Coğrafi Odak: Birleşik Krallık, Coğrafi Özel
Ankette Çok Fazla Yönetim Kurulunun Yeterince Etkilenmediği, Tepkisel Tutumlar ve Yapay Zeka Konusunda Düşük İştah Bulundu
Mathew J. Schwartz (euroinfosec) •
20 Mart 2024
Siber güvenlik iyileştirmelerinin hızı, geçtiğimiz yıl Britanya'daki çok sayıda kuruluş için kısmen bütçe ve personel sıkıntısı nedeniyle durgunlaştı.
Ayrıca bakınız: Birleşik Krallık Kamu Sektöründe ve Eğitimde Fidye Yazılımını Önlemeye Yönelik 3 Temel Strateji
Bu, İngiliz hükümeti tarafından yürütülen ve Birleşik Krallık'taki 1000'den fazla orta ve büyük işletme ile yüksek gelirli hayır kurumundaki uygulamaları gözden geçiren üçüncü yıllık Siber Güvenlik Boylamsal Araştırması'ndan elde edilen önemli bir bulgudur.
Anket, siber güvenlik dirençlilik uygulamaları, kayıt tutma, iç ve dış raporlama yetenekleri, tedarik zinciri risk değerlendirmeleri ve güvenliğin sahiplenilmesi gibi bir dizi özelliği inceliyor. Ayrıca, kuruluşların temel siber güvenlik tehditlerine karşı hazırlıklı olduklarından emin olmak için tasarlanmış kıyaslamalara göre kendilerini belgelendirmelerine olanak tanıyan, hükümet destekli bir program olan Cyber Essentials'ın alımına da baktı.
Anket, siber güvenliğe değinen bir tür sigorta poliçesine sahip olan kuruluşların sayısının işletmelerde %53'ten %69'a ve hayır kurumlarında %66'dan %79'a yükselmesi de dahil olmak üzere 2021'den bu yana bazı iyileşmeler olduğunu gösteriyor. Ankette, bunun hem “sibere özel sigorta poliçelerini hem de siber güvenlik riskini kapsayan daha geniş poliçeleri” içerdiği belirtiliyor.
Ayrıca 2021'den 2023'e kadar şu özelliklere sahip işletmelerin oranı da arttı: Siber güvenlik risklerini belirlemeye yönelik prosedürler %82'den %90'a; %69'dan %79'a bir iş sürekliliği planı; %54'ten %61'e kadar düzenli olarak güncellenen, yazılı BT varlıkları ve güvenlik açıkları listesi; ve %48'den %55'e kadar bir risk listesi.
Anket, çok büyük kuruluşların büyük olasılıkla karmaşık politikalara ve uygulamalara sahip olduğunu ve bunun da muhtemelen “daha yüksek bütçelerini ve belirli siber güvenlik personelini sürdürme yeteneklerini” yansıttığını söylüyor. Öyle olsa bile, “birçok kuruluşta yönetim kurulu yeterince katılım göstermiyor ve yürürlükteki süreçlerin çoğu da daha az proaktif.”
Bu, uzaktan çalışmanın artması, bulut bilişimin dijital dönüşüm programlarının bir parçası olarak benimsenmesi ve ardından yapay zeka araçlarının kullanımının artmasıyla birlikte birçok kuruluştaki dijital varlığın anketin zaman dilimi içinde önemli ölçüde değişmesine rağmen.
Anket, işletmelerin yalnızca %23'ünün “siber dayanıklılıklarını artırmak için yapay zeka veya makine öğrenimini kullanma olasılığının yüksek olduğunu” bildirdiğini ortaya koyuyor; bu rakam 2021'den bu yana değişmedi. “Bu, kuruluşların en ileri teknolojileri üstlenmeye doğru ilerlemediğini gösteriyor.” ankette siber dayanıklılığı artırmaya yardımcı olacak bir teknoloji” ifadesine yer verildi. “Ayrıca, bu teknolojilerin kuruluşların proaktif hareket etmelerine yardımcı olma potansiyeli göz önüne alındığında, bu durum kuruluşların reaktif zihniyetinin göstergesidir.”
Birleşik Krallık Bilim, Yenilik ve Teknoloji Dairesi tarafından yürütülen araştırma, hükümetin kısmen yurt içi işletmelerin dayanıklılığını ve ülkenin genel siber güvenlik savunma duruşunu iyileştirmeyi amaçlayan Ulusal Siber Stratejisi 2022'nin bir parçası.
DSIT raporunun tespit ettiği zorluklardan kısmen Britanya ekonomisi sorumlu olabilir. Anketin ilk iki dalgası 2021 ve 2022'de, üçüncü dalgası ise geçen Temmuz ayına kadar nitel görüşmelerin desteklenmesiyle Mart ve Haziran 2023 arasında gerçekleştirildi. 2021'den 2023'e kadar, üç aylık bazda, Birleşik Krallık'ın gayri safi yurt içi hasılası büyük ölçüde sabit kaldı, bazen minimum kazanç veya kayıp gösterdi; bu da ülkenin zayıf ekonomik durumunu yansıtıyor.
Raporun tespit ettiği eksikliklerin sorumlusu, kuruluşun üst kademesindeki zayıf siber güvenlik bilgisine sahip olabilir.
CEO'su Andy Kays, “En son sonuçlar, Birleşik Krallık'taki yönetim kurulu üyelerinin yalnızca yarısının güvenlik eğitimi aldığını, işletmelerin yalnızca dörtte birinin tedarikçileri olası güvenlik riskleri açısından değerlendirdiğini ve Birleşik Krallık'taki kurulların beşte birinin siber güvenliği bir kez bile tartışmayı başaramadığını” gösteriyor. Cardiff, Galler merkezli yönetilen güvenlik hizmetleri sağlayıcısı Socura. “İşletmelerin yalnızca %17'si Siber Esaslar sertifikasına sahiptir; bu, en iyi güvenlik uygulamalarını ölçmede en düşük çıtalardan biridir. Bu rakamların hepsi mükemmel olmaktan uzaktır.”
Yönetim kurullarına ve üst düzey yöneticilere siber güvenlik konularında tavsiyelerde bulunan Britanyalı olay müdahale uzmanı David Stubley, giderek daha fazla kuruluşun “siber güvenliğin yalnızca teknik bir konu olmadığını, stratejik dikkat gerektiren bir iş riski olduğunu” en azından fark ettiğini söyledi. ancak sonraki adımlarda sıklıkla bocalıyorlar.
“Sorumlu birinin olması, yönetim kuruluna etkili bir şekilde meydan okuyabilecek ve onu destekleyebilecek birinin olmasıyla aynı şey değildir” dedi. “Gerçek iyileştirme ancak siber güvenliğin karmaşık ve incelikli doğasını doğuştan kavrayan, yönetici olmayan uzman kişilerin atanmasıyla yapılabilir.”