Framsteg inom cybersäkerhet har stannat upp bland brittiska företag: Så här åtgärdar du det

Framsteg inom cybersäkerhet har avstannat bland brittiska företag: Så här åtgärdar du det

Av Phil Muncaster • 24 April 2025

Varje dag läser vi om skadan och förstörelsen som orsakats av cyberattacker. Bara denna månad, forskning avslöjade att hälften av de brittiska företagen tvingades stoppa eller störa digitala transformationsprojekt på grund av statligt sponsrade hot. I en idealisk värld skulle berättelser som denna filtrera igenom till seniort ledarskap, med fördubblade ansträngningar för att förbättra ställningen för cybersäkerhet. Ändå berättar de senaste rönen från regeringen en annan historia.

Tyvärr har framstegen avstannat på flera fronter, enligt den senaste Enkät om brott mot cybersäkerhet. En av få positiva saker att ta med sig från årsredovisningen är en växande medvetenhet om ISO 27001.

Större företag i hårkorset

Publicerad sedan 2016, är regeringens studie baserad på en undersökning av 2,180 50 brittiska företag. Men det finns en värld av skillnad mellan ett mikroföretag med upp till nio anställda och ett medelstort (249-250 anställda) eller stort (XNUMX+ anställda) företag.

Det är därför vi inte kan läsa för mycket i rubriken: en årlig minskning av andelen företag som totalt rapporterar en cyberattack eller intrång under det senaste året (från 50 % till 43 %). Till och med regeringen medger att fallet med största sannolikhet beror på att färre mikro- och småföretag identifierar nätfiskeattacker. Det kan helt enkelt vara så att de blir svårare att upptäcka, tack vare den skadliga användningen av generativ AI (GenAI).

Faktum är att andelen medelstora (67 %) och stora (74 %) företag som rapporterar säkerhetsincidenter är fortfarande hög. Och stora (29 %) och medelstora (20 %) företag är också mer benägna än företag totalt sett (16 %) att uppleva ett negativt resultat. Detta kan inkludera allt från förlust av åtkomst till filer och tredjepartstjänster till korrupta system, långsammare appar och stöld av personlig data och pengar. Dessutom är det mest sannolikt att stora företag rapporterar affärsstörningar som:

Kräver extra personaltid för att hantera intrång/attacker (32 % mot 17 % totalt)
Att införa nya säkerhetsåtgärder (26 % mot 18 %)
Avbrott i anställdas dagliga arbete (19 % mot 9 %)
Avbrott i service/varuleverans (8 % mot 3 %)
Ta emot kundklagomål (6 % mot 2 %)

Dessutom, medan 20 % av företagen totalt sett bedöms ha blivit offer för minst en it-brottslighet under de senaste 12 månaderna, stiger siffran till 43 % av medelstora företag och 52 % av stora företag.

Det bra och det dåliga

Den goda nyheten är att de flesta medelstora och stora företag har vidtagit viktiga åtgärder i var och en av NCSC:s bästa praxis 10-steg guide för att förbättra cybersäkerhetshållningen. Och andelen som har vidtagit åtgärder inom fem eller fler områden har ökat under det senaste året, från 80 % till 82 % för medelstora och 91 % till 95 % för större företag. Dessutom har cirka 95-100 % av dessa organisationer minst tre tekniska regler eller kontroller på plats med bästa praxis, såsom uppdaterat skydd mot skadlig programvara, nätverksbrandväggar, begränsade IT-administratörs-/åtkomsträttigheter, enhetssäkerhet och VPN.

Ändå döljer detta en utan tvekan mer berörande helhet. Till exempel:

Personalutbildningsprogram fanns på plats i 54 % av medelstora och 76 % av stora företag – liknande förra årets statistik.

Riskbedömningar av tredjepartsleverantörer genomfördes av endast 32 % av medelstora och 45 % av stora företag – jämfört med 28 % och 48 % förra året.

Insatsplaner fanns på plats i bara 53 % av de medelstora företagen och 75 % av de stora företagen (mot 55 % och 73 %).

Det verkar också finnas en brist på strategisk riktning och ansvarsskyldighet från högre ledning. Bara 70 % av de stora företagen (upp från 66 %) och 57 % av de medelstora företagen (ned från 58 %) har till och med en cybersäkerhetsstrategi. I alltför många stora företag sköts cybersäkerheten av IT-direktören (19 %) eller en IT-chef, tekniker eller administratör (20 %).

"Företag bör alltid ha ett proportionerligt svar på sina risker; en oberoende bagare i en liten by behöver till exempel inte utföra regelbundna penntester. Däremot bör de arbeta för att förstå sina risker, och för 30 % av stora företag att inte vara proaktiva i att åtminstone lära sig om deras risker är fördömande", hävdar Tom Kidwell, grundare av Ecliptic Dynamics.

"Det finns alltid åtgärder som företag kan vidta för att minska effekterna av intrång och stoppa attacker i sin linda. Den första av dessa är att förstå din risk och vidta lämpliga åtgärder."

