Storbritanniens CNI-udbydere kæmper: 2025 bliver et kritisk år for cyber
Indholdsfortegnelse:
Storbritanniens kritiske nationale infrastruktur (CNI) hedder det af en grund. Men de store mængder af følsomme data, som udbydere gemmer, deres lave tolerance over for udfald og deres kritiske betydning for national og økonomisk sikkerhed gør dem også til mål. Modige nationalstatsaktører, hacktivister og økonomisk motiverede cyberkriminelle finder i stigende grad sikkerhedshuller at udnytte.
Globalt er over to femtedele (42 %) rapporteret databrud i løbet af det seneste år, og 93 % har oplevet stigning i angreb. Med kommende britisk lovgivning, der forventes i det nye år, har CNI-virksomheder helt klart brug for at forbedre deres cyberresiliens. Den gode nyhed er, at der allerede eksisterer standarder for at vejlede dem i disse bestræbelser.
Hvad sker der?
Der er ikke noget typisk CNI-firma, lige fra forsyningsudbydere til finansielle tjenester, sundhedsorganisationer og forsvarsproducenter. Men mange er blevet ramt af de samme trusler, herunder masseudnyttelse af sårbarheder af russiske skuespillere og målrettede phishing-kampagner fra Iranske statshackere.
I Storbritannien oplevede 2024 betydelige ransomware- og databrud hos en central NHS-udbyder (Synnovis) og kl MoD, der potentielt kan sætte liv på spil. Der har været ransomware-angreb rettet mod børnehospitaler og store transportudbydere. Men bortset fra disse isolerede hændelser kan vi afdække følgende tendenser:
Insidertrusler: Ifølge Thales oplevede 30 % af CNI-organisationer en insider-trusselshændelse i løbet af det seneste år. Separat, Bridewell advarer at 35 % af CNIs sikkerhedsledere mener, at personlige økonomiske problemer tvinger medarbejdere til at vende sig til datatyveri og sabotage.
Stress og udbrændthed: Især sikkerhedsledere mærker presset. I 2022 blev en rapport hævdet at 95 % oplevede faktorer, der ville gøre dem tilbøjelige til at forlade deres rolle i de kommende 12 måneder.
Stående budgetter: Procentdelen af IT (33 %) og OT (30 %) budgetter i 2024 øremærket til cybersikkerhed faldt dramatisk fra 2023 tal på henholdsvis 44 % og 43 %.
Faldende tillid til værktøjer: Bridewell hævder, at næsten en tredjedel (31 %) af CNI-sikkerhedsledere rangerede "tillid til cybersikkerhedsværktøjer" som en topudfordring i 2024, en årlig stigning på 121 %.
Slørede linjer mellem trusler mod stat og cyberkriminalitet: Den russiske stats rolle i at beskytte og tilskynde til økonomisk motiverede angreb på hospitaler og andre britiske CNI bliver i stigende grad kaldt ud på højeste niveau.
NCSC bemærkede i sin Årlig gennemgang: "Gennem sine aktiviteter i Ukraine inspirerer Rusland ikke-statslige trusselsaktører til at udføre cyberangreb mod det vestlige CNI. Disse trusselsaktører er ikke underlagt formel eller åbenlys statskontrol, hvilket gør deres aktiviteter mindre forudsigelige. Dette mindsker dog ikke den russiske stats ansvar for disse ideologisk drevne angreb.”
Voksende sofistikering. Selvom ikke fokuseret på Storbritannien, den kinesiske gruppe Volt tyfon viste sofistikeret håndværk i en flerårig kampagne, der blev afsløret tidligere i 2024, hvor den infiltrerede amerikanske CNI-netværk for at sabotere kritiske tjenester i tilfælde af en konflikt.
"Mange CNI-systemer er afhængige af forældet teknologi, hvilket gør dem sårbare over for angreb og svære at sikre. At navigere i komplekse og udviklende regulatoriske krav kræver betydelige ressourcer og ekspertise,” siger Thales EMEA teknisk direktør for datasikkerhed, Chris Harris, til ISMS.online.
"Derudover hæmmer mangel på dygtige cybersikkerhedsprofessionelle evnen til at håndtere og reagere effektivt på trusler. At balancere indførelse af nye teknologier med opretholdelse af robuste sikkerhedsforanstaltninger er en konstant udfordring."
Bridewell CTO Martin Riley er enig og tilføjer, at operationel teknologi (OT) er en anden stor udfordring for CNI-virksomheder.
