Ia adalah kira-kira 5,000 batu tetapi lompatan siber singkat dari Miami ke Solna, ibu pejabat rantaian Sweden Coop. Kedai runcit itu pada 2021 terpaksa menutup sebahagian besar daripada 800 kedainya selepas serangan siber terhadap syarikat teknologi yang berpangkalan di Florida, Kaseya, yang melalui pembekal IT Sweden berjaya mematahkan perniagaan Coop.
Itu hanyalah satu contoh akibat yang meluas dan merosakkan daripada serangan rantaian bekalan. Kerentanan rantaian bekalan telah muncul lebih dekat dengan rumah: serangan perisian tebusan tahun lepas ke atas perisian kesihatan dan penyedia perkhidmatan Advanced menyekat perkhidmatan GP di luar waktu dan menumbangkan sistem 111.
Satu kesimpulan, menurut pakar siber Jamie MacColl dari badan pemikir Institut Perkhidmatan Diraja Bersatu, ialah “takrifan infrastruktur negara kritikal kami tidak sesuai untuk tujuan memandangkan kerumitan rantaian bekalan moden”.
Menteri Pejabat Kabinet Oliver Dowden minggu ini berjanji untuk melihat melanjutkan peraturan ketahanan siber kepada perniagaan yang bekerja dalam infrastruktur kritikal dan mengeluarkan semua perniagaan dengan “amaran yang belum pernah berlaku sebelum ini” bahawa serangan siber oleh kumpulan yang berkaitan dengan Rusia semakin meningkat. “Perniagaan tidak boleh mengabaikan risiko siber secara melulu,” katanya.
Ramai yang mengabaikan mereka, walaupun. Realitinya mungkin tahap perlindungan siber sejagat yang dimandatkan oleh peraturan diperlukan — memandangkan bukti bahawa banyak perniagaan sama ada tidak tahu apa yang perlu dilakukan atau langsung tidak melakukannya.
Hampir satu pertiga daripada perniagaan UK dan satu perempat badan amal melaporkan pelanggaran atau serangan pada tahun lalu, menurut tinjauan kerajaan yang diterbitkan minggu ini. Tetapi di sebalik peningkatan aktiviti perisian tebusan, bilangan syarikat yang melaporkan penggunaan pertahanan siber asas seperti dasar kata laluan, tembok api rangkaian dan kemas kini perisian tetap telah menurun sejak dua tahun lalu.
Hanya tiga daripada 10 perniagaan menilai risiko siber dengan betul pada tahun lepas, manakala hanya satu daripada 10 menyemak risiko di pembekal terdekat mereka. Penyelidikan daripada Aviva tahun ini mendapati risiko siber telah ditolak ke bawah agenda bilik lembaga oleh isu seperti kebimbangan ekonomi dan kekurangan tenaga kerja.
Sudah tentu, banyak serangan adalah kecil dan tidak canggih. Tetapi langkah-langkah kebersihan siber peringkat permulaan adalah sama untuk pelanggaran kecil atau besar dan ia berfungsi: Pusat Keselamatan Siber Nasional, yang mempunyai panduan dan skim pensijilan untuk syarikat, berpendapat 90 peratus insiden boleh dicegah dengan mengikuti asas-asasnya.
Ia tidak berlaku. Syarikat-syarikat besar menunjukkan prestasi yang lebih baik secara menyeluruh dalam isu-isu ini. Tetapi kesedaran tentang standard amalan baik Cyber Essentials NCSC adalah rendah secara keseluruhan; hanya 20 peratus syarikat mempunyai kawalan dalam lima bidang utama (dan hanya 5 peratus mematuhi piawaian NCSC itu sendiri). Insurans siber, yang pengambilannya juga rendah (dan satu perlima daripada syarikat dalam penyelidikan kerajaan tidak pasti sama ada mereka mempunyai polisi atau tidak), juga telah gagal mendorong penggunaan yang lebih meluas bagi langkah-langkah ketahanan piawaian paya.
Mencari cara untuk mewajibkan tahap minimum yang boleh diterima untuk keselamatan siber, sambil meminimumkan kos, boleh menjadi langkah seterusnya, kata MacColl, yang menyatakan bahawa “kami telah mencuba begitu banyak pendekatan berasaskan pasaran sekarang dan ia tidak berfungsi”.
Kemustahilan untuk membuat garis yang kemas di sekitar perkhidmatan kritikal menyokong keperluan untuk peraturan asas yang meluas. Yang lain berpendapat bahawa langkah lebih tegas diperlukan untuk perniagaan besar, seperti “kegagalan untuk mencegah” tugas gaya yang memperuntukkan tanggungjawab yang jelas untuk bersaing dengan ancaman yang sentiasa berkembang dan memastikan bahawa langkah siber asas adalah lantai bukan siling untuk pertahanan korporat .
“Apa yang saya lihat di sekeliling saya ialah kekurangan pemahaman yang luar biasa oleh ketua eksekutif dan lembaga pengarah tentang apa sebenarnya ancaman ini,” Rupert Lee-Browne, bos syarikat pembayaran Caxton, memberitahu acara FT tahun lepas. Beliau berhujah bahawa semua syarikat perlu beroperasi seolah-olah mereka berada dalam persekitaran terkawal apabila melibatkan risiko siber dan bahawa “satu-satunya cara untuk melakukannya ialah dengan penguatkuasaan yang keras, jika tidak, ia hanyalah satu lagi kos yang mereka tidak mahu”.
Peraturan yang lebih ketat untuk infrastruktur negara yang kritikal akan dialu-alukan. Tetapi setiap pengendali yang canggih hanya selamat seperti perusahaan ibu-dan-pop dalam rantaian bekalannya, atau rantaian bekalan pembekalnya. “Perniagaan besar dan kecil berada di barisan hadapan pertahanan siber kami,” kata Dowden. Kemajuan setakat ini menunjukkan bahawa ia akan mengambil lebih daripada kata-kata tegas untuk menyokong medan pertempuran itu.
helen.thomas@ft.com
@helentbiz
