Fremskritt innen nettsikkerhet har stoppet opp blant britiske selskaper: Slik løser du det

Fremskritt innen cybersikkerhet har stoppet opp blant britiske selskaper: Slik fikser du det

By Phil Muncaster • 24. april 2025 • 6 minutters lesetid

Hver dag leser vi om skadene og ødeleggelsene forårsaket av cyberangrep. Bare denne måneden, forskning avdekket at halvparten av britiske firmaer ble tvunget til å stoppe eller forstyrre digitale transformasjonsprosjekter på grunn av statsstøttede trusler. I en ideell verden vil historier som dette filtrere gjennom til seniorlederskap, med innsats fordoblet for å forbedre cybersikkerhetsstillingen. Likevel forteller de siste funnene fra regjeringen en annen historie.

Dessverre har fremgangen stanset på flere fronter, ifølge det siste Undersøkelse om brudd på cybersikkerhet. En av få positive ting å ta med seg fra årsrapporten er en økende bevissthet om ISO 27001.

Større firmaer i trådkorset

Publisert siden 2016, er regjeringens studie basert på en undersøkelse av 2,180 britiske virksomheter. Men det er en verden av forskjell mellom en mikrobedrift med opptil ni ansatte og en mellomstor (50-249 ansatte) eller stor (250+ ansatte) bedrift.

Derfor kan vi ikke lese for mye i overskriftstallet: et årlig fall i andelen virksomheter som totalt sett rapporterte et cyberangrep eller brudd det siste året (fra 50 % til 43 %). Selv regjeringen innrømmer at fallet mest sannsynlig skyldes at færre mikro- og småbedrifter identifiserer phishing-angrep. Det kan rett og slett være at de blir vanskeligere å få øye på, takket være ondsinnet bruk av generativ AI (GenAI).

Faktisk er andelen mellomstore (67 %) og store (74 %) bedrifter som rapporterer sikkerhetshendelser fortsatt høy. Og store (29%) og mellomstore (20%) bedrifter er også mer sannsynlige enn bedrifter totalt sett (16%) for å oppleve et negativt resultat. Dette kan inkludere alt fra tap av tilgang til filer og tredjepartstjenester til korrupte systemer, tregere apper og tyveri av personlige data og midler. I tillegg er det mest sannsynlig at store firmaer rapporterer forretningsavbrudd som:

Krever ekstra tid til ansatte for å håndtere brudd/angrep (32 % mot 17 % totalt)
Setter nye sikkerhetstiltak på plass (26 % mot 18 %)
Avbrudd i ansattes daglige arbeid (19 % mot 9 %)
Forstyrrelse av tjeneste/varelevering (8 % vs 3 %)
Motta kundeklager (6 % mot 2 %)

I tillegg, mens 20 % av bedriftene totalt sett vurderes å ha vært offer for minst én nettkriminalitet i løpet av de siste 12 månedene, stiger tallet til 43 % av mellomstore bedrifter og 52 % av store bedrifter.

Den gode og den dårlige

Den gode nyheten er at de fleste mellomstore og store bedrifter har tatt nøkkelhandlinger i hver av NCSCs beste praksis 10-trinns veiledning for å forbedre cybersikkerhetsstillingen. Og andelen som har iverksatt tiltak på fem eller flere områder har økt det siste året, fra 80 % til 82 % for middels og 91 % til 95 % for større bedrifter. I tillegg har rundt 95–100 % av disse organisasjonene minst tre beste praksis tekniske regler eller kontroller på plass, for eksempel oppdatert skadevarebeskyttelse, nettverksbrannmurer, begrensede IT-admin/tilgangsrettigheter, enhetssikkerhet og VPN-er.

Likevel skjuler dette et kanskje mer bekymringsfullt større bilde. For eksempel:

Opplæringsprogrammer for ansatte var på plass i 54 % av mellomstore og 76 % av store bedrifter – tilsvarende fjorårets statistikk.

Risikovurderinger av tredjepartsleverandører ble utført av bare 32 % av mellomstore og 45 % av store bedrifter – mot 28 % og 48 % i fjor.

Ulykkesplaner var på plass i bare 53 % av mellomstore bedrifter og 75 % av store bedrifter (mot 55 % og 73 %).

Det ser også ut til å være mangel på strategisk retning og ansvarlighet fra toppledelsen. Bare 70 % av store bedrifter (opp fra 66 %) og 57 % av mellomstore bedrifter (ned fra 58 %) har til og med en nettsikkerhetsstrategi. I for mange store selskaper blir cybersikkerhet administrert av IT-direktøren (19 %) eller en IT-sjef, tekniker eller administrator (20 %).