"OT-enheder mangler strengheden af virksomhedssikkerhed, med fortsatte bekymringer om at påvirke driften og sundhed og sikkerhed. Ældre systemer, mange over 20 år gamle, har ikke ofte moderne sikkerhedsfunktioner, og tendensen til konvergens af OT med it-systemer øger angrebsfladen,” siger han til ISMS.online.
"På grund af mangel på færdigheder kan CISO'er ikke kalde på OT-specifik ekspertise til at udvikle proportionale cybersikkerhedsplaner og bygge bro mellem IT og OT-sikkerhed for at reducere denne risiko. Særligt udbredt er fremkomsten af edge-enheder inden for IT OT og IoT-infrastrukturer, som kunne udnyttes i levende off-the-land-angreb, hvor legitime værktøjer i systemet er målrettet."
Riley tilføjer, at i nogle tilfælde kan kvalifikationsmangler endda få OT-hold til at vedtage foranstaltninger, der utilsigtet blokerer brugeradgang, hvilket forårsager fysisk infrastrukturskade eller endda en risiko for menneskeliv.
Hvad efterspørger regulatorer?
Behovet for at indbygge modstandskraft i CNI er tydeligt i ovenstående tendenser og hændelser, men der er også et voksende regulatorisk krav. Britiske udbydere med aktiviteter på kontinentet skal overholde et strengt nyt sæt af basissikkerhed krav i NIS2. Direktivet præciserer også, at ledende virksomhedsledere vil blive holdt mere ansvarlige for cybersikkerhedsfejl, herunder personligt ansvar for alvorlige overtrædelser.
I Storbritannien, en indkommende Lovforslaget om cybersikkerhed og resiliens vil opdatere NIS-forordningerne for 2018, så de dækker flere tjenesteudbydere, bemyndiger regulatorer og giver mandat til rapportering af hændelser. Ikke alle detaljerne er endnu blevet udarbejdet, men den generelle rejseretning fra et lovgivningsmæssigt perspektiv i Storbritannien er nærmere undersøgelse af CNI-virksomheder.
Hvad CNI-virksomheder kan gøre i 2025
"NCSC mener, at alvoren af statsledede trusler er undervurderet, og at cybersikkerheden for kritisk infrastruktur, forsyningskæder og den offentlige sektor skal forbedres," siger NCSC i sin Årlig gennemgang.
Det er alt sammen meget godt, men hvordan kan udbydere forbedre deres sikkerhedsstilling specifikt?
"CNI står over for forskellige trusler, udfordringer og muligheder. Proaktive foranstaltninger, såsom formelle ransomware-svar og compliance-revision, er afgørende,” argumenterer Thales' Harris.
Nye teknologier som 5G, cloud, identitets- og adgangsstyring og GenAI tilbyder nye effektivitetsgevinster, når de integreres i CNI-drift. Større forventninger og øgede forpligtelser til operationel modstandskraft og pålidelighed vil øge sikkerheden og reducere modtageligheden for CNI-virksomheder."
Best practice-standarden ISO 27001 kunne være et godt udgangspunkt for mange, idet den giver en "robust ramme" til styring af sikkerhedsrisici, fortsætter han.
"Overholdelse af ISO 27001 sikrer, at CNI-operatører implementerer bedste praksis inden for cybersikkerhed, herunder risikovurdering, hændelsesstyring og løbende forbedringer," siger Harris.
Bridewell's Riley understøtter også industriens bedste praksis-tilgange.
"En best practice cybersikkerhedsstrategi i en typisk CNI-udbyder tilpasser IT- og OT-risikoregistre for at evaluere risici holistisk. Dette bør drives ved at blande og kortlægge ISO 27001-kontroller til NIST CSF, NCSC CAF, NIS-regler eller specifikke OT-rammer såsom IEC 62443,” forklarer han.
"ISO 27001 alene er ikke en drivkraft for at forbedre CNI-sikkerheden. Mange organisationer opretholder et enkelt anvendelsesområde og en erklæring om anvendelighed, der kun dækker virksomheden. Det er derfor, det er så vigtigt for CNI-organisationer at inkorporere andre rammer og regler i deres strategi for et multi-scope ISMS. Opbygning af et multi-scope ISMS kan være kompliceret, men det er ikke umuligt, hvis OT og IT er effektivt adskilt og relevante regler er indarbejdet."
