政府敦促英国企业向网络犯罪防御牛肉
根据政府最新的网络安全漏洞调查报告,在过去的12个月内,超过四个企业在过去的12个月中遭受了数据违约或网络攻击。
只需一个月即可进入新的数据保护法“生效”,敦促英国企业保护自己,统计数据显示超过四分之一的企业(43%)和两个(19%)的Cyber Breach或攻击在过去的一年里。
该P为大型企业增加了三分之二,其中72%在过去一年中确定了违约或攻击。对于平均大企业,过去12个月的所有攻击的财务成本为9,260英镑,根据该报告的一项关于超过1,500名英国企业和569英国注册慈善机构的报告,一些攻击率多得多。
最常见的违规或攻击是通过欺诈性电子邮件,通常试图欺骗员工揭示密码或财务信息,或打开危险附件。这些是由网络罪犯的实例伪装在线,然后是恶意软件和病毒的网络犯罪分子。
数字和创意产业部长Margot James说:“我们正在加强英国的数据保护法,使其适合数字时代,但这些新的PS显示许多组织现在需要采取行动,以确保他们拥有的个人数据安全和安全。“我们正在投资1.9亿英镑,保护国家免受网络威胁的影响,我将敦促组织从信息专员办公室[ICO]和国家网络安全中心[NCSC]的组织中提供的大多数免费帮助和指导。 “
作为政府数据保护条例草案的一部分,詹姆斯表示,委员会将获得更多权力,以捍卫消费者利益,并为组织发出更高的罚款,最高可达1700万英镑或4%的全球营业额的最严重数据违约。该法案要求组织有适当的网络安全措施,以保护个人数据。“政府还在介绍卫生,能源和运输等部门的关键服务提供商中提高网络安全的条例,我们已经建立了世界领先的国家网络安全中心,作为制造英国之一的计划的一部分世界上最安全的地方在网上生活和做生意,“她说。
NCSC首席执行官Ciaran Martin说:“网络攻击可能会造成严重的商业损害和声誉危害,但大多数运动都不高度复杂。“通过以下简单的网络安全步骤删除基本缺陷,公司可以大大减少下降受害者的机会。我们的建议在NCSC的小型慈善机构和商业指南中以易于理解的方式列出。“
新统计数据也表明,在那些经历的违规行为中,大公司每年的平均攻击平均每年平均每年六个攻击。
较小的公司仍然经历了大量的网络攻击,五个微小企业中有两个以上(42%)在过去的12个月内识别至少一个违约或攻击,这可能会影响利润,减少消费者信心,政府报告说。
然而,调查显示更多的企业现在正在使用政府支持的行业支持的网络精华计划,该政府将其描述为展示如何防范网络威胁的“专家指导来源”。
该调查显示,近四分之三的企业(74%)和一半以上的慈善机构(53%)Rankcyber Security作为组织高级管理层的高度优先事项。
政府表示,组织在保护客户数据方面具有重要作用。敦促小企业和慈善机构从国家网络安全中心占据量身定制的建议。较大的企业和组织可以遵循致亨施安全的10个步骤,以实现管理网络风险的综合方法,防止攻击和数据泄露。
组织还可以提高其基本防御,并通过参加网络要点倡议并在经常更新的网络安全信息共享伙伴关系和NCSC网站上进行了经常更新的技术指导,大大减少攻击者的投资回报。
麦克菲首席科学家和麦克菲省首席科学家和研究员萨尔·萨曼(Raj Samani)说,这不幸的是,对政府倡议的认识和网络安全周围的沟通仍然很低。
“使用政府信息,建议或指导只有3%的人回忆起,大多数组织都没有意识到大多数举措,”他说。“鉴于84%的人使用政府资源的组织发现信息有用,很明显更多需要完成促进他们的使用。通过与领先的安全提供商如此丰富的信息和伙伴关系,必须促进和教育业务更多的是他们拥有的资源以及如何提供帮助。“
信息专员伊丽莎白丹恩说:“数据保护和网络安全携手并进:隐私取决于安全性。“随着新的数据保护法,一般数据保护规范(GDPR),在短短几周内生效,它比以往任何时候都重点关注网络安全。这就是为什么我们一直与文化,媒体和运动(DCMS)和NCSC一起合作,提供组织可以考虑保持数据安全的实用安全措施。“我们明白将有试图侵入系统。我们完全接受网络攻击是一个犯罪行为。但我们也认为组织需要采取措施保护自己免受犯罪分子。我鼓励组织将新规定作为专注于数据保护和数据安全的机会,“她说。敦促持有和处理个人数据的组织准备和遵循ICO的指导和部门常见问题解答。它为小组组织的专用咨询线路已收到超过8,000个电话,因为它于2017年11月开业,而GDPR指南已有超过一百万种意见。ICO还有一个GDPR清单,现在需要12个步骤来准备GDPR。
该调查还透露,较大的企业和慈善机构更有可能识别网络攻击,并且在持有个人数据的组织中,违规可能会发现违规行为以及员工使用他们的个人设备工作。
难以理解的是,调查数据显示,所有组织的大部分仍然无法获得基础知识。四分之一的慈善机构不更新软件或恶意软件保护,三分之一的企业不提供有关密码指导的员工,并且超过10个(11%)的大公司仍未采取任何行动来识别网络风险,如识别网络风险作为健康检查,风险评估,审计或投资威胁情报。