"Bedrifter bør alltid ha en proporsjonal respons på risikoen deres; en uavhengig baker i en liten landsby trenger for eksempel ikke å utføre vanlige pennetester. Imidlertid bør de jobbe for å forstå risikoen deres, og for 30 % av store bedrifter å ikke være proaktive i det minste å lære om risikoen deres er fordømmende," argumenterer medgrunnlegger av Ecliptic Dynamics, Tom Kidwell.

"Det er alltid skritt bedrifter kan ta for å redusere virkningen av brudd og stoppe angrep i sin spede begynnelse. Den første av disse er å forstå risikoen din og iverksette passende tiltak."

Likevel har bare halvparten (51 %) av styrene i mellomstore bedrifter noen som er ansvarlige for cyber, og stiger til 66 % for større firmaer. Disse tallene har vært tilnærmet uendret i tre år. Og bare 39 % av bedriftslederne i mellomstore bedrifter får månedlige oppdateringer om cyber, og stiger til halvparten (55 %) av store bedrifter. Gitt hastigheten og dynamikken i dagens trussellandskap er det tallet for lavt.

Hvor går vi herfra?

En åpenbar måte å forbedre cybersikkerhetsmodenheten på ville være å omfavne overholdelse av beste praksis-standarder som ISO 27001. På denne fronten er det blandede signaler fra rapporten. På den ene siden har det dette å si:

"Det så ut til å være en økende bevissthet rundt akkrediteringer som Cyber Essentials og ISO 27001, og i det hele tatt ble de sett positivt."

Press fra klienter og styremedlemmer og «ro i sinnet for interessenter» sies å drive etterspørselen etter slike tilnærminger, mens respondentene med rette bedømmer ISO 27001 som «mer robust» enn Cyber Essentials.

Bevisstheten om 10 Steps og Cyber Essentials faller imidlertid. Og langt færre store virksomheter søker ekstern veiledning om cybersikkerhet enn i fjor (51 % mot 67 %).

Ed Russell, CISO-forretningsleder for Google Cloud på Qodea, hevder at økonomisk ustabilitet kan være en faktor.

"I tider med usikkerhet er eksterne tjenester ofte de første områdene som møter budsjettkutt - selv om å redusere forbruket på veiledning om nettsikkerhet er et risikabelt grep," sier han til ISMS.online.

Russell argumenterer for at standarder som ISO 27001 i stor grad forbedrer cybermodenhet, reduserer cyberrisiko og forbedrer regeloverholdelse.

"Disse standardene hjelper organisasjoner med å etablere et sterkt sikkerhetsgrunnlag for å håndtere risikoer og implementere passende kontroller for å forbedre beskyttelsen av deres verdifulle informasjonsressurser," legger han til.

"ISO 27001 er utviklet for å støtte kontinuerlige forbedringer, og hjelpe organisasjoner med å forbedre sin generelle cybersikkerhetsstilling og motstandskraft etter hvert som trusler utvikler seg og regelverk endres. Dette beskytter ikke bare den mest kritiske informasjonen, men bygger også tillit hos interessenter – og gir et konkurransefortrinn."

Cato Networks sjefssikkerhetsstrateg, Etay Maor, er enig, men advarer om at overholdelse ikke nødvendigvis er lik sikkerhet.

"Disse strategiske retningslinjene bør være en del av en helhetlig sikkerhetspraksis som inkluderer flere operasjonelle og taktiske rammer, konstant evaluering for å sammenligne det med nåværende trusler og angrep, øvelser for bruddrespons og mer," sier han til ISMS.online. "De er et godt sted å starte, men organisasjoner må gå lenger enn."

Fremskritt innen cybersikkerhet har stoppet opp blant britiske selskaper: Slik fikser du det

Større firmaer i trådkorset

Den gode og den dårlige

Hvor går vi herfra?

Phil Muncaster

Relaterte artikler

Å lukke gapet i motstandskraft: Der regjeringen sier at UK PLC fortsatt mislykkes

Minste motstands vei: Hvorfor dybdeforsvar er den beste responsen på skytrusler

Å møte loven om bruk og tilgang til data med tillit: Hvorfor ISO 27001-, 27701- og 42001-løkken leverer

Mer fra Phil Muncaster

Å lukke gapet i motstandskraft: Der regjeringen sier at UK PLC fortsatt mislykkes

Minste motstands vei: Hvorfor dybdeforsvar er den beste responsen på skytrusler

Cybertrusler i en tid med økte spenninger i Midtøsten: Hva britiske IT-sjefer kan forvente