El volumen de violaciones de seguridad cibernética y otros ataques contra organizaciones del Reino Unido parece haber disminuido, con un 32 % de empresas y un 24 % de organizaciones benéficas recordando incidentes durante los últimos 12 meses, por debajo del 39 % y el 30 % respectivamente durante el período anterior, según los gobiernos Encuesta de brechas de seguridad cibernética 2023lanzado sin fanfarria hoy por el nuevo Departamento de Ciencia, Innovación y Tecnología (DSIT).
Sin embargo, la aparente disminución fue impulsada en gran medida por las empresas más pequeñas, mientras que las cifras de las empresas medianas y grandes y las organizaciones benéficas de altos ingresos se mantienen en niveles similares a los del informe de 2022. Según los estadísticos del gobierno, esto puede ser el resultado de que los propietarios y gerentes de pequeñas empresas vean la seguridad cibernética como una prioridad menor dado el clima económico actual.
De hecho, la proporción de microempresas que dicen que le dan una alta prioridad a la seguridad cibernética se redujo del 80 % en la primavera de 2022 al 68 % en la actualidad.
Entre las organizaciones que identificaron infracciones o ataques, la infracción más disruptiva de los últimos 12 meses costó a las organizaciones de cualquier tamaño aproximadamente £1100, aumentando a £4960 para medianas y grandes empresas.
“Mirando las cifras publicadas hoy, no me sorprende ver un cambio a la baja con respecto a los hallazgos del año pasado”, dijo Tom Kidwell, ex especialista en inteligencia del gobierno y cofundador de la consultora de seguridad Ecliptic Dynamics.
“En términos de preparación, respuesta e inversión en seguridad cibernética a nivel organizacional, los números no han cambiado mucho, excepto para las empresas más pequeñas, que identifican ataques e implementan menos buenas prácticas de higiene cibernética. Es probable que esto se deba al clima económico actual en el Reino Unido y porque muchas empresas aún operan con la mentalidad de “probablemente no me sucederá a mí”. Aunque, en el pasado, podrías haber tenido suerte, ahora no se trata de ‘si’, sino de ‘cuándo’, eres un objetivo”, agregó.
“El subregistro abunda porque admitir que ha sido violado puede tener efectos catastróficos”
Tom Kidwell, Dinámica de la eclíptica
“En términos de la cantidad de negocios que han sido atacados, el número se ha reducido al 32%. Sin embargo, como destaca la propia encuesta, el subregistro es un gran problema identificado por la industria de la seguridad cibernética, lo que significa que este número podría ser mucho mayor en realidad”, dijo Kidwell.
“El subregistro es común porque para cualquier organización, especialmente aquellas que manejan información confidencial, admitir que ha sido violado puede tener efectos catastróficos. La confianza en su marca puede desaparecer instantáneamente y tener impactos de largo alcance para las partes interesadas, razón por la cual tantas organizaciones afectadas no informan los ataques cuando ocurren”, dijo.
Kidwell agregó que este subregistro puede no ser deliberado, porque es posible que muchas organizaciones ni siquiera se den cuenta de que han sido violadas.
Richard Staynings, estratega jefe de seguridad de Cylera, un especialista en seguridad de Internet de las cosas (IoT), dijo que las estadísticas sobre el costo de un incidente también estaban fuera de lugar, probablemente por un orden de magnitud.
“Las organizaciones realmente no cuentan el costo de una brecha cibernética. En primer lugar, está el costo de los equipos de respuesta a incidentes legales y de seguridad, la consultoría forense, las relaciones públicas y cualquier otro experto que necesite traer para manejar el impacto del incidente. Luego, tiene la pérdida de negocios debido a que sus datos y su sistema han sido destruidos. Puede llevar de dos a tres semanas restaurar los datos, pero también hemos visto situaciones en las que se han tardado más de seis meses después de una brecha en restaurar los sistemas, los dispositivos y los datos”, dijo.