彼得塞特·埃斯特斯的副总裁彼得卡莱尔表示,虽然报告显示企业和慈善机构有一定的网络安全控制,但只有37%的企业加密个人数据,只有37%的企业慈善机构31%。“数据加密应被视为组织的最低安全级别,因为所有数据都将在任何类型的漏洞或泄漏中无用。
“根据我们的全球数据威胁报告,在过去的一年中,三分之一的组织遭遇了数据违约,并在一个月的时间里,在一个月的时间里,公司需要确保他们采取了措施保护所有人他说的数据或风险面临着毁灭性罚款。“
同样在Secureauth的欧洲首席安全架构师詹姆斯·罗姆尔(Secureauth)的詹姆斯·罗姆尔也可以通过完整的身份管理平台来解决许多威胁组织,并将身份访问控制与用户意识计划相结合。
“数据加密应被视为组织的最低安全级别,因为所有数据都将在任何违规或泄漏中无用的数据无用,”彼得卡莱尔,脚钉埃斯塞加“从报告中出现,企业和慈善机构没有正确确定实施战略身份解决方案作为改善网络防御的重要性。值得清楚的是,通过身份和凭证占大多数数据违规行为,更加了解和焦点需要进行全面的认证技术,以便在未来搭载组织的防御和防止网络攻击,“他说。
组织需要比仅仅是双因素认证,使用将数据孤独连接到创建全面的身份控制来进一步验证。“这些控件的一部分应该是实施适应性认证,将技术诸如地理位置分析,设备识别,基于知识产权声誉的威胁服务,以及电话欺诈预防有效地解决身份级别的威胁,”他说。
GREG日,欧洲奥尔托网络副总裁兼首席安全官员表示,该报告表明,从前几年发生了很少的变化。“虽然自上次报告以来存在一些积极的改进,但特别是更常规的高级级别参与,一般来说,它令人失望,因为几乎所有英国企业都依赖某种形式的数字沟通或服务,攻击频率正在爆发。
“企业获得基本卫生的重要卫生,否则您真的很重要,否则您只是将努力工作,客户数据和日常业务运营处于危险之中。我们需要建立问题是由于缺乏知识,技能或资源,还是三个组合。
“传统的网络安全心态创造了一个沉重的人类工作量,占用了资源。但我们现在看到了新的立法,利用了最先进的网络安全的概念,允许更大的自动化和效率。
“因此,企业需要考虑是否拥有现代,最先进的安全操作平台或组件的传统。对于资源匮乏的企业,网络安全行业已经开始为安全提供安全,因此没有内部技能的企业可以利用他人,“他说。
关于云安全的主题,日报表示,报告与Palo Alto研究,安全政策涵盖云计算只有59%的时间。“这种急于云端没有充分考虑到安全风险。我们从我们自己的研究中知道,尽管大多数网络安全专业人士(64%)说安全是他们通过公共云的首要任务,但不到一半的受访者非常有信心公共云中现有的网络安全工作井,他说,只有19%的人谈到那些我们对云服务的安全有正确的参与水平,“他说。
Days表示,可见性对IT安全至关重要,但对云的举动已经带来了多种供应商和安全性的新责任,这使得能见度更加努力。“我们的研究发现,只有10(13%)的网络安全专业人士仅限于10(13%)的人表示,他们能够在云中保持一致,企业级网络安全。如果我们看不到或理解什么好看起来,而且不能一致地应用于控制我们越来越数码的业务,那么我们应该期待未来的报告只会变得更糟。能力和机会在那里有改进 - 企业只需要带走它们。“
Verizon管理委托人的担任调查回应表示尤其值得注意,围绕所有违规行为与接受欺诈性电子邮件的工作人员有关,表明员工教育仍有很大的工作。
“员工的意识计划对于确保人员提供能力发现欺诈性电子邮件的能力并学会更加愤世嫉俗,以保持组织安全,因此这是五分之一的企业有一个培训,”他说。
亨茨曼安全产品管理头部的码头威尔逊表示,正如我们不让人们在没有获得许可证的情况下,每个未经训练的员工都可能构成威胁。“这应该是关于帮助员工了解为什么这些是必要的,忽视它们的后果。现在,太多人只是看到安全性,阻止他们从事工作而不是保持业务安全。在这种变化之前,安全将仍然是一个事后,我们将继续看到这样的报道。“
“员工的意识计划对于确保人员能够发现欺诈性电子邮件并学会更加愤世嫉俗,以保持组织安全,所以这是一个有关五个企业的一个担忧,其中五个企业就有这样的培训”Laurance Dine,VerizonRashmi Nickles,Field CTO在RSA安全上,令人担忧的是,尽管大多数索取网络安全的英国商人是高度优先事项,但不到三分之一的企业向董事会成员提供网络安全责任。“只有35%的雇用信息安全人员,网络安全培训计划非常稀缺,不到三个企业有一个安全政策。我们看到很多企业都没有惊讶。
“组织需要停止支付唇部服务,并开始将合适的人员,流程和技术提交,以管理对其业务的这种风险。安全和风险世界正在融合,组织迫切需要认识到网络安全是一个商业问题 - 假装无知,或者声称您的业务不受风险的不再是一个商业问题,因为五个英国企业所声称您的业务不存在风险今年。
“随着GDPR只是一个月之遥,组织正在为一个粗鲁的觉醒,因为本报告中概述的成本可能会在下一个月内飙升。企业根本无法等到违规行动,以便在重新开始安全。组织需要采取业务驱动的安全方法,在那里何地评估其最重要的资产和规模安全,以确保公司最重要的资产,例如IP和客户数据,通过分层安全,多因素认证,高级威胁来保护她说,检测和完全可见性,“她说。