Gennemgang og begrænsning adgangsrettigheder til databaser med store mængder personlige data er et glimrende første skridt, men det er ikke det eneste, organisationer bør overveje.
Med cybertrusselslandskabet, der udvikler sig med en hidtil uset hastighed, skal organisationer forblive et skridt foran cyberkriminelle ved at forudse de sikkerhedssårbarheder og hackingmetoder, de kan udnytte i deres angreb. Den eneste måde at gøre dette på er ved at udføre regelmæssige cybersikkerhedsrevisioner og holde sig ajour med de seneste cybersikkerhedstrusler.
Det er også vigtigt at forstå, at databrud forårsager mere end blot økonomiske tab. I betragtning af den afgørende rolle, valgkommissionen, politistyrkerne og andre offentlige myndigheder spiller i det offentlige liv, har de ikke råd til at miste borgernes tillid. Men desværre er der store risici for skader på omdømme og udhuling af offentlighedens tillid cyberangreb påvirker offentlige institutioner. Desuden føler disse organisationer typisk den fulde kraft af tilsynsorganer - i væsentlig grad undergraver deres væsentlige offentlige arbejde.
David Sancho, en senior trusselsforsker hos cybersikkerhedsfirmaet Trend Micro, beskrev valglisten og politistyrkens databrud som "gode eksempler på tilfælde, hvor organisationer ikke tager sikkerheden af de data, de beskytter, alvorligt".
Sancho advarede organisationer om ikke at forsømme datasikkerhed "fordi angribere er klar til at kaste sig ud når som helst". Han sagde, at uanset deres størrelse, er enhver virksomhed og organisation "udsat for cyberangreb."
Han tilføjede: "I min erfaring placerer nogle sikkerhedsudgifter en lavere prioritet med en begrundelse som "det vil ikke ske for os, vi er ikke en cyberangribers tid værd". Dette bør ikke ske, og alle virksomheder bør være klar til forsøg som disse.”
Forbedring af cybersikkerhedsfundamenter
Uanset om det er økonomisk tab, omdømmeskader eller lovgivningsmæssige konsekvenser, kan mange af disse risici undgås, når organisationer tager truslen om cyberkriminalitet alvorligt. Men handlinger taler højere end ord – organisationer skal ikke bare love at forbedre deres cybersikkerhed holdning i en offentlig udtalelse efter et alvorligt brud, men tage konkrete, kvalitative skridt for at styrke deres cybersikkerhedsfundamenter.
Da menneskelige fejl spiller en så fremtrædende rolle i databrud, er organisationer nødt til at gøre mere for at uddanne deres personale i at opdage og afbøde cybersikkerhedsrisici. Da cyberrisikolandskabet fortsætter med at involvere, vil en enkelt PowerPoint-præsentation for at sætte kryds i en boks ikke skære den ud. Både offentlige og private organisationer skal løbende rulle ud personaleuddannelse og bevidsthed kampagner. Organisationer som National Business Crime Center tilbyder gratis cybersikkerhedsuddannelse for medarbejdere, så cyberbevidsthed ikke behøver at tære på virksomhedens budgetter.
Et andet grundlæggende, men væsentligt skridt til at forbedre en organisations cybersikkerhedsgrundlag, er regelmæssig opdatering af software og systemer for at rette sikkerhedssårbarheder. Migrering fra forældede operativsystemer som Windows 7 og 8 vil også forhindre softwaresikkerhedshuller. Implementerer multi-faktor autentificering vil også mindske sandsynligheden for, at uautoriserede parter får uautoriseret adgang til en organisations it-systemer.
Implementering af en internationalt anerkendt brancheramme som Cybersikkerhedsrammen fra National Institute of Standards eller ISO 27001 vil øge organisatorisk cyberresiliens. Disse rammer hjælper organisationer med områder som formueforvaltning, adgangskontrol, sårbarhedsstyring, hændelsesrespons, tredjepartssikkerhed og løbende forbedringer.
Luke Dash, administrerende direktør for ISMS.online, sagde, at sådanne rammer vil hjælpe organisationer med "betydeligt at forbedre modstandskraften mod angreb". I lyset af valglisten og politistyrkens databrud opfordrer han indtrængende regeringer til at gøre implementering af cybersikkerhedsrammer obligatorisk i statslige organer – især hvis de har følsomme data – sammen med revisioner og rammecertificering.
Integrering af disse læringer og rammer
Implementering af en cybersikkerhedsramme og forbedring af cyberresiliens vil være helt nyt for mange organisationer. Så hvad kan de gøre for at nå disse mål med succes?
Dash siger, at organisationer ikke må se cybersikkerhed som en "eftertanke". Nøglen til cybermodstandsdygtighed er ”dedikeret fokus, ressourcer og et løbende engagement. Han fortsatte: "Implementering af en robust ramme kan hjælpe med at styrke forsvaret, før et brud opstår. Offentligheden fortjener sikkerhed i verdensklasse for deres data, og disse rammer giver en blueprint. Der skal stadig arbejdes, men vejen frem er klar.”
At øge synligheden af en organisations netværk vil også hjælpe dem med at beskytte følsomme data, ifølge Sancho. Han anbefalede: "Det opnår du med software, der analyserer netværksadfærd og kan markere uensartede anomalier som en fælles hackingindsats. At have denne forbedrede synlighed kan give en forsvarer mulighed for at forstå, at de er under angreb, før skaden er sket."
Uanset branche eller størrelse skal alle organisationer, der behandler og opbevarer følsomme oplysninger, også tage skridt til at forstå databeskyttelseslove som den generelle databeskyttelsesforordning.
Kevin Modiri, en advokat hos advokatfirmaet Nelsons, sagde: "Den generelle databeskyttelseslovgivning (GDPR) trådte i kraft i 2018 og regulerer, hvordan vi kan bruge, behandle og opbevare personlige data, herunder enhver information om en identificerbar, levende person. Lovgivningen gælder for alle organisationer, også dem, der leverer varer og tjenesteydelser.”
Nøgleforsøg
Valglisten og politiets databrud var uheldige hændelser, der påvirkede millioner af mennesker, men det, der er klart, er, at de har præsenteret værdifulde lektioner for organisationer, der håndterer følsomme oplysninger.
Den måske største lære er, at alle organisationer skal vurdere deres cybersikkerhedskapaciteter og tage løbende foranstaltninger for at sikre følsomme data. At vente på, at brud sker, er ikke en mulighed med så meget på spil, herunder økonomisk tab, skade på omdømme og lovgivningsmæssige handlinger.
Effektive foranstaltninger til at forhindre datalækage omfatter implementering af internationale cybersikkerhedsrammer og levering af regelmæssig, konsekvent cybersikkerhedsuddannelse for alle i organisationen.
