Birleşik Krallık’taki işletmelerin yarısı ve hayır kurumlarının üçte birinden biraz azı, son 12 ay içinde bir tür siber saldırı veya veri ihlali yaşadıklarını söylüyor; büyük işletmelerin bu oranı %74’e, yüksek gelirli hayır kurumlarının ise %66’sı kişi başı 500.000 £’dan fazla kazanıyor. Hükümetin son baskısına göre yıllık Siber güvenlik ihlalleri araştırması.
Görünüşte bu, işletmelerin %32’sinin ve hayır kurumlarının %24’ünün olayları hatırladığı yıllık çalışmanın 2023 baskısında sunulan istatistiklere göre önemli bir sıçrama gibi görünüyor, ancak ne yazık ki olayı yakalamaya yönelik soruda bir değişiklik var hacimler doğrudan bir karşılaştırma yapmanın gerçekten mümkün olmadığı anlamına gelir.
2024 anketi ayrıca, ciddi bir farkla, yaşanan en yaygın olay türünün işletmelerin %84’ünde ve hayır kurumlarında %83’ünde görülen kimlik avı olduğunu, ardından işletmelerin %35’ini ve hayır kurumlarının %37’sini etkileyen kimliğe bürünme girişimlerinin geldiğini ortaya çıkardı. fidye yazılımları da dahil olmak üzere virüsler veya diğer kötü amaçlı yazılımlar işletmelerin %17’sini ve hayır kurumlarının %14’ünü etkilemektedir.
Saldırıları veya ihlalleri tespit eden kuruluşlar arasında, en yıkıcı olayın ortalama maliyeti 1.205 £ olurken, orta ve büyük işletmeler için 10.380 £’a, hayır kurumları için ise 460 £’a yükseldi.
En yaygın tehditlerin göreceli olarak karmaşık olmadığı göz önüne alındığında rapor, güncel kötü amaçlı yazılımlara karşı koruma gibi çeşitli kontrollerin, politikaların ve araçların devreye alınmasıyla temel siber güvenlik hijyeniyle ilgili mesajların bir kısmının yerine getirildiğine dair çok sayıda kanıt içeriyordu. Kısıtlı yönetici hakları, ağ güvenlik duvarlarının uygulanması ve kimlik avı e-postaları için üzerinde mutabakata varılan süreçler, genel anlamda ve 2020’de Kovid-19 salgınının başlangıcından bu yana görülen düşüş eğiliminin kısmen tersine çevrilmesini temsil ediyor. Hükümet, bu değişikliklerin yönetimdeki değişiklikleri yansıttığına inanıyor. mikro işletme nüfusu ve KOBİ’ler arasında.
Ancak diğer bölgelerde tablo daha az pembeydi. Üst düzey yöneticiler ve yönetim kurulları arasında siber güvenlik farkındalığı ve desteği sabit kalıyor; çok az kuruluş tedarik zinciri güvenliğini ele almak için çok şey yapıyor ve çok azı olay raporlama politikaları oluşturmuş veya olayları dışarıdan – örneğin Ulusal Siber Kurumlara – bildirme zahmetine katlanmış durumda. Birçok yönden yardım etme yetkisine sahip Güvenlik Merkezi (NCSC).
Buna ek olarak, resmi Siber Güvenliğe 10 Adım gibi dış rehberliği takip edenlerin veya NCSC Siber Temeller sertifikasına sahip olanların oranı düşüyor; aslında işletmelerin yalnızca %12’si ve hayır kurumlarının %11’i Siber Temeller programından haberdar bile var.
‘İnanılmaz hayal kırıklığı’
Yönetilen tespit ve müdahale (MDR) uzmanı Socura’nın CEO’su Andy Kays, özellikle küçük işletmeler arasında siber güvenliğe bu kadar önem verilmediğini görmenin “inanılmaz derecede hayal kırıklığı” olduğunu söyledi.
“Uzmanların yıllardır yaptığı uyarılara, sayısız veri ihlali manşetine ve artan düzenleyici işlemlere rağmen bu konu hala onların radarında değil” dedi.
“Birleşik Krallık’taki işletmelerin yalnızca bir kısmının resmileştirilmiş bir olay müdahale planı var ve bunu şaşırtıcı buluyorum. İşletmelerin bir yangın durumunda her zaman bir planı olacaktır, ancak bir veri ihlaline karşı aynı özeni göstermeyeceklerdir ki bu istatistiksel olarak çok daha olasıdır. Sağduyuya aykırıdır.”
