Birleşik Krallık'taki orta ve büyük işletmelerin dörtte üçü ve yüksek gelirli hayır kurumlarının beşte dördü, son 12 ayda bir tür siber güvenlik olayı yaşadı, ancak genel siber dayanıklılıktaki iyileşmeler, ekonomik olumsuzluklar nedeniyle durgun görünüyor Hükümet, yüksek enflasyonun toplam yatırımın azalmasına yol açacağı konusunda uyardı.
Bilim, Yenilik ve Teknoloji Bakanlığı (DSIT), 2022'de başlayan ve devam eden güvenlik incelemesinin üçüncü dalgası olan Siber Güvenlik Boylamsal Araştırması'nın (CSLS) bugün yayınlanan bir raporunda, kuruluşlara güvenliklerini artırmak için daha fazlasını yapma çağrısında bulundu. güvenlik korumaları.
CSLS anketinin ilk kez yürütülmesinden bu yana genel olarak belirgin iyileşmeler oldu, ancak rapor verilerinin birçok alanda gösterdiği gibi, 2022 ile 2023 yılları arasında rakamlar son 12 aya göre daha fazla arttı.
“Birleşik Krallık, siber alanda önemli bir küresel oyuncu olarak statümüzü sağlamlaştırma konusunda kayda değer bir ilerleme kaydediyor. Siber sektörümüz benzeri görülmemiş istihdam ve iş fırsatları yaratmaya devam ediyor, ancak hâlâ göz ardı edemeyeceğimiz birçok zorluk ve riskin bulunduğunu biliyoruz” dedi siber bakan Viscount Camrose.
“Bu nedenle her büyüklükteki kuruluşa, tehditlere karşı korunmak, müşterilerini, iş gücünü ve ekonomimizi korumak için siber güvenlik planlarını artırmaya çağırıyorum.
“Kuruluşların bu tehditlerle doğrudan mücadele etmek için sağlam bir eylem planına sahip olmalarını sağlamak amacıyla sektörle omuz omuza çalışıyoruz. Liderlerin siber korumaları güçlendirmesine yardımcı olacak bir koddan, işletmelerin kurum içi uzmanlığa sahip olması için işgücünün becerilerini artırmaya kadar, bu hükümet destekli önlemler, kuruluşların potansiyel dijital teknolojilerin sunduğu potansiyelleri güvenli bir şekilde ortaya çıkarmalarını destekleyebilir” dedi.
Raporda, kuruluşların 2022'deki CSLS'nin Birinci Dalgasından bu yana dayanıklılıklarını açıkça artırdıkları, ancak buna ayak uydurmak için ortaya çıkan siber risklere yönelik daha sağlam koruma önlemlerine ihtiyaç duyulduğu belirtildi. Pek çoğunun uygulanmadığı görünen önlemler arasında uygun olay müdahalesi ve kurtarma planları ile çalışanların güvenlik farkındalığı ve temel becerilerinin ele alınması yer alıyor.
Örnek olarak, Üçüncü Dalga'da iş dünyasının katılımcılarının %85'i son 12 ayda siber güvenliklerini iyileştirmek için adımlar attıklarını söyledi; bu oran İkinci Dalga ile aynı, ancak Birinci Dalga'daki %79'dan daha yüksek. Bazı katılımcılarla yapılan nitel görüşmeler, birçoğunun, daha geniş ekonomik ortamdaki değişikliklerin de etkisiyle, değişimin hızını korumakta zorlandığını ortaya çıkardı. Bununla birlikte, özellikle siber sigortanın alınmasında, önemli ilerleme kaydedilmesi gereken bazı alanlar vardı.
Uygun risk yönetimi belgelerine sahip olma olasılığı daha yüksek olan, personel eğitimini benimseyen, Ulusal Siber Güvenlik Merkezi'nin (NCSC'nin) Cyber Essentials ve Cyber Essentials Plus ve ISO 27001 gibi akreditasyonlara bağlı kalan büyük işletmelerde de tablo iyileşti. ve yama yönetimi, kullanıcı izleme ve tedarik zinciri riskine yatırım yapmak. Kaynaklara daha fazla erişime sahip olan daha büyük kuruluşlar, siber duruşlarının sürekli gelişimini açıkça daha iyi sürdürebilirler.
İyileştirme alanları
Raporda ayrıca acilen önemli iyileştirmeler yapılması gereken alanlar da belirtiliyor. Özellikle pek çok kuruluş, özellikle de hayır kurumları, personelin çalışma sistemlerine kişisel cihazlardan erişmesine izin verme konusunda gevşek davranıyor ve çok az sayıda işletme ve hayır kurumu, tedarikçilerinin dayanıklılığını gerektiği gibi değerlendiriyor.
