לקבלת תמונת מצב שנתית שימושית על מצב האבטחה של עסקים בבריטניה, אל תחפש רחוק מזה של הממשלה סקר פרצות אבטחת סייבר. הוא מספק תובנה מפורטת יחסית לגבי מה עובד, ובדרך כלל, מה לא. בסך הכל, שלושה רבעים מהעסקים (עלייה ל-93% מהעסקים הבינוניים ו-98% מהעסקים הגדולים) אומרים שהדירקטוריון שלהם מתייחס לאבטחת סייבר כ"עדיפות גבוהה". אבל להגיד זה לא לעשות.
יש מקום ברור לשיפור בתחומים רבים, כולל תגובה לאירועים, אבטחת שרשרת אספקה, אחריות מועצת המנהלים וניהול סיכונים. אולי הכי מדאיג הוא חוסר המודעות למסגרות ויוזמות ביטחוניות בראשות הממשלה. לצד תקני שיטות עבודה מומלצות כמו ISO 27001, אלה יכולים לסייע רבות לשיפור חוסן הסייבר של PLC בבריטניה.
מקום לשיפור
נתון הכותרת הוא שמחצית (50%) מהעסקים המגיבים מדווחים כי חוו צורה כלשהי של פרצת אבטחה או התקפה ב-12 החודשים האחרונים - עלייה ל-70% מהעסקים הבינוניים (ו-74% מהעסקים הגדולים). זה עלייה ניכרת מהנתונים בהתאמה של 32%, 59% ו-69% בשנה שעברה, אבל זה לא בהכרח אומר יותר הפרות - יכול להיות שמתגלות יותר. למעשה, הדוח מתחיל עם כמה חדשות טובות.
לפי המחקר, שנערך מסקר של 2,000 עסקים בבריטניה וראיונות המשך עם 44, היגיינת הסייבר משתפרת. הדו"ח מדגיש עלייה שנתית במספר העסקים העוסקים ב:
- הגנת תוכנות זדוניות עדכניות (מ-76% ב-2023 ל-83% ב-2024)
- הגבלת זכויות מנהל (67% עד 73%)
- חומות אש ברשת (66% עד 75%)
- תהליכים מוסכמים עבור הודעות דיוג (48% עד 54%)
על פי הדו"ח, מדובר בהיפוך של דפוס שנראה בשלוש השנים הקודמות של הסקר, שבו חלק מהאזורים ראו ירידות עקביות. עם זאת, עדיין יש חששות לגבי הדברים הבאים:
ניהול סיכונים: פחות משליש (31%) מהעסקים ניהלו הערכות סיכוני סייבר בשנה האחרונה (עלייה ל-63% מהחברות הבינוניות ו-72% מהחברות הגדולות). בנוסף, רק שליש (33%) פרסו ניטור אבטחה (63%, 71%).
סיכון ספק: רק 11% מהעסקים בוחנים סיכונים בשרשרת האספקה - עלייה ל-28% בלבד מהעסקים הבינוניים ולפחות ממחצית (48%) מהעסקים הגדולים.
מעורבות מועצת המנהלים: רק ל-30% מהמשיבים יש חברי דירקטוריון האחראים ישירות על הסייבר כחלק מתפקידם, עלייה למחצית (51%) מהחברות בגודל בינוני ו-63% מהחברות הגדולות. זה ללא שינוי מאז שנה שעברה.
אסטרטגיה: רק ל-58% מהחברות בגודל בינוני ול-66% מהעסקים הגדולים יש אפילו אסטרטגיית אבטחת סייבר רשמית.
תגובת אירוע: רק לחמישית (22%) יש תוכניות תגובה לאירועים, עלייה של 55% ו-73% מהחברות הבינוניות והגדולות.
עזרה חיצונית: רק 41% מהמשיבים אומרים שהם מחפשים מידע או הדרכה על אבטחת סייבר מחוץ לארגון, פחות מהנתון של 2023 (49%). רק 13% מודעים למרכז הלאומי לאבטחת סייבר 10 שלבים הדרכה (37%, 44%) ורק 12% אמרו את אותו הדבר לגבי יסודות סייבר (43%, 59%).
מה חושבים המומחים
מארי וילקוקס, אוונגליסטית אבטחה ב- Panaseer, טוענת שאפילו שיפורים בהיגיינת סייבר לא יכולים להסוות את מצב האבטחה הגרוע של עסקים רבים בבריטניה.
"ארגונים עדיין לא מצליחים להציב בקרות אבטחה חיוניות. במקרה הטוב, ארגונים עדיין מתחת לסטנדרטים של 2021. אפילו עסקים גדולים שמבינים את הסיכונים לרוב לא מצליחים ליישם בקרות כראוי - ל-29% לפחות אין בקרות לניהול תיקונים או הגבלת גישה למכשירים בבעלות הארגון", היא טוענת.
