סגירת פער החוסן: היכן הממשלה טוענת שחברת ה-UK PLC עדיין נכשלת

לקוחות, דירקטוריונים ורגולטורים כולם מסכימים. אם בלתי אפשרי למנוע פרצות אבטחת סייבר ב-100% מהמקרים, יש להתמקד בשיפור החוסן כדי שארגונים יהיו מצוידים טוב יותר לעמוד בפניהן ולהתאושש מהן. אבל מדידת ההתקדמות בתחום זה אינה משימה קלה. הממשלה... סקר פרצות אבטחת סייבר די מפורט. אבל חשוב לציין שהוא לא עורך סקר בדיוק בקרב אותם ארגונים בכל שנה כדי לבדוק כיצד מצבם מתפתח.

זה המקום שבו הממשלה סקר אורך בתחום אבטחת הסייבר מגיע. כעת, בשנה החמישית שלו (או "גל"), הוא שואף להראות כיצד ארגונים משתנים לאורך זמן. הממצאים מאירים עיניים. בעוד שבהחלט יש כמה נקודות חיוביות לקחת מגל חמישי, הדו"ח מדגיש נטייה לאבטחה תגובתית שעומדת בניגוד לגישות המומלצות.

מה הולך נכון (ומה לא נכון)?

הדו"ח מגלה שרוב הארגונים המשיכו לחוות צורה כלשהי של "תקרית סייבר" בשנה שעברה: 82% לעומת 79% בשנה שקדמה לה. אבל מצד שני, הם עושים משהו בנידון. למעשה:

• שיעור הארגונים המדווחים על "היענות" לדרישות הסייבר הבסיסיות עלה מ-23% ל-30% בין הגל הרביעי לחמישי.
• שיעור העסקים עם פוליסות ביטוח סייבר עלה מ-29% ל-35%.
• שיעור העסקים שטענו שאינם יודעים על ביטוח ירד מ-20% ל-13%.
• עסקים נטו יותר לדווח על השקעה במודיעין איומים (44% לעומת 36%).
• המשיבים נטו יותר לבצע ביקורת פגיעויות סייבר (60% לעומת 56%).
• למעלה משליש מהארגונים (37%) דיווחו על עלייה בתקציבי אבטחת הסייבר

עם זאת, ישנן גם סיבות לדאגה. למרות שבשנה האחרונה חלה עלייה בהיענות לסטנדרטים ומסגרות של שיטות עבודה מומלצות, חלק גדול (37%) מהעסקים אינם עומדים בתקן ISO 27001, Cyber ​​Essentials או Cyber ​​Essentials Plus.

ניהול סיכונים בשרשרת האספקה ​​המשיך גם הוא להוות נקודה עיוורת עבור רבים. רק 28% מהעסקים אומרים שביצעו הערכה רשמית של ספקים ב-12 החודשים האחרונים. "מבחינה איכותית, ארגונים בדרך כלל לא גילו מודעות לאירועי אבטחת סייבר בשרשראות האספקה ​​שלהם, מתוך הכרה בכך שהם עשויים להתרחש ללא ידיעתם", מציין הדו"ח.

כמו כן, הוא מגלה כי למרות ש-90% מהעסקים טוענים כי הם משלבים סיכוני סייבר בסיכונים עסקיים רחבים יותר, "זה לא תמיד מתורגם לתקציבים יעילים או להכשרה ברמת הדירקטוריון".

הבעיה עם אבטחה ריאקטיבית

הבעיה הגדולה ביותר המודגשת בדו"ח אינה בהכרח שהחברות הבריטיות אינן עושות מאמצים לשיפור החוסן, משום שבמקרים רבים הן אכן עושות זאת. זוהי הדרך בה ההשקעות הללו מתבצעות. מחברי הדו"ח עוקבים אחר הארגונים המגיבים על פני שני מחזורי ראיונות שונים ("נקודת זמן 1" ו"נקודת זמן 2") - בדרך כלל לאורך שנה - על מנת למדוד שינוי לאורך זמן.

הם מצאו כי למעלה משליש (34%) מהארגונים שחוו אירוע עם השפעה ו/או תוצאה בנקודת זמן 1 חוו לאחר מכן אירוע ללא השפעה ו/או תוצאה בנקודת זמן 2. דבר זה מצביע על כך שהארגון שיפר את החוסן שלו באופן תגובתי, או שהאירוע השני לא היה פולשני באותה מידה.

ויש עוד. ארגונים שלא חוו אירוע בנקודת זמן 1 לא נראה כי ביצעו שינויים פרואקטיביים לשיפור מצב האבטחה, דבר שיכול לרמוז שהם חיכו שמשהו יביא לשינוי חיובי. מצד שני, אם ארגון אכן חווה אירוע, הוא היה נוטה יותר ליישם שינויים חיוביים בשמונה משתנים, כולל תגובה לאירועים, ניהול סיכונים בשרשרת האספקה ​​ומעורבות בחדרי הישיבות.