Ek olarak, genel olarak çok az kişi Cyber Essentials sertifikasına veya herhangi bir standarda ulaşıyor ve yarısından azı NCSC'nin daha geniş kılavuzunu kullanma zahmetine giriyor. Pek çok kişi yapay zekayı (AI) benimseyen en son çözümleri kullanma eğiliminde görünmüyor, ancak yapay zekanın güvenlikte kullanımı ve kötüye kullanılmasıyla ilgili daha geniş bir tartışma göz önüne alındığında, bu uyarının yapılması gerekli olabilir.
Yönetilen tespit ve müdahale birimi Socura'nın CEO'su Andy Kays, “Bu rakamların bazıları pek inandırıcı değil, ancak hükümet kontrolündeki boylamsal bir araştırma olarak bunlar, Birleşik Krallık'ta şimdiye kadar elde edilen en gerçekçi siber güvenlik anketi rakamlarından bazıları olabilir” dedi. (MDR) ve güvenlik operasyon merkezi (SOC) uzmanı.
“Diğer anketler olumlu ve sansasyonel sonuçlara doğru kaysa da, aynı 1000 işletmeyi birkaç yıl boyunca takip etmek, Birleşik Krallık'taki birçok işletmenin siber güvenliğe öncelik vermediği veya güvenlik duruşlarında çok hızlı bir şekilde değişiklikler yaptığı yönündeki acı gerçeği gösteriyor.
“Geçen yıl, Birleşik Krallık'taki yönetim kurulu üyelerinin yalnızca yarısı güvenlik eğitimi aldı, işletmelerin yalnızca dörtte biri tedarikçileri olası güvenlik riskleri açısından değerlendiriyor ve Birleşik Krallık'taki kurulların beşte biri siber güvenliği bir kez bile tartışmayı başaramadı. İşletmelerin yalnızca %17'si Cyber Essentials sertifikasına sahiptir; bu, en iyi güvenlik uygulamalarını ölçmede en düşük çubuklardan biridir. Bu rakamların hepsi mükemmel olmaktan uzak.
“Bir bakıma, anketin tamamındaki en olumlu istatistik, Birleşik Krallık'taki işletmelerin yarısından fazlasının güvenlik konusunda dışarıdan danışmanlık aldıklarını söylemesidir. Güvenilir üçüncü taraf güvenlik hizmeti sağlayıcılarına ve satıcılarına olan bağımlılıkları, iç güvenlik geliştirmenin genel olarak zayıf standartlarında bir faktör olabilir.”
Olay yaygınlığı
Geçtiğimiz 12 ayda, hem iş hem de hayır kurumları için en yaygın olarak yaşanan siber olay türü, işletmelerin %70'inde ve hayır kurumlarının %74'ünde gözlenen, sahte e-postalar veya eklerin (genellikle daha kötü niyetli bir şeyin habercisi) alınmasıydı.
Bununla birlikte, web sitelerine, sosyal medyaya veya kullanıcı hesaplarına yönelik saldırı girişimleri işletmelerin %15'ini ve hayır kurumlarının %18'ini etkilediğinden, zarar veren siber saldırıların oranı daha düşük kaldı; %12 ve %10'unu etkileyen kötü amaçlı yazılım enfeksiyonları; %6 ve %5'i etkileyen içeriden olaylar; ve DDoS saldırıları gibi web sitelerini veya hizmetlerini yavaşlatmayı veya kaldırmayı amaçlayan saldırılar %8 ve %7. Kimlik avı girişimlerinin ötesindeki olayların daha büyük kuruluşları etkileme olasılığı daha yüksekti.
Saldırı hacimleri açısından, işletmelerin %26'sı ve hayır kurumlarının %27'si yaklaşık ayda bir, %12 ve %17'si yaklaşık haftada bir, %5 ve %4'ü her gün ve %10 ve %7'si her gün birkaç kez saldırı gördü.
Ancak çoğu kişi ciddi sonuçlarla karşılaşmadıklarını, işletmelerin yaklaşık %23'ünün ve hayır kurumlarının %24'ünün olumsuz etkilendiğini, çalışmanın daha önceki çalışmaları ile tutarlı olduğunu söyledi. En sık gözlemlenen etkiler, dosyalara ve ağlara geçici erişim kaybı, web sitelerinde, uygulamalarda ve hizmetlerde kesinti veya tehlikeli amaçlarla kullanılan hesapların ele geçirilmesiydi. Yine, organizasyon ne kadar büyük olursa etki de o kadar anlamlı olur.
Gerçekleştiği mali maliyetler açısından bakıldığında, tüm işletmelerde bir güvenlik olayının ortalama maliyeti 2.718 £ olup, en büyüğü için 4.993 £'a ve hayır kurumları için 2.583 £'a yükseldi. Olayların bir sonucu olduğunu tespit edenler için bu maliyetler önemli ölçüde artarak 7.187 £, 12.273 £ ve 6.932 £'a yükseldi.