Połowa brytyjskich firm i nieco mniej niż jedna trzecia organizacji charytatywnych twierdzi, iż w ciągu ostatnich 12 miesięcy doświadczyły jakiejś formy cyberataku lub naruszenia bezpieczeństwa danych, co stanowi 74% dużych przedsiębiorstw i 66% organizacji charytatywnych o wyższych dochodach, zarabiających ponad 500 000 funtów na osobę. rocznie, jak wynika z najnowszego wydania rządowego Ankieta dotycząca naruszeń bezpieczeństwa cybernetycznego.
Na pozór mogłoby się to wydawać znaczącym skokiem w stosunku do przedstawionych statystyk w edycji 2023 rocznego badania, w którym 32% przedsiębiorstw i 24% organizacji charytatywnych wspomina incydenty, niestety zmiana w pytaniu mającym na celu ujęcie liczby incydentów oznacza, iż w rzeczywistości nie jest możliwe dokonanie bezpośredniego porównania.
Badanie przeprowadzone w 2024 r. wykazało również, iż ze znaczną większością przypadków najczęstszym rodzajem incydentu był incydent wyłudzanie informacjiobserwowane w 84% firm i 83% organizacji charytatywnych, następnie próby podszywania się pod inne osoby, które dotykają 35% firm i 37% organizacji charytatywnych, oraz wirusy lub inne złośliwe oprogramowanie, w tym oprogramowanie ransomware, które dotykają 17% firm i 14% organizacji charytatywnych.
Wśród organizacji, które zidentyfikowały ataki lub naruszenia, średni koszt pojedynczego najbardziej zakłócającego incydentu wyniósł 1205 funtów i wzrósł do 10 380 funtów w przypadku średnich i dużych przedsiębiorstw oraz 460 funtów w przypadku organizacji charytatywnych.
Biorąc pod uwagę względny prostotę najpowszechniejszych zagrożeń, raport zawierał liczne dowody na to, iż część komunikatów dotyczących podstawowej higieny bezpieczeństwa cybernetycznego jest realizowana dzięki wdrożeniu różnych kontroli, zasad i narzędzi, takich jak aktualna ochrona przed złośliwym oprogramowaniem, ograniczone prawa administratora, wdrożenie zapór sieciowych i uzgodnione procesy dotyczące wiadomości e-mail typu phishing – to powszechne zjawisko, co stanowi częściowe odwrócenie tendencji spadkowej obserwowanej od początku pandemii Covid-19 w 2020 r. Rząd uważa, iż zmiany te odzwierciedlają zmiany w wśród populacji mikroprzedsiębiorstw i wśród MŚP.
W innych obszarach obraz był jednak mniej różowy. Świadomość i poparcie w zakresie bezpieczeństwa cybernetycznego wśród kierownictwa wyższego szczebla i w zarządach pozostają niezmienne, kilka organizacji robi wiele, aby zająć się bezpieczeństwem łańcucha dostaw, a kilka z nich ustanowiło zasady zgłaszania incydentów lub kiedykolwiek zadało sobie trud zgłaszania incydentów na zewnątrz – np. organom takim jak National Cyber Security Center (NCSC), które może pomagać na wiele sposobów.
Do tego dochodzi odsetek osób stosujących się do wskazówek zewnętrznych, np. urzędników 10 kroków do cyberbezpieczeństwalub osiągnięcie Cybernetyczne podstawy NCSC liczba certyfikatów spada – w rzeczywistości tylko 12% firm i 11% organizacji charytatywnych jest w ogóle świadomych istnienia programu Cyber Essentials.
„Niesamowicie rozczarowujące”
Andy Kays, dyrektor generalny specjalisty ds. zarządzanego wykrywania i reagowania (MDR). Socurastwierdziła, iż „niezwykle rozczarowujące” jest takie lekceważenie bezpieczeństwa cybernetycznego, szczególnie wśród mniejszych przedsiębiorstw.
„Pomimo lat ostrzeżeń ze strony ekspertów, niezliczonych nagłówków dotyczących naruszeń danych i wzmożonych działań regulacyjnych, problem ten przez cały czas nie jest ich przedmiotem” – stwierdził.
„Tylko ułamek brytyjskich firm ma jakikolwiek sformalizowany plan reagowania na incydenty, co uważam za zdumiewające. Firmy zawsze będą miały plan na wypadek pożaru, ale nie zachowają takiej samej ostrożności w przypadku naruszenia bezpieczeństwa danych – co statystycznie jest znacznie bardziej prawdopodobne. To kłóci się ze zdrowym rozsądkiem.”