Birleşik Krallık’taki işletmelerin yalnızca bir kısmının resmileştirilmiş bir olay müdahale planı var ve bunu şaşırtıcı buluyorum
Andy Kays, Socura
Kays, geçmişe takılıp kalmış görünen işletme sahiplerini sert bir şekilde eleştirdi ve onları kimlik avı e-postalarına ilişkin formalite icabı farkındalık eğitimi vermenin ötesinde gereken asgari önlemleri almamakla suçladı. Uygun kayıt tutma eksikliğinden ve polise ve düzenleyici makamlara bilgi verme veya ihlallerin boyutunu ve etkisini değerlendirme konusundaki isteksizlikten yakındı.
Kays ayrıca anketin bir siber olayın mali maliyetlerine ilişkin bir ölçüde yanlış bir tablo çizebileceğini ve kuruluşlar arasında rehavete yol açabilecek riskler taşıdığını da belirtti.
“Bu ankette bir veri ihlalinin tahmini mali maliyeti diğer kaynaklardan çok çok daha düşük. Hükümetin 1.205 £ rakamına ihtiyatlı yaklaşmamız gerektiğini düşünüyorum” dedi.
“Bu anket diğer birçok ankete göre daha küçük işletmelere yönelik olduğundan sayılar daha küçük olacak. [But] Büyük kurumsal işletmelerin veri ihlali durumunda kesinti, itibar etkisi ve hisse fiyatlarındaki düşüş nedeniyle milyonlar kaybedebileceğini biliyoruz. Bilgi Komiseri Ofisi ayrıca GDPR’ye aykırı düşen işletmelere ciddi para cezaları uygulayabilir.”
Panaseer güvenlik misyoneri Marie Wilcox da Birleşik Krallık’taki kuruluşların gerekli güvenlik kontrollerini uygulamaya koymakta süregelen başarısızlığını kınadı. “En iyi ihtimalle organizasyonlar hâlâ 2021 standartlarının altında. Riskleri anlayan büyük işletmeler bile genellikle kontrolleri düzgün bir şekilde uygulama konusunda başarısız oluyor; en az %29’unda yama yönetimi veya kuruluşa ait cihazlara erişimin kısıtlanması için mevcut kontroller bulunmuyor.
“Saldırganların en altta asılı olan meyveyi toplama eğiliminde olduğu göz önüne alındığında, katılımcıların %98’i ihlaller Güvenlik temellerine ve daha iyiye odaklanılarak önlenebilir Siber Hijyen. Doğru kontrollere ve politikalara sahip olarak grubun ortasına doğru ilerlemek, saldırıların büyük çoğunluğunun önlenmesine yardımcı olacaktır.”
Ancak Wilcox şöyle devam etti: Uygun politikaların ve kontrollerin uygulamaya konması savaşın yalnızca yarısıdır; arazinin hızla değişen kumları, güvenliği hareketli bir hedef haline getiriyor ve kuruluşların da ne yaptıkları, işlerin nerede olduğu konusunda sürekli görünürlük elde etmek için daha fazlasını yapması gerekiyor. iyi gidiyor ve eksikleri kapatıyoruz. Pek çok kişi eksik, silolanmış ve çoğu zaman çelişkili verilere güveniyor ve en iyi güvenlik araçları bile güvenilmez tanıklar olabilir, bu da çelişkili raporlara, kaçırılan güvenlik açıklarına, güvenlik ekiplerinin bunalmasına ve tehdit aktörlerinin saldırması için daha fazla fırsata yol açabilir.
“Bu sorunların üstesinden gelmek büyük bir veri sorunudur. CISO’ların, kapsam boşlukları ve gerçek kontrol durumları hakkında tam görünürlük sağlayan, güvenebilecekleri doğrulanmış bir kayıt sistemine ihtiyaçları var,” dedi Wilcox.
Kontrolü geri alın
Wilcox, “Anket aynı zamanda CISO’ların kontrolü ele geçirip göstermelerinin neden bu kadar önemli olduğunu da ortaya koyuyor” dedi. “CISO, kuruluşların risk yönetimi stratejisinin giderek daha önemli bir temel taşı haline geliyor. Her zamankinden daha fazla işletme yıllık raporlarında siber riski ele almak zorunda ve bu odak, ek düzenleyici incelemelerle daha da artacak. Büyük işletmelerin neredeyse yarısı (%46) hâlâ siber sigortadan yoksun.
“CISO’ların yeni rollerine uyum sağlamak için karşılaştıkları riskleri anlamaları ve bunları tüm potansiyel paydaşlara iş diliyle aktarmaları gerekiyor. Güvenlik kontrollerinin mevcut olduğunu ve sürekli izlendiğini göstermek, yönetim kuruluna, yatırımcılara, sigortacılara ve düzenleyicilere güven verme konusunda uzun bir yol kat edecektir.”