Az Egyesült Királyság kormányának Cyber Essentials rendszere idén lett tízéves, és jelentős hatást gyakorolt a szervezetek ellenálló képességére mindenféle méretű vállalkozás esetében, de a biztonsági szakértők figyelmeztetnek, hogy nem szabad csodaszernek tekinteni.

A Cyber Essentials rendszert 2014-ben indították el, hogy segítsen megvédeni a szervezeteket a leggyakoribb kibertámadásokkal szemben, és javítsa a kiberbiztonságot az Egyesült Királyság gazdaságában. Tíz évvel később egy ma közzétett kormányzati kutatási dokumentum szerint e célok egy részét sikerült elérni - a kis és nagy vállalatok esetében egyaránt.

A kutatás megállapította, hogy a rendszer hasznosnak bizonyult a kiberbiztonsági védelem biztosításában mindenféle méretű szervezet számára, beleértve a más rendszereket, szabványokat és akkreditációkat használó nagyobb szervezeteket is.

Megállapították továbbá, hogy a kezdeményezés szélesebb körű intézkedéseket, helyes gyakorlatot és magatartást ösztönzött az azt alkalmazó szervezetek körében. A kezdeményezést az ellátási lánc biztosításának részeként is aktívan használják a beszállítói kiválasztási folyamat tájékoztatására, a bizalom felkeltésére és az alapvető kiberhigiénia demonstrálására a szélesebb piac számára.

Az eredményeket kommentálva William Wright, a Closed Door Security vezérigazgatója elmondta, hogy a Cyber Essentials egyértelműen jelentős biztonsági előnyökkel jár.

„Az akkreditált vállalkozások egyértelműen kibertudatosabbak; felkészültebbnek érzik magukat a rutinszerű kibertámadások kezelésére, és magabiztosabbak a bevezetett ellenőrzésekkel kapcsolatban. Az is nyilvánvaló, hogy a szervezetek magabiztosabban lépnek partnerségre olyan beszállítókkal, amelyek rendelkeznek a Cyber Essentials akkreditációval, ami azt mutatja, hogy a tanúsítást a harmadik felek ellenálló képességének támogatására is használják” - jegyezte meg Wright.

Ugyanakkor Wright szerint a tanulmány felvethet néhány aggasztó „vörös zászlót”, különösen az adatok alapján, amelyek szerint a válaszadók 53%-a szerint a Cyber Essentials az egyetlen olyan külső biztosíték, amellyel a kiberbiztonságot biztosítják.

„Ha ezek a szervezetek csak a tanúsítás alapváltozatát kapják meg, ez nem lesz elég ahhoz, hogy megvédjék a rendszereiket a ma tapasztalható támadások nagy részével szemben” - mondta Wright. „A Cyber Essentials alapváltozata egy önértékelési kérdőív, amelyet aztán a Cyber Essentials értékelője megvizsgál, de mivel a válaszokat fizikailag nem ellenőrzik, nincs mód annak biztosítására, hogy a megadott adatok pontosak legyenek, vagy hogy az ellenőrzéseket megfelelően hajtották végre.” - tette hozzá.

Wright szerint azoknak a szervezeteknek, amelyek komolyan gondolják a kiberbiztonságuk javítását, törekedniük kell arra, hogy a Cyber Essentials Plus tanúsításon túlmutatóan, más alapelvekkel - többek között a NIST, a CIS Controls és az ISO 27001 szabványokkal - ötvözve működjenek.

„A szervezeteknek meg kell vizsgálniuk ezt az értékelést, hogy megértsék a Cyber Essentials által kínált előnyöket, de azzal is tisztában kell lenniük, hogy a tanúsítás önmagában, különösen az alapváltozat, nem elég a mai kifinomult támadások elleni védelemhez” - figyelmeztetett.