NCSC Annual Review 2023 And King's Speech styrker vigtigheden af cybersikkerhed og databeskyttelse
Indholdsfortegnelse:
To af de mest betydningsfulde begivenheder i den britiske cybersikkerhedsindustrikalender i løbet af de sidste par måneder var udgivelsen af National Cyber Security Center (NCSC) Annual Review 2023 og King's Speech.
NCSC Annual Review 2023 ser regeringens agentur reflektere over cybersikkerhedsrisikolandskabet, tendenser og dets arbejde mellem september 2022 og august 2023. Den diskuterer alt fra truslen fra nationalstater til virkningen af ransomware-angreb på britiske virksomheder og borgere .
Sammen med udgivelsen af denne rapport var kong Charles IIIs første tale fra House of Lords et historisk øjeblik og detaljerede to nye kommende regler om cybersikkerhed og databeskyttelse. I denne blog nedbryder vi NCSC Annual Review 2023 og cybersikkerhedselementerne i Kongens tale.
Nationalstatstrusler
I sin årlige gennemgang for 2023 udforsker NCSC de cybersikkerhedstrusler, som ondsindede nationalstater som Kina, Rusland, Iran og Nordkorea udgør mod Storbritanniens nationale sikkerhed, virksomheder, organisationer og borgere.
NCSC ser især Kinas voksende tekniske supermagtsstatus som en væsentlig trussel mod Storbritanniens nationale sikkerhed. Organisationen beskriver Kina som en "epokedefinerende udfordring for Storbritanniens sikkerhed", idet de mener, at landet vil blive den førende cyberspace-magt, hvis Storbritannien ikke forbedrer sin modstandskraft og evner på dette område.
Den fandt, at kinesiske hackere fortsætter med at bruge "sofistikerede" cyberkapaciteter til at "true sikkerheden og stabiliteten af britiske interesser" strategisk. Britiske startups, forskning og innovation er primære mål. NCSC kaldte Kinas cybersikkerhedsudfordringer "globale og systematiske" og opfordrede Storbritannien, dets allierede og industripartnere til at øge deres forståelse af disse trusler.
En anden nationalstat, der fokuserer sin indsats på cyberkrigsførelse, er Rusland. Næsten to år efter invasionen af Ukraine fortsætter den russiske regering og tilknyttede hackere med at lancere cyberangreb på den ukrainske regering og Ukraine-baserede virksomheder. Deres foretrukne taktik er distribueret lammelsesangreb og dataviskerangreb, selvom NCSC hævder, at "påvirkningen af Ukraine har været mindre end forventet". Det tilskriver dette landets "veludviklede" cybersikkerhed kapaciteter og international støtte.
To andre nationer med betydelige cybersikkerhedstrusler er Iran og Nordkorea. NCSC beskrev Iran som en "aggressiv og dygtig cyberaktør", der "næsten helt sikkert vil bruge cyber til sine mål", rettet mod alle fra politikere til journalister. I mellemtiden er Nordkoreas mål med sine hacking-aktiviteter at hjælpe sin kæmpende økonomi via "ulovlig indtægtsgenerering og sanktionsunddragelse". Nordkoreanske hackere lancerer cyberangreb på forskellige internationale virksomheder, regeringer og institutioner for at få adgang til værdifuld information.
Ransomware viser vejen
NCSC-rapporten udforsker også det udviklende cybersikkerhedslandskab. Ransomware er en af de største cybersikkerhedstrusler, som UK-baserede virksomheder og organisationer står over for, og NCSC advarer om, at de bør "tage handling for at beskytte sig selv mod denne omfattende trussel".
Selvom cyberkriminelle overvejende udfører ransomware-angreb ved at "stjæle og kryptere data", har NCSC advaret organisationer og virksomheder om at være på vagt over for dataafpresningsangreb. Disse ser kriminelle stjæle, men ikke kryptere data.
Ransomware-ofre indsendte 297 rapporter til NCSC fra september 2022 til august 2023, hvor de mest berørte industrier var den akademiske verden (50), fremstilling (28), IT (22), finans (19) og ingeniørvirksomhed (18).
James Watts, administrerende direktør hos Datakaserne, forventer, at ransomware-angreb på britiske mål vil stige og opfordrer dem til at tage skridt til at afbøde denne trussel. Han siger: "Lav en plan, test og motioner ofte, opdater den om nødvendigt.
"Hvis du oplever et vellykket ransomware-angreb, kan virkningen være katastrofal, hvis du ikke er forberedt. Den risiko øges, hvis din organisation håndterer og opbevarer følsomme data."
Andre cybertrusler
Svig er en anden væsentlig trussel, der påvirker både britiske virksomheder og enkeltpersoner, hvor en stor del af det (80%) er cyberaktiveret. For at undgå at blive ofre for cybersvindel anbefaler NCSC at bruge tre tilfældige ord til at oprette adgangskoder og opsætte to-faktor autentificering på alle internetkonti.