“Luego están las multas reglamentarias y los daños punitivos por violaciones de datos. Teniendo todo esto en cuenta, está considerando que el costo de un ataque cibernético está más cerca de unos pocos millones de libras, y esto no tiene en cuenta ninguna demanda de ransomware, si lo paga, que a menudo es de decenas de miles de dólares. libras solo”.
Hallazgos alarmantes
El informe completo contiene una gran cantidad de información sobre cómo las organizaciones del Reino Unido están manejando los incidentes cibernéticos y el impacto de los delitos cibernéticos, y presentó muchos hallazgos que los expertos cibernéticos considerarán preocupantes.
Entre otras cosas, descubrió que si bien la mayoría de las organizaciones cuentan con una amplia gama de medidas de higiene cibernética, el número de implementaciones de políticas de contraseñas se redujo del 79 % en 2021 al 70 % en la actualidad, el uso de firewalls de red se redujo del 78 % al 66 % %, la implementación de restricciones de derechos de administrador se redujo del 75 % al 67 %, y la implementación de políticas de parches rápidos (dentro de los 14 días posteriores a la divulgación, por ejemplo) se redujo del 43 % al 31 %. Estas disminuciones fueron nuevamente impulsadas en gran medida por organizaciones más pequeñas.
En términos de gestión de riesgos y cuestiones de la cadena de suministro, las empresas más grandes tendían a ser las más maduras, pero aun así, en todo el espectro de organizaciones, solo tres de cada 10 habían realizado algún tipo de evaluación de riesgos en los últimos 12 meses, una proporción similar. había implementado herramientas de monitoreo de seguridad y menos de cuatro de cada 10 tenían seguro cibernético. Uno de cada 10 dijo que revisó los riesgos que plantean sus proveedores inmediatos, aumentando al 55% de las grandes empresas, que aún es muy poco.
Del mismo modo, solo tres de cada 10 organizaciones tenían miembros de la junta, o fideicomisarios en el caso de organizaciones benéficas, encargados explícitamente de la seguridad cibernética, y entre las grandes empresas, solo el 30% había oído hablar alguna vez del kit de herramientas de la junta del Centro Nacional de Seguridad Cibernética (NCSC).
En términos de buscar apoyo y orientación en seguridad cibernética, los estadísticos de DSIT encontraron que aproximadamente la mitad de las organizaciones lo habían hecho en el último año, esencialmente estable, pero aún una fuente de preocupación porque implica que la mitad de las organizaciones parecen no estar al tanto de iniciativas como la el esquema Cyber Essentials de NCSC u otra guía formal como 10 pasos para la seguridad cibernética. Tampoco parece que un número suficiente se adhiera a estándares reconocidos o acreditaciones como ISO 27001.
Cuando las organizaciones buscaban orientación externa, tendían a recurrir a consultores de seguridad externos o proveedores de servicios gestionados (MSP).
delito cibernético
Volviendo al impacto del delito cibernético, DSIT nuevamente encontró evidencia de subregistro. Un total del 11 % de las organizaciones experimentó delitos cibernéticos en los últimos 12 meses, aumentando para las empresas más grandes y las organizaciones benéficas más ricas, o dicho de otro modo, aproximadamente un tercio de los incidentes cibernéticos llevaron a delitos cibernéticos.
Los estadísticos estiman que en todas las empresas del Reino Unido hubo 2,39 millones de casos de delitos cibernéticos y 49 000 casos de fraude como resultado de delitos cibernéticos en los últimos 12 meses. Entre las organizaciones benéficas, hubo 785 000 delitos cibernéticos, pero el tamaño de la muestra en este caso no permite una estimación lo suficientemente precisa del fraude.
El coste medio anual estimado del delito cibernético para las empresas es de aproximadamente 15 300 libras esterlinas por víctima y, de nuevo, el tamaño de la muestra no permite una estimación precisa para las organizaciones benéficas.
Es importante tener en cuenta que las estadísticas de delitos cibernéticos se informan este año por primera vez, por lo que no se pueden hacer comparaciones significativas con datos anteriores y es probable que haya un amplio margen de error.
