Å lukke gapet i motstandskraft: Der regjeringen sier at UK PLC fortsatt mislykkes

Kunder, styrer og regulatorer er alle enige. Hvis det er umulig å forhindre nettsikkerhetsbrudd 100 % av tiden, må fokuset være på å forbedre motstandskraften slik at organisasjoner er bedre rustet til å motstå og komme seg etter dem. Men å måle fremgang på dette området er ingen enkel oppgave. Regjeringens Undersøkelse om cybersikkerhetsbrudd er ganske detaljert. Men det viktigste er at den ikke gjennomfører en spørreundersøkelse blant nøyaktig de samme organisasjonene hvert år for å sjekke hvordan holdningen deres utvikler seg.

Det er her regjeringens Longitudinell undersøkelse av cybersikkerhet kommer inn. Nå i sitt femte år (eller «bølge») tar den sikte på å vise hvordan organisasjoner endrer seg over tid. Funnene er opplysende. Selv om det absolutt er noen positive ting å ta med seg fra bølge fem, fremhever rapporten en tilbøyelighet til reaktiv sikkerhet som står i strid med beste praksis.

Hva går riktig (og galt)?

Rapporten avslører at de fleste organisasjoner fortsatte å oppleve en eller annen form for «cyberhendelse» i fjor: 82 % mot 79 % året før. Men på den positive siden gjør de noe med det. Faktisk:

• Andelen organisasjoner som rapporterte «etterlevelse» av Cyber ​​Essentials økte fra 23 % til 30 % mellom bølge fire og fem.
• Andelen bedrifter med cyberforsikringer økte fra 29 % til 35 %
• Andelen bedrifter som hevdet at de ikke visste om forsikring falt fra 20 % til 13 %.
• Bedrifter rapporterte oftere at de investerte i trusselinformasjon (44 % mot 36 %).
• Respondentene var mer sannsynlig å utføre en revisjon av cybersikkerhetssårbarheter (60 % mot 56 %).
• Over en tredjedel av organisasjonene (37 %) rapporterte en økning i budsjetter for cybersikkerhet

Det er imidlertid også grunner til bekymring. Selv om det siste året har vært en økning i etterlevelsen av standarder og rammeverk for beste praksis, er det en stor andel (37 %) av bedriftene som ikke overholder verken ISO 27001, Cyber ​​Essentials eller Cyber ​​Essentials Plus.

Risikostyring i forsyningskjeden fortsatte også å være en blindsone for mange. Bare 28 % av bedriftene sier at de har utført en formell vurdering av leverandører i løpet av de siste 12 månedene. «Kvalitativt sett manglet organisasjoner generelt bevissthet om cybersikkerhetshendelser i forsyningskjedene sine, og erkjente at de sannsynligvis skjer uten deres viten», bemerker rapporten.

Den avslører også at selv om 90 % av bedriftene hevder å integrere cyberrisiko i bredere forretningsrisiko, «oversettes ikke dette alltid til effektive budsjetter eller opplæring på styrenivå».

Problemet med reaktiv sikkerhet

Det største problemet som fremheves i rapporten er ikke nødvendigvis at britiske bedrifter ikke gjør noen innsats for å forbedre motstandskraften, for i mange tilfeller gjør de det. Det er måten disse investeringene skjer på. Rapportforfatterne sporer organisasjoner som svarer på spørsmålet på tvers av to forskjellige intervjusykluser («tidspunkt 1» og «tidspunkt 2») – vanligvis i løpet av et år – for å måle endring over tid.

De fant at over en tredjedel (34 %) av organisasjonene som opplevde en hendelse med innvirkning og/eller utfall på tidspunkt 1, senere opplevde en hendelse uten innvirkning og/eller utfall på tidspunkt 2. Dette tyder på at enten organisasjonen reaktivt har forbedret robustheten, eller at den andre hendelsen ikke var like inngripende.

Det er mer. Organisasjoner som ikke opplevde en hendelse på tidspunkt 1 så ikke ut til å gjøre noen proaktive endringer for å forbedre sikkerhetstilstanden, noe som potensielt tyder på at de ventet på at noe skulle utløse en positiv endring. På den annen side, hvis en organisasjon opplevde en hendelse, var det mer sannsynlig at de implementerte positive endringer på tvers av åtte variabler, inkludert hendelsesrespons, risikostyring i forsyningskjeden og engasjement i styrerommet.

