Birleşik Krallık kuruluşlarına yönelik siber güvenlik ihlallerinin ve diğer saldırıların hacmi düşmüş gibi görünüyor; işletmelerin %32’si ve hayır kurumlarının %24’ü son 12 aydaki olayları hatırlayarak, bir önceki döneme göre sırasıyla %39 ve %30’dan düştü. hükümetin Siber güvenlik ihlalleri anketi 2023bugün yeni Bilim, Yenilik ve Teknoloji Departmanı (DSIT) tarafından tantana olmadan yayınlandı.
Bununla birlikte, görünürdeki düşüş büyük ölçüde küçük işletmelerden kaynaklanırken, orta ve büyük işletmeler ile yüksek gelirli hayır kurumları için rakamlar 2022 raporundakilerle benzer seviyelerde kalıyor. Hükümet istatistikçilerine göre bu, küçük işletme sahiplerinin ve yöneticilerinin mevcut ekonomik ortam göz önüne alındığında siber güvenliği daha az öncelik olarak görmelerinin bir sonucu olabilir.
Gerçekten de siber güvenliğe yüksek öncelik verdiklerini söyleyen mikro işletmelerin oranı 2022 baharında %80’den bugün %68’e düştü.
İhlalleri veya saldırıları tespit eden kuruluşlar arasında, son 12 ayın en yıkıcı tek ihlali, her büyüklükteki kuruluşa yaklaşık 1.100 sterline mal oldu ve orta ve büyük ölçekli işletmeler için 4.960 sterline yükseldi.
Eski bir hükümet istihbarat uzmanı ve güvenlik danışmanlığı şirketi Ecliptic Dynamics’in kurucu ortağı Tom Kidwell, “Bugün açıklanan rakamlara baktığımda, geçen yılın bulgularından aşağı doğru bir kayma görmek beni şaşırtmadı” dedi.
“Kurumsal düzeyde hazırlık, müdahale ve siber güvenliğe yatırım açısından, saldırıları tespit eden ve iyi siber hijyen uygulamalarını daha az uygulayan küçük işletmeler dışında rakamlar pek değişmedi. Bunun nedeni muhtemelen Birleşik Krallık’taki mevcut ekonomik iklim ve birçok işletmenin hala ‘muhtemelen benim başıma gelmeyecek’ zihniyetiyle faaliyet göstermesidir. Geçmişte şanslı olsanız da, şimdi mesele ‘eğer’ değil, ‘ne zaman’ meselesi, hedef alınıyorsunuz” diye ekledi.
“Gereksiz bildirim yaygın çünkü ihlale uğradığınızı kabul etmek feci sonuçlara yol açabilir”
Tom Kidwell, Ekliptik Dinamikler
“Saldırıya uğrayan işyeri sayısı bakımından bu sayı %32’ye düştü. Bununla birlikte, anketin kendisinin de vurguladığı gibi, eksik raporlama siber güvenlik endüstrisi tarafından tanımlanan çok büyük bir sorundur, bu da bu sayının gerçekte çok daha yüksek olabileceği anlamına gelir” dedi.
“Gereksiz bildirim yaygındır çünkü herhangi bir kuruluş için, özellikle de hassas bilgileri işleyenler için, ihlale uğradığınızı kabul etmenin feci sonuçları olabilir. Markanıza olan güven anında silinebilir ve paydaşlar için uzun vadeli etkileri olabilir, bu nedenle etkilenen pek çok kuruluş saldırıları gerçekleştiğinde bildirmiyor” dedi.
Kidwell, bu eksik raporlamanın kasıtlı olmayabileceğini, çünkü birçok kuruluşun ihlal edildiğinin farkında bile olmayabileceğini ekledi.
Bir nesnelerin interneti (IoT) güvenlik uzmanı olan Cylera’nın baş güvenlik stratejisti Richard Staynings, bir olayın maliyetine ilişkin istatistiklerin de, muhtemelen bir büyüklük sırasına göre, hedefin dışında olduğunu söyledi.
“Kuruluşlar, bir siber ihlalin maliyetini gerçekten hesaba katmıyor. İlk olarak, olayın etkisiyle başa çıkmak için getirmeniz gereken hukuk ve güvenlik olay müdahale ekiplerinin, adli tıp danışmanlığının, halkla ilişkiler ve diğer uzmanların maliyeti vardır. Ardından, verileriniz ve sisteminizin yok edilmesi nedeniyle iş kaybı yaşarsınız. Verilerin geri yüklenmesi iki ila üç hafta sürebilir, ancak bir ihlalin ardından sistemlerin, cihazların ve verilerin geri yüklenmesinin altı aydan uzun sürdüğü durumlar da gördük” dedi.
