האם חוסן הסייבר של בריטניה התייצב?

האם רמת חוסן הסייבר של בריטניה עלתה?

מאת דן רייווד • 14 מאי 2024

כל העסקים צריכים לשאוף להיות עמידים יותר בסייבר. זה אומר שהם מסוגלים יותר להתגונן מפני התקפה ולשרוד ולהתאושש כאשר מתרחש תקרית. עם זאת, מדידת חוסן סייבר יכולה להיות אתגר. שם נמצאת הממשלה סקר אורך אבטחת סייבר מגיע אליו

משוחרר מוקדם יותר השנה, הוא מגלה שארגונים בקושי שיפרו את חוסן הסייבר שלהם בהשוואה לסקרים שנערכו בשנים קודמות. חוסר עניין ב-Cyber Essentials וב-ISO 27001 מדאיג במיוחד.

החוסן נשאר יציב

המפתח בסקר זה הוא שהוא עוקב אחר אותם 1000 עסקים עבור כל "גל" שנתי שהוא עורך כדי לאמוד את ההתקדמות לאורך זמן בקרב חברות בריטיות בינוניות וגדולות. הגל האחרון הזה (שלושה) מגלה כי חוסן הסייבר נותר יציב ברובו למרות שינוי סביר בתקציבים ובסדרי העדיפויות בעקבות המגיפה.

בצד המדיניות, חלה עלייה קלה במספר העסקים שהרכיבו תוכנית המשכיות עסקית המכסה אבטחת סייבר (76% לעומת 69% לפני שנתיים), רשימה כתובה של נקודות התורפה של החברה שלהם (61% לעומת 54 %), תהליך תגובה בכתב לאירועים (59% לעומת 51%) ופוליסת ביטוח סייבר (79% לעומת 66%).

למרות השיפורים השוליים הללו, בריאן הונאן, מנכ"ל BH Consulting, טוען שלא ניתן לקחת את הנתונים הסטטיסטיים כאינדיקטורים לחוסן של חברה בתחום אבטחת הסייבר.

"רבים מהפריטים האלה מצוינים כעת כדרישות מינימום לחברות שרוצות לקחת את ביטוח הסייבר שלנו", הוא אומר ל-ISMS.online.

הוא מוסיף שעסקים רבים עדיין לא רואים באבטחת סייבר סיכון עסקי קריטי אלא בעיית IT.

"ככל שעסקים יבינו מוקדם יותר עד כמה הם מסתמכים על מערכות ה-IT שלהם, האינטרנט והנתונים שיש להם, כך הם יבינו מוקדם יותר שיש להתייחס ולנהל את אבטחת הסייבר כסיכון עסקי קריטי", הוא טוען.

סיימון ניומן, מנכ"ל מרכז חוסן הסייבר, אומר ל-ISMS.online שהוא עדיין רואה עסקים רבים נאבקים אפילו עם היגיינת סייבר בסיסית.

"אחת הסיבות העיקריות היא חוסר מיומנות או ידע נתפס, אבל אנחנו גם יודעים שיש אתגר אמיתי לגרום להם להבין את האיום מלכתחילה", הוא טוען.

במיוחד, הוא ראה עסקים חושבים שעדיף לחכות כמה שבועות לפני עדכון התוכנה שלהם, מכיוון שהם "שומעים סיפורים" על עדכונים חדשים שגורמים לבעיות.

הונאן מוסיף כי כדי לחזק את עמדת הסייבר, ארגונים צריכים לבסס את אסטרטגיית אבטחת הסייבר שלהם על תוכנית סיכוני סייבר מקיפה עם רמה בוגרת של תהליכים ונהלים, ורכישה והובלה מקיפה מההנהלה הבכירה.

האם הבוסים מודעים?

הסקר האורך מגלה של-55% מהעסקים יש כעת חבר בדירקטוריון שתפקידיו כוללים פיקוח על סיכוני אבטחת סייבר. כמו כן, חלה עלייה בשיעור העסקים המדווחים שהדירקטוריון שלהם דן באבטחת סייבר - 43% השנה, לעומת 37% ב-Wave One.

