התקדמות אבטחת הסייבר נעצרה בקרב חברות בבריטניה. הנה איך לתקן את זה באנר

התקדמות אבטחת הסייבר נעצרה בקרב חברות בבריטניה: הנה איך לתקן את זה

מדי יום אנו קוראים על הנזק וההרס שנגרמו מהתקפות סייבר. רק החודש, מחקר חשף שמחצית מהחברות בבריטניה נאלצו לעצור או לשבש פרויקטים של טרנספורמציה דיגיטלית עקב איומים בחסות המדינה. בעולם אידיאלי, סיפורים כמו זה יסוננו למנהיגות בכירה, עם מאמצים מוכפלים לשיפור עמדת אבטחת הסייבר. אולם הממצאים האחרונים מהממשלה מספרים סיפור אחר.

למרבה הצער, ההתקדמות נעצרה בכמה חזיתות, לפי הדיווח האחרון סקר פרצות אבטחת סייבר. אחד היתרונות הבודדים שיש לקחת מהדוח השנתי הוא המודעות הגוברת ל-ISO 27001.

חברות גדולות יותר על הכוונת

המחקר של הממשלה, שפורסם מאז 2016, מבוסס על סקר של 2,180 עסקים בבריטניה. אבל יש עולם של הבדל בין מיקרו-עסק עם עד תשעה עובדים לבין מפעל בינוני (50-249 עובדים) או גדול (250 עובדים ומעלה).

לכן אנחנו לא יכולים לקרוא יותר מדי בנתון הכותרת: ירידה שנתית בחלקם של העסקים הכוללים שדיווחו על מתקפת סייבר או פריצה בשנה האחרונה (מ-50% ל-43%). אפילו הממשלה מודה כי הנפילה נובעת ככל הנראה מפחות עסקים קטנים ומיקרוניים שמזהים התקפות פישינג. יכול להיות שפשוט נהיה קשה יותר לזהות אותם, הודות לשימוש הזדוני ב-AI גנרטיבי (GenAI).

למעשה, חלקם של עסקים בינוניים (67%) וגדולים (74%) המדווחים על אירועי אבטחה נותר גבוה. ועסקים גדולים (29%) ובינוניים (20%) גם הם בעלי סיכוי גבוה יותר מאשר עסקים בסך הכל (16%) לחוות תוצאה שלילית. זה יכול לכלול כל דבר, החל מאובדן גישה לקבצים ולשירותי צד שלישי ועד למערכות פגומות, אפליקציות איטיות יותר וגניבה של נתונים אישיים וכספים. בנוסף, סביר להניח שחברות גדולות ידווחו על הפרעות עסקיות כגון:

  • דרוש זמן נוסף לצוות כדי להתמודד עם הפרות/התקפות (32% לעומת 17% בסך הכל)
  • הצבת אמצעי אבטחה חדשים (26% לעומת 18%)
  • הפרעה בעבודה השוטפת של העובדים (19% לעומת 9%)
  • הפרעה בשירות/משלוח סחורה (8% לעומת 3%)
  • קבלת תלונות של לקוחות (6% לעומת 2%)

בנוסף, בעוד ש-20% מהעסקים בסך הכל מוערכים כקורבן של לפחות פשיעה סייבר אחת ב-12 החודשים האחרונים, הנתון עולה ל-43% מהעסקים הבינוניים ו-52% מהעסקים הגדולים.

הטוב והרע

החדשות הטובות הן שרוב העסקים הבינוניים והגדולים נקטו בפעולות מפתח בכל אחת מהשיטות הטובות ביותר של ה-NCSC 10-Step מדריך לשיפור עמדת אבטחת סייבר. והאחוז שביצעו פעולה בחמישה תחומים או יותר עלה במהלך השנה האחרונה, מ-80% ל-82% עבור בינוני ו-91% ל-95% עבור חברות גדולות יותר. בנוסף, בסביבות 95-100% מהארגונים הללו יש לפחות שלושה כללים טכניים או בקרות מומלצות, כגון הגנה מעודכנת על תוכנות זדוניות, חומות אש ברשת, זכויות ניהול/גישה מוגבלות ל-IT, אבטחת מכשירים ו-VPNs.

עם זאת, זה מסתיר תמונה רחבה יותר נוגעת לוודאי. לְדוּגמָה:

תוכניות הכשרה לצוות היו ב-54% מהעסקים הבינוניים ו-76% מהעסקים הגדולים - בדומה לסטטיסטיקה של השנה שעברה.

סקירות סיכונים של ספקי צד שלישי נערכו רק על ידי 32% מהחברות הבינוניות ו-45% מהחברות הגדולות - לעומת 28% ו-48% בשנה שעברה.

תוכניות תגובה לאירועים היו רק 53% מהעסקים הבינוניים ו-75% מהעסקים הגדולים (לעומת 55% ו-73%).