I 2023 udgjorde også statslige aktører, ud over statslige aktører, "en ny og fremvoksende trussel" mod Storbritanniens kritisk national infrastruktur (CNI). Disse grupper begynder at vise "et ønske om at opnå en mere forstyrrende og destruktiv indvirkning mod vestlig CNI" sammen med traditionelle cyberkampagner som DDoS-angreb og online misinformation.
Fremme af kunstig intelligens teknologi og store sprogmodeller gør det også muligt for cyberkriminelle at "forstærke eksisterende håndværk. NCSC siger, at den kortsigtede trussel om dette vil være forstærkningen af de nuværende cybertrusler. Især vil kunstig intelligens give cyberkriminelle mulighed for at skalere deres hackingkampagner og gøre dem hurtigere.
Katie Barnett, direktør for cybersikkerhed på Toro, er enig i NCSC's resultater om, at AI-teknologi "forstærker angreb med hensyn til både hastighed og skala". Hun siger: "Antallet af angreb vil fortsætte med at stige, medmindre organisationer begynder at sætte sikkerhed på forkant med deres strategier."
Den øgede tilgængelighed af kommercielle cybersikkerhedsværktøjer og -tjenester vil også gøre det muligt for trusselsaktører, herunder statslige og ikke-statslige, at udføre cyberangreb hurtigere. Dette vil gøre det lettere for dem at opnå "omkostningseffektiv kapacitet og efterretninger" og udføre cyberkriminalitet "i mangel af tilsyn eller en forståelse af, hvordan internationale normer gælder". NCSC siger, at det støtter den britiske regering og dens allierede i at sikre, at disse værktøjer skabes, bringes på markedet og bruges lovligt og ansvarligt.
Mellem 2022 og 2023 modtog NCSC 2,005 rapporter fra virksomheder og enkeltpersoner, der oplevede en cyberhændelse. Det er en stigning på 64 % fra året før, hvor organisationen modtog 1,226 rapporter. Ud af disse 2,005 rapporter er organisationens incident management behandlede 371 sager og anså 62 af dem for at være "nationalt vigtige. Barnett tilføjede: "Disse tal skal fungere som en skarp påmindelse til organisationer om, at cybersikkerhed skal behandles med samme værdi som kommercielle mål.
Kongens Tale
I 2023 åbnede kong Charles III også parlamentet for første gang i sin regeringstid og holdt en tale fra tronen i House of Lords, hvor han skitserede den britiske regerings dagsorden for de næste par måneder.
Kongen diskuterede to nye love designet til at forbedre Storbritanniens cybersikkerhed og databeskyttelse, lovforslaget om databeskyttelse og digital information (DPDI) og lovforslaget om undersøgelsesbeføjelser (reform).
Robert Wassall, direktør for juridiske tjenester NormCyber, forklarer, hvordan regeringen håber at hjælpe virksomheder med at realisere overholdelsesomkostningsbesparelser i milliarder og øge produktiviteten ved at indføre en innovativ, fleksibel databeskyttelseslov i form af DPDI.
Dette, hævdes det, vil primært ske ved at tillade virksomheder at beskytte personoplysninger på mere forholdsmæssige og praktiske måder end under EU's GDPR, hvilket gør dem mere effektive ved at eliminere unødvendigt papirarbejde og reducere bureaukrati og samtidig opretholde høje databeskyttelsesstandarder,” siger han.
Imidlertid kan indførelsen af DPDI forværre Storbritanniens i forvejen stenede forhold til EU. Wassall advarer om, at EU kan se denne lov som, at Storbritannien bevæger sig "for langt væk fra GDPR".
Med hensyn til lovforslaget om undersøgelsesbeføjelser (reform), siger Wassall, at denne legalisering vil "tvinge teknologivirksomheder til at informere hjemmekontoret på forhånd om eventuelle sikkerheds- og privatlivsfunktioner, de ønsker at tilføje".
Det vil også tvinge dem til at "deaktivere dem, som regeringen protesterer mod", og samtidig øge "indenrigsministeriets magt til at tvinge ikke-britiske virksomheder til at overholde de ændringer, de ønsker, at de skal foretage i sikkerhedsfunktionerne uden ret til at appellere".
Barnett mener, at selvom "lovgivningsreform og en omfattende samlet tilgang til cyberregulering er nødvendig", vil dette usandsynligt reducere antallet af cyberangreb, der forekommer. Hun konkluderer: "Som med mit svar på NCSC-rapporten, er vi alle nødt til at arbejde sammen med virksomheder, der tager cybersikkerhed alvorligt for at forhindre, at deres organisation bliver angrebet."
