تقول نصف الشركات في المملكة المتحدة وأقل بقليل من ثلث المؤسسات الخيرية إنها تعرضت لشكل من أشكال الهجوم السيبراني أو خرق البيانات في الأشهر الـ 12 الماضية، وترتفع إلى 74٪ من المؤسسات الكبيرة و 66٪ من المؤسسات الخيرية ذات الدخل المرتفع التي تحقق أكثر من 500000 جنيه إسترليني لكل شهر. سنويا، وفقا لأحدث طبعة من الحكومة مسح خروقات الأمن السيبراني.
قد يبدو هذا في ظاهره بمثابة قفزة كبيرة في الإحصائيات المقدمة في نسخة 2023 من الدراسة السنوية، حيث تذكرت 32% من الشركات و24% من المؤسسات الخيرية الحوادث، ولكن لسوء الحظ فإن تغيير السؤال الذي يسعى إلى التقاط أحجام الحوادث يعني أنه ليس من الممكن حقًا إجراء مقارنة مباشرة.
كما وجد استطلاع عام 2024 أيضًا أن النوع الأكثر شيوعًا من الحوادث التي وقعت بهامش كبير هو التصيد، والتي تظهر في 84% من الشركات و83% من المؤسسات الخيرية، تليها محاولات انتحال الشخصية، مما يؤثر على 35% من الشركات و37% من المؤسسات الخيرية، والفيروسات أو البرامج الضارة الأخرى، بما في ذلك برامج الفدية، التي تؤثر على 17% من الشركات و14% من المؤسسات الخيرية.
ومن بين تلك المنظمات التي حددت الهجمات أو الانتهاكات، بلغ متوسط تكلفة الحادث الأكثر إزعاجًا 1,205 جنيهًا إسترلينيًا، وارتفع إلى 10,380 جنيهًا إسترلينيًا للشركات المتوسطة والكبيرة، و460 جنيهًا إسترلينيًا للجمعيات الخيرية.
ونظرًا للتعقيد النسبي للتهديدات الأكثر شيوعًا، فقد تضمن التقرير أدلة وافرة على أن بعض الرسائل المتعلقة بالنظافة الأساسية للأمن السيبراني يتم تنفيذها، مع نشر العديد من الضوابط والسياسات والأدوات، مثل الحماية الحديثة من البرامج الضارة، حقوق الإدارة المقيدة، وتنفيذ جدران الحماية للشبكة، والعمليات المتفق عليها لرسائل البريد الإلكتروني التصيدية، في جميع المجالات وتمثل انعكاسًا جزئيًا للاتجاه التنازلي الذي شوهد منذ بداية جائحة كوفيد-19 في عام 2020. وتعتقد الحكومة أن هذه التغييرات تعكس تحولات في سكان الأعمال الصغيرة وبين الشركات الصغيرة والمتوسطة.
لكن في مناطق أخرى، كانت الصورة أقل وردية. لا يزال الوعي بالأمن السيبراني والمشاركة فيه بين القيادة العليا وفي مجالس الإدارة ثابتًا، ولا يبذل سوى عدد قليل من المنظمات الكثير لمعالجة أمن سلسلة التوريد، وعدد قليل منها وضع سياسات الإبلاغ عن الحوادث أو يكلف نفسه عناء الإبلاغ عن الحوادث خارجيًا – مثل هيئات مثل National Cyber. مركز الأمان (NCSC)، الذي يتمتع بالقدرة على المساعدة بعدة طرق.
يضاف إلى ذلك نسبة من يتبعون التوجيهات الخارجية مثل المسؤول 10 خطوات للأمن السيبراني، أو تحقيق أساسيات NCSC السيبرانية إن الشهادات آخذة في الانخفاض ــ في الواقع، 12% فقط من الشركات و11% من المؤسسات الخيرية تدرك وجود برنامج Cyber Essentials.
“مخيبة للآمال بشكل لا يصدق”
أندي كايز، الرئيس التنفيذي لأخصائي الكشف والاستجابة المُدارة (MDR). سوكوراوقال إنه “من المخيب للآمال بشكل لا يصدق” رؤية مثل هذا التجاهل للأمن السيبراني، خاصة بين الشركات الصغيرة.
وقال: “على الرغم من سنوات من التحذيرات من الخبراء، وعدد لا يحصى من عناوين الأخبار المتعلقة باختراق البيانات وزيادة الإجراءات التنظيمية، فإن هذه المشكلة لا تزال غير مطروحة على رادارهم”.
“فقط جزء صغير من الشركات في المملكة المتحدة لديها أي نوع من الخطط الرسمية للاستجابة للحوادث، وهو ما أجده مذهلاً. سيكون لدى الشركات دائمًا خطة في حالة نشوب حريق، ولكنها لن تطبق نفس العناية الواجبة في حالة اختراق البيانات – وهو الأمر الأكثر احتمالية من الناحية الإحصائية. إنه يتعارض مع المنطق السليم”.