נראה שגם חוסר כיוון אסטרטגי ואחריות מצד ההנהגה הבכירה. רק ל-70% מהעסקים הגדולים (עלייה מ-66%) ול-57% מהחברות הבינוניות (ירידה מ-58%) יש אפילו אסטרטגיית אבטחת סייבר. בחברות גדולות מדי, אבטחת הסייבר מנוהלת על ידי מנהל ה-IT (19%) או מנהל IT, טכנאי או מנהל (20%).

"עסקים צריכים תמיד לתת מענה פרופורציונלי לסיכון שלהם; אופה עצמאי בכפר קטן כנראה לא צריך לבצע בדיקות עט רגילות, למשל. עם זאת, הם צריכים לעבוד כדי להבין את הסיכון שלהם, ועבור 30% מהחברות הגדולות לא להיות פרואקטיביים לפחות ללמוד על הסיכון שלהם זה מזעזע", טוען טום קידוול, מייסד שותף של Ecliptic Dynamics.

"יש תמיד צעדים שעסקים יכולים לנקוט כדי להפחית את ההשפעה של הפרות ולעצור התקפות בתחילת דרכם. הראשון שבהם הוא הבנת הסיכון שלך ונקיטת פעולה מתאימה."

עם זאת, רק למחצית (51%) מהדירקטוריונים בחברות בינוניות יש מישהו שאחראי לסייבר, עלייה ל-66% בחברות גדולות יותר. נתונים אלה נותרו כמעט ללא שינוי במשך שלוש שנים. ורק 39% מהמנהיגים העסקיים בחברות בינוניות מקבלים עדכונים חודשיים על סייבר, עלייה למחצית (55%) מהחברות הגדולות. לאור המהירות והדינמיות של נוף האיומים של היום, הנתון הזה נמוך מדי.

לאן אנחנו הולכים מכאן?

דרך ברורה לשפר את הבגרות של אבטחת סייבר תהיה לאמץ עמידה בתקני שיטות עבודה מומלצות כמו ISO 27001. בחזית זו, ישנם אותות מעורבים מהדוח. מצד אחד יש לזה מה לומר:

"נראה היה שהמודעות הגוברת להסמכות כגון Cyber ​​Essentials ו-ISO 27001 ובסך הכל, הם ראו בחיוב."

אומרים שלחץ של לקוחות וחברי דירקטוריון ו"שקט נפשי לבעלי עניין" מניעים את הביקוש לגישות כאלה, בעוד שהמשיבים שופטים בצדק את ISO 27001 כ"חזק יותר" מ- Cyber ​​Essentials.

עם זאת, המודעות ל-10 שלבים וליסודות הסייבר יורדת. והרבה פחות עסקים גדולים מחפשים הדרכה חיצונית בנושא אבטחת סייבר מאשר בשנה שעברה (51% לעומת 67%).

אד ראסל, מנהל עסקי CISO של Google Cloud ב קודה, טוען כי חוסר יציבות כלכלית עשוי להיות גורם.

"בתקופות של אי ודאות, שירותים חיצוניים הם לרוב התחומים הראשונים להתמודד עם קיצוצים בתקציב - למרות שהפחתת ההוצאה על הנחיית אבטחת סייבר היא מהלך מסוכן", הוא אומר ל-ISMS.online.

ראסל טוען שתקנים כמו ISO 27001 משפרים מאוד את בשלות הסייבר, מפחיתים את סיכוני הסייבר ומשפרים את הציות לרגולציה.

"תקנים אלה עוזרים לארגונים להקים יסודות אבטחה חזקים לניהול סיכונים ולפרוס בקרות מתאימות כדי לשפר את ההגנה על נכסי המידע היקרים שלהם", הוא מוסיף.

"ISO 27001 נועד לתמוך בשיפור מתמיד, לעזור לארגונים לשפר את עמדת אבטחת הסייבר הכללית ואת חוסנם ככל שהאיומים מתפתחים והתקנות משתנות. זה לא רק מגן על המידע הקריטי ביותר אלא גם בונה אמון עם מחזיקי עניין - ומציע יתרון תחרותי."

אסטרטג האבטחה הראשי של Cato Networks, איתי מאור, מסכים אך מזהיר שציות לא בהכרח שווה אבטחה.

"הנחיות אסטרטגיות אלו צריכות להיות חלק מפרקטיקה אבטחה הוליסטית הכוללת יותר מסגרות מבצעיות וטקטיות, הערכה מתמדת כדי להשוות אותה לאיומים והתקפות נוכחיות, תרגילי תגובה לפריצה ועוד", הוא אומר ל-ISMS.online. "הם מקום טוב להתחיל בו, אבל ארגונים חייבים ללכת מעבר."

מְחַבֵּר

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.

צפה בכל הפוסטים של פיל מונקאסטר

פוסטים קשורים

SOC 2 כבר כאן! חזקו את האבטחה שלכם ובנו את אמון הלקוחות עם פתרון התאימות החזק שלנו היום!