Tylko ułamek brytyjskich firm ma jakikolwiek sformalizowany plan reagowania na incydenty, co uważam za zdumiewające
Kays ostro skrytykował właścicieli firm, którzy najwyraźniej utknęli w przeszłości, i oskarżył ich o niezastosowanie się do absolutnego minimum poza przeprowadzeniem pobieżnego szkolenia uświadamiającego na temat wiadomości e-mail phishingowych. Ubolewał nad brakiem odpowiedniego prowadzenia dokumentacji oraz niechęcią do informowania policji i organów regulacyjnych lub oceny skali i skutków naruszeń.
Kays zwróciła również uwagę, iż badanie może dać nieco niedokładny obraz kosztów finansowych incydentu cybernetycznego i stwarzać ryzyko wywołania samozadowolenia wśród organizacji.
„Szacowany koszt finansowy naruszenia bezpieczeństwa danych przedstawiony w tym badaniu jest znacznie, znacznie niższy niż w przypadku innych źródeł. Myślę, iż powinniśmy ostrożnie podchodzić do kwoty 1205 funtów podanej przez rząd” – powiedział.
„To badanie skupia się na mniejszych firmach niż wiele innych badań, więc liczby będą mniejsze. [But] wiemy, iż duże przedsiębiorstwa mogą stracić miliony w przypadku naruszenia bezpieczeństwa danych ze względu na zakłócenia, wpływ na reputację i spadek cen akcji. Biuro Komisarza ds. Informacji może również nałożyć poważne kary na firmy, które naruszają RODO.”
Panaseera ewangelistka ds. bezpieczeństwa Marie Wilcox również potępiła ciągłe niepowodzenia brytyjskich organizacji we wdrażaniu niezbędnych kontroli bezpieczeństwa. „W najlepszym przypadku organizacje przez cały czas znajdują się poniżej standardów z 2021 r. choćby duże firmy, które rozumieją ryzyko, często nie wdrażają prawidłowo mechanizmów kontroli – co najmniej 29% nie posiada mechanizmów kontroli umożliwiających zarządzanie poprawkami lub ograniczanie dostępu do urządzeń będących własnością organizacji.
„Ponieważ napastnicy mają tendencję do zbierania najniżej wiszących owoców, 98% przypadków naruszenia można zapobiec, skupiając się na podstawach bezpieczeństwa i lepiej cyber higiena. Przesunięcie się w stronę środka stawki dzięki odpowiednim kontrolom i zasadom pomoże zażegnać zdecydowaną większość ataków”.
Jednakże Wilcox kontynuował: posiadanie odpowiednich zasad i kontroli to dopiero połowa sukcesu – gwałtownie przemieszczające się piaski krajobrazu sprawiają, iż bezpieczeństwo jest ruchomym celem, a organizacje również muszą zrobić więcej, aby uzyskać ciągłą widoczność tego, co robią, gdzie rzeczy przebiegają dobrze i uzupełniają luki. Zbyt wiele osób opiera się na niekompletnych, odizolowanych i często sprzecznych danych, a choćby najlepsze narzędzia bezpieczeństwa mogą być niewiarygodnymi świadkami, co prowadzi do sprzecznych raportów, przeoczenia luk w zabezpieczeniach, przeciążenia zespołów ds. bezpieczeństwa i większych możliwości ataku dla cyberprzestępców.
„Pokonanie tych problemów to wyzwanie związane z dużymi zbiorami danych. CISO potrzebują sprawdzonego systemu dokumentacji, któremu mogą zaufać i który zapewni pełny wgląd w luki w zakresie pokrycia i ich prawdziwy status kontroli” – powiedział Wilcox.
Odzyskaj kontrolę
„Badanie pokazuje również, dlaczego tak ważne jest, aby CISO przejęli i wykazywali kontrolę” – stwierdził Wilcox. „CISO w coraz większym stopniu staje się kluczowym filarem strategii zarządzania ryzykiem organizacji. Więcej firm niż kiedykolwiek wcześniej musi uwzględniać ryzyko cybernetyczne w swoich rocznych raportach, a uwaga ta będzie się zwiększać wraz z dodatkową kontrolą regulacyjną. Prawie połowa (46%) dużych firm przez cały czas nie posiada ubezpieczenia cybernetycznego.
„Aby dostosować się do nowej roli, CISO muszą zrozumieć ryzyko, na jakie narażają się, i przekazać je wszystkim potencjalnym interesariuszom w języku biznesowym. Wykazanie, iż środki bezpieczeństwa są stosowane i stale monitorowane, w dużym stopniu uspokoi zarząd, inwestorów, ubezpieczycieli i organy regulacyjne”.