«Uforutsigbarheten ved at cyberhendelser kan være en katalysator for endring er bekymringsfull», advarer rapportforfatterne.

Andre eksempler på reaktiv sikkerhetsholdning inkluderer følgende funn:

• Organisasjoner har større sannsynlighet for å oppnå ISO 27001/Cyber ​​Essentials-akkreditering på tidspunkt 2 hvis de opplevde en hendelse med en innvirkning og/eller et utfall på tidspunkt 1.
• Omdømmerisiko ble «ofte nevnt» av respondentene som en motivasjon for endring, spesielt for cybersikkerhetsteam og toppledelsen.
• «Eksterne påvirkninger» var en nøkkelfaktor i å skape momentum for endring, slik som ransomware-angrepene på forhandlere i handlegaten i fjor. «Deltakerne nevnte at disse offentlige hendelsene fikk dem til å gjøre ekstra kontroller eller tillot finansiering på grunn av den potensielle innvirkningen de hadde på deres egen organisasjon», heter det i rapporten.

Barrierer for suksess

«Reaktiv sikkerhet vil alltid la organisasjoner ligge ett skritt bak. Når et varsel utløses, har angriperen allerede lykkes på en eller annen måte», forteller Michael Downs, visepresident i SecureEnvoy, til IO (tidligere ISMS.online). «Å bygge robusthet proaktivt, spesielt på identitetslaget, er ikke lenger valgfritt; det er den eneste måten å redusere risiko på før den materialiserer seg.»

Men hvis proaktiv sikkerhet var så enkelt, ville alle gjort det. Andy Ward, internasjonal direktør hos Absolute Security, peker på flere viktige barrierer.

«En utfordring er å få støtte fra styret og nettledelsen for å heve motstandskraften til toppnivåer i styringen, med klare strategier for fullstendig driftsgjenoppretting etter en forstyrrelse. Uten denne involveringen kan proaktive tiltak bli forsinket eller inkonsekvent anvendt», forteller han til IO.

«En annen viktig barriere er den raske økningen i antall enheter og programvareapplikasjoner, noe som gjør IT-systemer mer komplekse og vanskeligere å administrere. Denne spredningen gjør det vanskelig å holde systemene oppdaterte og implementere proaktive tiltak for cyberrobusthet på tvers av alle endepunkter.»

Ward peker også på finansiering og tilgang til talent som noe som hindrer bedrifter i disse anstrengelsene – spesielt mindre bedrifter. «Mange mindre bedrifter tror også feilaktig at de er for små til å tiltrekke seg nettkriminelle, eller at lagring av data i skyen automatisk beskytter dem», legger han til.

Reisen til proaktiv sikkerhet

Men med riktig tilnærming burde ikke disse barrierene være uoverstigelige, argumenterer James Mackay, administrerende direktør i MetaCompliance.

"Å bli mer proaktiv starter med å endre målet om sikkerhetsbevissthet fra å levere opplæring til å håndtere menneskelig risiko», forteller han til IO. «Over tid bygger denne tilnærmingen en atferdsbasert sikkerhetskultur. Ansatte opplever sikkerhet ikke som en sporadisk klasseromsøvelse, men som en del av sitt daglige arbeid.»

Beste praksis-standarder som ISO 27001 kan være «kraftige muliggjørere» for denne omformuleringen så lenge de ikke blir sett på som en sjekkliste, legger Mackay til.

«ISO 27001 forventer at du forstår informasjonssikkerhetsrisikoene dine, implementerer passende kontroller og sørger for at folk er kompetente og bevisste på sitt sikkerhetsansvar», fortsetter han. «De legger grunnlaget for hvordan sikkerhet bør håndteres på tvers av en organisasjon.»

Hvis flere organisasjoner tar i bruk denne typen strukturert tilnærming, kan neste års longitudinelle undersøkelse være mer betryggende lesning.

Utvid din kunnskap

Blogg: Motstandskraftfaktoren: Å bryte ned BridgePay-ransomwareangrepet

Blogg: Å møte loven om bruk og tilgang til data med tillit: Hvorfor ISO 27001-, 27701- og 42001-løkken leverer

Nedlasting: Status for informasjonssikkerhetsrapport 2025