הונאן אומר כי מועצות המנהלים וההנהלה הבכירה צריכים להבין שכמות הולכת וגוברת של תקנות סביב סייבר, הגנת נתונים, בינה מלאכותית ואינטרנט של הדברים - הן בבריטניה והן באיחוד האירופי - מגדילות את האחריות לאבטחת הסייבר בהנהלה הבכירה ובדירקטוריון. רָמָה.

סמכו על התהליך

למרבה הצער, נראה שהעמידה בתקנים ובמסגרות של שיטות עבודה מומלצות נעצרת. הסקר מגלה שרק 38% מהעסקים עוקבים כעת אחר העצות המומלצות ב-Cyber Essentials (הסמכות Standard או Plus), או ISO 27001. ניומן של מרכז חוסן הסייבר אומר שהאפשרויות הללו יכולות להיות מועילות, אך לעתים קרובות יש את האתגר של מה שהוא מכנה "לקוח לא מיודע", שבו המשתמשים לא יודעים לאן לפנות כדי לקבל מומחיות טכנית.

ניומן מוסיף שהמודעות והקליטה של Cyber Essentials נשארות נמוכות מדי - במיוחד בקרב עסקים קטנים יותר, שלא בהכרח רואים את הערך במעקב אחריה. אחרים עושים זאת רק כדי לעמוד בדרישות החוזה. לטענתו, חלק מהבעיה הוא חוסר היכולת של הממשלה לקדם את הערך של Cyber Essentials וייעוץ לשיטות עבודה מומלצות מהמרכז הלאומי לאבטחת סייבר (NCSC).

ניומן טוען שגם עלות היא בעיה, כאשר התקנות מביאות לעתים קרובות את ההוצאה הכוללת עבור Cyber Essentials ל-1000 פאונד. למרות שרוב הארגונים יישמו את הבקרות הנדרשות להשגת מרכיבי סייבר, רבים לא זכו למעשה בהסמכה מלאה, על פי הסקר.

עם מעט עזרה

הסקר של השנה מצא שרק 19% עומדים בתקן ISO 27001 - מעט השתנה מ-Wave One (15%). זה נראה בסתירה להצעת הסקר ש"ממצאים מהראיונות האיכותניים מצביעים על כך שהסמכת ISO 27001 נחשבת על ידי עסקים להסמכה החזקה והמהותית ביותר שיש".

Honan של BH Consulting טוען שארגונים רבים רואים ב-ISO 27001 מכביד או יקר מדי להשגה ולתחזוקה.

"למרות שעסקים רבים עשויים להשתמש ב-ISO 27001 כמסגרת שעליה לבנות את תוכנית אבטחת הסייבר שלהם, לא כולם עשויים לעשות את הצעד הבא כדי לחפש הסמכה לתקן", הוא אומר.

השגת הסמכה ושמירה על תאימות עשויות לקחת זמן, כסף ומשאבים, אם כי מומחי תאימות של צד שלישי יכולים לייעל את התהליך באופן משמעותי באמצעות כלים דיגיטליים.

הסמכה לתקן כגון ISO 27001 יכולה לאפשר לארגון להוכיח לבעלי עניין מרכזיים כגון מועצת המנהלים, ההנהלה הבכירה, הלקוחות והרגולטורים שהם פועלים לפי שיטות עבודה מומלצות בתחום אבטחת הסייבר המוכרות בתעשייה.

האם בינה מלאכותית יכולה לעזור לחברות הללו להאיץ את מסע הציות שלהן? הונאן אומר שהמפתח ל-ISO 27001, ואכן תקנות סייבר נוכחיות רבות היא לנקוט בגישה מבוססת סיכונים לאבטחה.

"ככזה, כדי שה-ISO 27001 יישם בארגון שלך, צריך להתמקד בדרישות של העסק", הוא אומר. "למרות שמסמכים בתבנית ואפילו בינה מלאכותית עשויים לעזור בפיתוח פרויקט ה-ISO 27001 שלך, הייתי נזהר להבטיח שהתוצאות של הכלים האלה לא יהיו כלליות מדי עבור העסק שלך."

דן רייווד

דן רייווד כתב על אבטחת IT מאז 2008, והוא אנליסט לשעבר ב-451 Research Practice. הוא דיבר בתערוכות כולל 44CON, SecuriTay, SteelCon, Irisscon ו-Infosecurity Europe, וכן כתב עבור מספר בלוגים של ספקים והציג בשידורי אינטרנט.