"כאשר תוקפים נוטים לקטוף את הפירות הנמוכים ביותר, ניתן למנוע 98% מהפרצות על ידי התמקדות ביסודות האבטחה והיגיינת סייבר טובה יותר. מעבר לאמצע החבילה על ידי קביעת הבקרות והמדיניות הנכונים יעזור להדוף את הרוב המכריע של ההתקפות."
אסטרטג האבטחה הראשי של Cylera, ריצ'רד סטיינינגס, מבחין בניהול סיכונים של צד שלישי ככשל קריטי עבור חברות רבות בבריטניה. הוא טוען שספקים לעולם לא צריכים לזכות בחוזים למגזרי תשתית קריטיים כמו שירותי בריאות פשוט על סמך ההצעה הנמוכה ביותר.
"הבעיה היא שמעט עסקים אוכפים את [שיטות העבודה המומלצות לאבטחה] במסגרת החוזים שלהם עם צדדים שלישיים, מה שהופך את זה לתנאי מוקדם להבטיח שיש להם מדיניות ונהלים העומדים בסטנדרטים שלנו, שיש להם אבטחת איכות, הכשרת צוות ובקרות גישה להקים, ושהם מספקים אישור ISO/IEC 27001 - התקן הידוע בעולם למערכות ניהול אבטחת מידע (ISMS)", הוא מוסיף.
מנכ"ל Socura, אנדי קייס, נחרד במיוחד מהחלק הקטן יחסית של עסקים שקבעו תוכניות תגובה רשמיות לאירועים - עובדה שהוא מתאר כ"מדהימה".
"לעסקים תמיד תהיה תוכנית למקרה של שריפה, אבל לא יישמו את אותה זהירות הראויה לפריצת מידע - מה שסטטיסטית הרבה יותר סביר. זה עף מול השכל הישר", הוא ממשיך.
"במקרה של הפרה, עסקים לא מנהלים רישומים, לא מודיעים למשטרה או לרגולטורים, לא מעריכים את היקף האירוע והשפעתו. הם לא מצליחים לעשות את המינימום. חשוב גם לציין שעסקים עושים מעט מאוד כדי למנוע או לזהות הפרות מלכתחילה”.
בניית עתיד עמיד יותר
אחד הממצאים המאכזבים ביותר של הדו"ח הוא חוסר המודעות סביב יוזמות אבטחה ממשלתיות כמו 10 השלבים ו- Cyber Essentials, שנועדו לשפר את האבטחה הבסיסית לעסקים רגילים. הדבר נכון גם לגבי תקני אבטחה מומלצים בעלי שם עולמי כמו ISO 27001, למרות שחלק מהמשיבים רואים זאת במונחים חיוביים. מאט תומאס, ראש שווקים בבריטניה בקבוצת NCC, טוען שהיא צריכה להיות ברשימת המטלות של ארגונים גדולים יותר.
"בעוד שהסמכת ISO 27001 סוללת בעיקר את הדרך לעסקים להגביר את חוסן הסייבר שלהם, היתרונות מגיעים הרבה יותר רחוק. מנקודת מבט של אמינות, זה יכול לסייע בהגנה על מוניטין. וכמסגרת מוכרת עולמית, היא יכולה לסייע בביקורות והתאמת אסטרטגיות, תוך הבטחת עסקים לציית לחקיקה ולהימנע מקנסות יקרים", הוא אומר ל-ISMS.online.
"אם ISO 27001 יאומץ בצורה רחבה יותר, אנו יכולים להסתכל על תמונה שונה מאוד כאשר ישוחררו סקרי פרצות סייבר עתידיים. עסקים הנוקטים בגישה פרואקטיבית להגיינת הסייבר שלהם, ללא ספק נוטים פחות ליפול קורבן למתקפת סייבר".
קית פנר, מנכ"ל EMEA ו-Diligent, מסכם שחקיקה של האיחוד האירופי כמו 2 ₪ ו-DORA תאלץ ארגונים רבים לשפר את ניהול הסיכונים והדיווח שלהם.
"כדי להתכונן, ארגונים זקוקים לתוכנית עמידה בתאימות IT, שנתמכת יותר ויותר על ידי AI ואוטומציה כדי לאפשר להם למפות בקרות לרגולציות מרובות ולנטר בקרות באופן רציף כדי להפחית את הסבירות לפרצות נתונים", הוא אומר ל-ISMS.online.
"תוכנית זו צריכה להיות חלק מפלטפורמת GRC משולבת כדי להקל על ביקורת פנימית וחיצונית כאחד, לאפשר לבעלי עניין מרובים מהארגון לצפות ולשתף פעולה, ולאפשר דיווח יעיל לדירקטוריון, כך שסיכון הסייבר ישתלב באסטרטגיה הכוללת של הארגון . לבסוף, הדירקטוריון וההנהלה צריכים למנף את תוכניות ההכשרה וההסמכות - כמו גם לנצל את ה-CISO שלהם - כדי לבנות את אוריינות הסייבר שלהם כך שיוכלו לשלוט ביעילות בסיכוני סייבר בארגון".
