Podstawy cyberbezpieczeństwa został uruchomiony w Wielkiej Brytanii z wielkim rozgłosem w czerwcu 2014 r., mając na celu pomóc firmom „chronić się przed najczęstszymi cyberzagrożeniami i wykazać zaangażowanie w cyberbezpieczeństwo”. Koncentruje się na pięciu obszarach szerokich „kontroli technicznych”: zapory sieciowe, bezpieczna konfiguracja, kontrola dostępu użytkowników, ochrona przed złośliwym oprogramowaniem i zarządzanie poprawkami.
Od momentu wprowadzenia programu IASME poinformował, iż 132 094 Przyznano certyfikaty Cyber Essentials. Mimo to małe firmy przez cały czas padają ofiarą cyberprzestępczości z alarmującą regularnością. W rzeczywistości 43% cyberataków jest wymierzonych w małe i średnie przedsiębiorstwa, a 60% z nich znika w ciągu sześciu miesięcy od cyberataku. Oznacza to, iż dla branży bezpieczeństwa przez cały czas najważniejsze jest ocenianie sukcesów i porażek Cyber Essentials w kontekście głównego celu programu certyfikacji: ochrony brytyjskich przedsiębiorstw, zwłaszcza małych, przed skutkami cyberprzestępczości.
Cyber Essentials jako podstawa
W najszerszym możliwym ujęciu Cyber Essentials odniosło sukces. Dzieje się tak, ponieważ pomogło wielu organizacjom wdrożyć podstawy cyberbezpieczeństwa.
Pracując w organach ścigania nad ochroną i badaniem cyberprzestępczości, jednym z głównych czynników przyczyniających się do naruszenia bezpieczeństwa organizacji lub innych ataków cyberprzestępczych był brak podstawowych środków kontroli. W rezultacie cyberprzestępcy postrzegali organizacje jako łatwy cel i mogły stać się celem ataków ze strony podmiotów o niższym poziomie wyrafinowania, czyli osób, które po prostu pobrały pakiet phishingu lub systemu wymuszającego okup i próbują szczęścia.
Cyber Essentials i sugerowane przez niego powiązane ramy chronią przed podstawowymi formami cyberataków, których ofiarami regularnie padają MŚP. Chociaż mało prawdopodobne jest, aby ramy sugerowane przez Cyber Essentials chroniły organizację całkowicie przed atakami na bardziej uporczywy, wyrafinowany koniec, to jednak dostarczają one organizacjom amunicji do obrony przed bardziej codziennymi przypadkami cyberprzestępczości, które dla małej firmy mogą być równie niszczycielskie, jak te wyrafinowane.
Świadomość Cyber Essentials
Niestety, Cyber Essentials odniósł nieco mniejszy sukces na froncie świadomości. Ostatnie Badanie naruszeń bezpieczeństwa cybernetycznego 2024 zasugerowano, iż świadomość Cyber Essentials spada; 12% firm i 11% organizacji charytatywnych jest świadomych programu Cyber Essentials, co jest zgodne z rokiem 2023, ale oznacza spadek w ciągu ostatnich dwóch lub trzech lat. Świadomość jest wyższa wśród średnich firm (43%) i dużych firm (59%). Jest to znacznie poniżej tego, czego byśmy chcieli i może odzwierciedlać malejący budżet marketingowy związany z Cyber Essentials.
Jednak badanie zawierało również pewne pozytywne wiadomości. Chociaż tylko 3% firm i organizacji charytatywnych zgłasza, iż bezpośrednio stosuje się do Cyber Essentials, znacznie większy odsetek (22% firm i 14% organizacji charytatywnych) zgłasza, iż ma kontrole techniczne we wszystkich pięciu obszarach objętych Cyber Essentials.
Pole do poprawy: Cyber Essentials i branża cyberbezpieczeństwa
Jak w przypadku każdego schematu lub struktury, takiej jak Cyber Essentials, jest pole do poprawy, zarówno pod względem świadomości, jak i wdrażania. 130 000 brytyjskich MŚP skorzystało z Cyber Essentials, ale przez cały czas stanowi to tylko ułamek 5,51 miliona brytyjskich MŚP. To, iż badanie Cyber Security Breaches Survey sugeruje, iż niektóre z nich mają struktury zbliżone do Cyber Essentials, jest zachęcające, ale przez cały czas pozostawia znaczną lukę między rodzajem wdrażania, jakiego oczekiwałby schemat.
Niestety, odzwierciedla to szerszy problem w branży cyberbezpieczeństwa. MŚP są chronicznie niedostatecznie obsługiwane, a ich obawy z perspektywy bezpieczeństwa nie generują takiego samego rodzaju uwagi, jak obawy przedsiębiorstw. W związku z tym praca edukacyjna wokół Cyber Essentials i bezpieczeństwa MŚP w szerszym ujęciu nie została wykonana na takim samym poziomie, jak w przypadku organizacji korporacyjnych. Oznacza to, iż przez cały czas utrzymuje się postrzeganie bezpieczeństwa jako „zbyt złożonego” dla małych firm.
Ważne jest, aby cała branża zwalczała tę narrację. Podczas gdy marże zysku z zabezpieczania małych firm mogą nie być tak sejsmiczne, a naruszenia i incydenty bezpieczeństwa mogą być mniej interesujące dla prasy, Cyber Essentials może stanowić różnicę między przetrwaniem a porażką dla 99% firm, które tworzą gospodarkę Wielkiej Brytanii.
Adam Pilton jest konsultantem ds. cyberbezpieczeństwa w CyberSmart i były sierżant policji w Dorset badający cyberprzestępczość.