فقط جزء صغير من الشركات في المملكة المتحدة لديها أي نوع من الخطط الرسمية للاستجابة للحوادث، وهو ما أجده مذهلاً
آندي كايز، سوكورا
انتقد كايس أصحاب الأعمال الذين بدوا عالقين في الماضي واتهمهم بالفشل في القيام بالحد الأدنى بخلاف إجراء تدريب روتيني للتوعية حول رسائل البريد الإلكتروني التصيدية. وأعرب عن أسفه لعدم وجود سجلات مناسبة وعدم الرغبة في إبلاغ الشرطة والمنظمين أو تقييم حجم الانتهاكات وتأثيرها.
وأشار كايس أيضًا إلى أن الاستطلاع قد يرسم صورة غير دقيقة إلى حد ما عن التكاليف المالية لحادث سيبراني، ويخاطر بإثارة الرضا عن النفس بين المنظمات.
“إن التكلفة المالية المقدرة لاختراق البيانات في هذا الاستطلاع أقل بكثير من المصادر الأخرى. وقال: “أعتقد أننا بحاجة إلى التعامل مع رقم الحكومة البالغ 1205 جنيهات إسترلينية بحذر”.
“ينحرف هذا الاستطلاع نحو الشركات الصغيرة مقارنة بالعديد من الاستطلاعات الأخرى، وبالتالي فإن الأرقام ستكون أصغر. [But] نحن نعلم أن الشركات الكبيرة يمكن أن تخسر الملايين في حالة حدوث اختراق للبيانات بسبب الاضطراب والتأثير على السمعة وانخفاض أسعار الأسهم. يمكن لمكتب مفوض المعلومات أيضًا فرض غرامات خطيرة على الشركات التي تخالف اللائحة العامة لحماية البيانات.
باناصير كما شجبت المبشرة الأمنية ماري ويلكوكس الفشل المستمر للمنظمات البريطانية في وضع الضوابط الأمنية الأساسية. “في أحسن الأحوال، لا تزال المنظمات أقل من معايير 2021. حتى الشركات الكبيرة التي تدرك المخاطر غالبًا ما تفشل في تنفيذ الضوابط بشكل صحيح – 29% منها على الأقل ليس لديها ضوابط لإدارة التصحيح أو تقييد الوصول إلى الأجهزة المملوكة للمؤسسة.
“مع ميل المهاجمين إلى قطف الفاكهة المعلقة، فإن 98% من الانتهاكات يمكن منعها من خلال التركيز على أساسيات الأمن وأفضل سيبر صحة. إن التحرك نحو منتصف المجموعة من خلال وضع الضوابط والسياسات الصحيحة سيساعد في تجنب الغالبية العظمى من الهجمات.
ومع ذلك، تابع ويلكوكس، فإن وجود السياسات والضوابط المناسبة ليس سوى نصف المعركة – فالرمال المتغيرة بسرعة في المشهد تجعل الأمن هدفًا متحركًا وتحتاج المؤسسات أيضًا إلى بذل المزيد من الجهد لتحقيق رؤية مستمرة حول ما يفعلونه، وأين يتم تنفيذ الأشياء تسير بشكل جيد، وتسد الفجوات. ويعتمد الكثير منها على بيانات غير كاملة ومنعزلة ومتناقضة في كثير من الأحيان، وحتى أفضل الأدوات الأمنية يمكن أن تكون شهودًا غير موثوقين، مما يؤدي إلى تقارير متضاربة، ونقاط ضعف ضائعة، وفرق أمنية مرهقة، والمزيد من الفرص للجهات الفاعلة في مجال التهديد للهجوم.
“إن التغلب على هذه المشكلات يمثل تحديًا كبيرًا للبيانات. قال ويلكوكس: “يحتاج مدراء تكنولوجيا المعلومات إلى نظام تسجيل معتمد يمكنهم الوثوق به والذي يوفر رؤية كاملة حول فجوات التغطية وحالة التحكم الحقيقية لديهم”.
استعادة السيطرة
وقال ويلكوكس: “يوضح الاستطلاع أيضًا سبب أهمية قيام كبار مسؤولي تكنولوجيا المعلومات بالاستيلاء على السيطرة وإظهارها”. “يعتبر CISO بشكل متزايد ركيزة أساسية لاستراتيجية إدارة المخاطر في المؤسسات. يتعين على الشركات أكثر من أي وقت مضى تغطية المخاطر السيبرانية في تقاريرها السنوية، وسيزداد هذا التركيز مع التدقيق التنظيمي الإضافي. وما يقرب من نصف (46٪) الشركات الكبيرة لا تزال تفتقر إلى التأمين السيبراني.
“للتكيف مع دورهم الجديد، يحتاج مدراء تكنولوجيا المعلومات إلى فهم المخاطر التي يواجهونها، وإيصالها إلى جميع أصحاب المصلحة المحتملين بلغة العمل. إن إظهار أن الضوابط الأمنية موجودة، ويتم مراقبتها باستمرار، سوف يقطع شوطا طويلا في طمأنة مجلس الإدارة والمستثمرين وشركات التأمين والمنظمين.