“Sonra, veri ihlalleri için düzenleyici para cezaları ve cezai zararlar var. Tüm bunları göz önünde bulundurarak, bir siber saldırının birkaç milyon sterline yakın maliyetine bakıyorsunuz ve bu, öderseniz, genellikle on binlerce sterlin olan herhangi bir fidye yazılımı talebini dikkate almıyor. tek başına pound.”
Endişe verici bulgular
Raporun tamamı, Birleşik Krallık kuruluşlarının siber olayları nasıl ele aldığı ve siber suçun etkisi hakkında zengin bilgiler içeriyor ve siber uzmanların endişe verici olarak değerlendireceği birçok bulgu ortaya çıkardı.
Diğer şeylerin yanı sıra, kuruluşların çoğunda çok çeşitli siber hijyen önlemleri yürürlükteyken, şifre politikalarını uygulayanların sayısı 2021’de %79’dan bugün %70’e düştü, ağ güvenlik duvarlarının kullanımı %78’den 66’ya düştü. %, yönetici hakları kısıtlamalarının uygulanması %75’ten %67’ye düştü ve acil yama politikalarının uygulanması (örneğin, ifşadan sonraki 14 gün içinde) %43’ten %31’e düştü. Bu düşüşler yine büyük ölçüde daha küçük kuruluşlar tarafından yönlendirildi.
Risk yönetimi ve tedarik zinciri sorunları açısından, daha büyük işletmeler en olgun işletmeler olma eğilimindeydi, ancak öyle olsa bile, tüm kuruluşlarda yalnızca 10’da üçü son 12 ayda herhangi bir risk değerlendirmesi yaptı; benzer bir oran güvenlik izleme araçları kullanmıştı ve her 10 kişiden dördünün altında siber sigorta vardı. 10 kişiden biri, birincil tedarikçilerinin oluşturduğu riskleri incelediklerini söyledi – büyük işletmelerin %55’ine yükseliyor, ki bu hala çok az.
Benzer şekilde, 10 kuruluştan yalnızca üçünde açık bir şekilde siber güvenlikle görevlendirilmiş herhangi bir yönetim kurulu üyesi (veya hayır kurumları söz konusu olduğunda mütevelli) vardı ve büyük işletmeler arasında yalnızca %30’u Ulusal Siber Güvenlik Merkezi’nin (NCSC’ler) Yönetim Kurulu Araç Setini duymuştu.
Siber güvenlik desteği ve rehberliği arama açısından, DSIT’in istatistikçileri, kuruluşların yaklaşık yarısının geçen yıl bunu yaptığını, esasen istikrarlı olduğunu, ancak kuruluşların yarısının şu gibi girişimlerden habersiz göründüğü anlamına geldiği için yine de bir endişe kaynağı olduğunu buldu. NCSC’nin Cyber Essentials şeması veya Siber Güvenliğe 10 Adım gibi diğer resmi kılavuzlar. ISO 27001 gibi kabul görmüş standartlara veya akreditasyonlara bağlı kalanların sayısı da yeterli görünmüyor.
Kuruluşlar dışarıdan rehberlik istediklerinde, harici güvenlik danışmanlarına veya yönetilen hizmet sağlayıcılara (MSP’ler) yönelme eğilimindeydiler.
Siber Suç
Siber suçun etkisine dönersek, DSIT bir kez daha eksik bildirim yapıldığına dair kanıt buldu. Kuruluşların toplam %11’i son 12 ayda siber suç yaşadı, bu durum daha büyük işletmeler ve daha zengin hayır kurumları için artıyor – veya başka bir şekilde okunursa, siber olayların yaklaşık üçte biri siber suça yol açtı.
İstatistikçiler, Birleşik Krallık’taki tüm işletmelerde son 12 ayda 2,39 milyon siber suç vakası ve siber suç nedeniyle 49.000 dolandırıcılık vakası olduğunu tahmin ediyor. Hayır kurumları arasında 785.000 siber suç vardı, ancak bu örnekteki örnek boyutu yeterince doğru bir dolandırıcılık tahmini sağlamaz.
İşletmeler için tahmini ortalama yıllık siber suç maliyeti, kurban başına yaklaşık 15.300 £ olarak çıkıyor ve yine, örneklem büyüklüğü hayır kurumları için doğru bir tahmine izin vermiyor.
Siber suç istatistiklerinin bu yıl ilk kez raporlandığını, bu nedenle geçmiş verilerle anlamlı karşılaştırmalar yapılamayacağını ve büyük bir hata payı olabileceğini belirtmek önemlidir.