Ändå har bara hälften (51 %) av styrelserna i medelstora företag någon som är ansvarig för cyber, och stiger till 66 % för större företag. Dessa siffror har varit i stort sett oförändrade i tre år. Och bara 39 % av företagsledarna på medelstora företag får månatliga uppdateringar om cyber, vilket ökar till hälften (55 %) av stora företag. Med tanke på hastigheten och dynamiken i dagens hotlandskap är den siffran för låg.

Var ska vi gå härifrån?

Ett självklart sätt att förbättra cybersäkerhetsmognad skulle vara att anamma efterlevnad av standarder för bästa praxis som ISO 27001. På denna front finns det blandade signaler från rapporten. Å ena sidan har det att säga:

"Det verkade finnas en växande medvetenhet om ackrediteringar som Cyber Essentials och ISO 27001 och på det hela taget sågs de positivt."

Påtryckningar från kunder och styrelseledamöter och "sinnesro för intressenter" sägs driva efterfrågan på sådana tillvägagångssätt, medan respondenterna med rätta bedömer ISO 27001 som "mer robust" än Cyber Essentials.

Men medvetenheten om 10 steg och Cyber Essentials minskar. Och mycket färre stora företag söker extern vägledning om cybersäkerhet än förra året (51 % mot 67 %).

Ed Russell, CISO affärschef för Google Cloud på Qodea, hävdar att ekonomisk instabilitet kan vara en faktor.

"I tider av osäkerhet är externa tjänster ofta de första områdena som möter budgetnedskärningar - även om det är ett riskabelt drag att minska utgifterna för cybersäkerhet", säger han till ISMS.online.

Russell hävdar att standarder som ISO 27001 avsevärt förbättrar cybermognad, minskar cyberrisker och förbättrar regelefterlevnad.

"Dessa standarder hjälper organisationer att etablera starka säkerhetsgrunder för att hantera risker och använda lämpliga kontroller för att förbättra skyddet av deras värdefulla informationstillgångar", tillägger han.

"ISO 27001 är utformad för att stödja ständiga förbättringar och hjälpa organisationer att förbättra sin övergripande cybersäkerhetsställning och motståndskraft allteftersom hot utvecklas och regelverk förändras. Detta skyddar inte bara den mest kritiska informationen utan skapar också förtroende hos intressenter – vilket ger en konkurrensfördel."

Cato Networks chefssäkerhetsstrateg, Etay Maor, håller med men varnar för att efterlevnad inte nödvändigtvis är lika med säkerhet.

"Dessa strategiska riktlinjer bör vara en del av en holistisk säkerhetspraxis som inkluderar mer operativa och taktiska ramverk, konstant utvärdering för att jämföra det med aktuella hot och attacker, intrångssvarsövningar och mer", säger han till ISMS.online. "De är ett bra ställe att börja, men organisationer måste gå längre än."

Phil Muncaster

Phil Muncaster har varit IT-journalist i 20 år. Han började som reporter på företags-IT-titeln IT Week 2005 och gick vidare till rollen som nyhetsredaktör innan han lämnade för att göra en frilanskarriär. Sedan dess har Phil skrivit för titlar som The Register, där han arbetade som Asienkorrespondent medan han var baserad i Hong Kong i över två år, MIT Technology Review, SC Magazine, Infosecurity Magazine och andra.

Läs mer från Phil Muncaster

Cybersäkerhet 9 April 2026

Minsta motståndets väg: Varför djupgående försvar är det bästa svaret på molnhot

Hotaktörer är påhittiga. När de upptäcker att en viss väg är blockerad ger de inte upp. Istället söker de helt enkelt ...

Phil Muncaster

Cybersäkerhet 2 April 2026

Cyberhot i en tid av ökade spänningar i Mellanöstern, vad brittiska IT-chefer kan förvänta sig, banner

Cyberhot i en tid av ökade spänningar i Mellanöstern: Vad brittiska ITSO:er kan förvänta sig

I värsta fall blir det inte mycket värre än att hela företaget raderar alla anslutna enheter. Ändå är det den verklighet som amerikanska medicinteknikföretag...

Phil Muncaster

Cybersäkerhet 17 mars 2026

NCSC vill att kritisk infrastruktur ska "agera nu": Vad innebär det?

Storbritanniens leverantörer av kritisk nationell infrastruktur (CNI) är på vakt. National Cyber Security Centre (NCSC) har ökat sin retorik...

Phil Muncaster

Framsteg inom cybersäkerhet har avstannat bland brittiska företag: Så här åtgärdar du det

Större företag i hårkorset

Det bra och det dåliga

Var ska vi gå härifrån?

Phil Muncaster

Relaterade artiklar

Minsta motståndets väg: Varför djupgående försvar är det bästa svaret på molnhot

Att uppfylla dataanvändnings- och åtkomstlagen med förtroende: Varför ISO 27001-, 27701- och 42001-slingorna levererar

Cyberhot i en tid av ökade spänningar i Mellanöstern: Vad brittiska ITSO:er kan förvänta sig

Läs mer från Phil Muncaster

Minsta motståndets väg: Varför djupgående försvar är det bästa svaret på molnhot

Cyberhot i en tid av ökade spänningar i Mellanöstern: Vad brittiska ITSO:er kan förvänta sig

NCSC vill att kritisk infrastruktur ska "agera nu": Vad innebär det?