"חוסר הוודאות של אירועי סייבר כזרז לשינוי מדאיג", מזהירים מחברי הדו"ח.

דוגמאות נוספות למצב אבטחה ריאקטיבי כוללות את הממצאים הבאים:

• ארגונים נוטים יותר לקבל הסמכת ISO 27001/Cyber ​​Essentials בנקודת זמן 2 אם חוו אירוע בעל השפעה ו/או תוצאה בנקודת זמן 1.
• סיכוני מוניטין "צוינו לעתים קרובות" על ידי המשיבים כגורם מניע לשינוי, במיוחד עבור צוותי אבטחת סייבר והנהלה בכירה.
• "השפעות חיצוניות" היו גורם מפתח ביצירת מומנטום לשינוי, כגון מתקפות הכופר על קמעונאים ברחוב הראשי בשנה שעברה. "המשתתפים הזכירו כי אירועים ציבוריים אלה גרמו להם לבצע בדיקות נוספות או שאפשרו להם מימון בגלל המציאות של ההשפעה הפוטנציאלית על הארגון שלהם", נכתב בדו"ח.

מחסומים להצלחה

"אבטחה ריאקטיבית תמיד תשאיר ארגונים צעד אחד מאחור. עד שמופעלת התראה, התוקף כבר הצליח בצורה כלשהי", אומר סגן נשיא SecureEnvoy, מייקל דאונס, ל-IO (לשעבר ISMS.online). "בניית חוסן באופן יזום, במיוחד בשכבת הזהות, כבר אינה אופציונלית; זוהי הדרך היחידה להפחית את הסיכון לפני שהוא מתממש."

עם זאת, אם אבטחה פרואקטיבית הייתה כל כך קלה, כולם היו עושים את זה. אנדי וורד, סגן נשיא בכיר בינלאומי ב-Absolute Security, מצביע על מספר חסמים מרכזיים.

"אתגר אחד הוא השגת תמיכה מצד הדירקטוריון וההנהגה הקיברנטית כדי להעלות את החוסן לרמות הממשל הבכירות, עם אסטרטגיות ברורות לשיקום מבצעי מלא לאחר שיבוש. ללא מעורבות זו, צעדים פרואקטיביים עלולים להתעכב או להחיל אותם בצורה לא עקבית", הוא אומר ל-IO.

"מחסום מרכזי נוסף הוא הגידול המהיר במספר המכשירים ויישומי התוכנה, מה שהופך את מערכות ה-IT למורכבות יותר וקשות יותר לניהול. התפשטות זו מקשה על עדכון המערכות וליישם אמצעי חוסן סייבר פרואקטיביים בכל נקודות הקצה."

וורד מצביע גם על מימון וגישה לכישרונות כגורמים המעכבים עסקים במאמצים אלה - במיוחד חברות קטנות יותר. "עסקים קטנים רבים גם מאמינים בטעות שהם קטנים מדי כדי למשוך פושעי סייבר, או שאחסון נתונים בענן מגן עליהם אוטומטית", הוא מוסיף.

המסע לאבטחה פרואקטיבית

אך עם הגישה הנכונה, המחסומים הללו לא אמורים להיות בלתי עבירים, טוען מנכ"ל MetaCompliance, ג'יימס מקיי.

""להיות פרואקטיבי יותר מתחיל בשינוי מבנה המטרה של מודעות לאבטחה, ממתן הדרכה לניהול סיכונים אנושיים", הוא אומר ל-IO. "עם הזמן, גישה זו בונה תרבות אבטחה מבוססת התנהגות. עובדים נתקלים באבטחה לא כתרגיל מזדמן בכיתה, אלא כחלק מעבודתם היומיומית."

תקני שיטות עבודה מומלצים כמו ISO 27001 יכולים להיות "גורמים מאפשרים רבי עוצמה" לעיצוב מחדש של נושא זה, כל עוד הם אינם נתפסים כרשימת בדיקה, מוסיף מקיי.

"ISO 27001 מצפה ממך להבין את סיכוני אבטחת המידע שלך, ליישם בקרות מתאימות ולוודא שאנשים מוכשרים ומודעים לאחריותם בתחום האבטחה", הוא ממשיך. "הם מניחים את היסודות לאופן שבו יש לנהל את האבטחה ברחבי הארגון."

אם יותר ארגונים יאמצו גישה מובנית כזו, הסקר האורכי בשנה הבאה עשוי להיות קריאה מרגיעה יותר.

הרחב את הידע שלך

בלוג: גורם החוסן: פירוק מתקפת הכופרה של BridgePay

בלוג: עמידה בחוק השימוש והגישה לנתונים בביטחון: מדוע לולאת ISO 27001, 27701 ו-42001 מספקת את התוצאות

הורדה: דוח מצב אבטחת המידע לשנת 2025