Longitudinalno istraživanje kibernetičke sigurnosti (CSLS) je višegodišnje longitudinalno istraživanje koje prati iste organizacije tijekom vremena. Cilj mu je bolje razumjeti politike i procese kibernetičke sigurnosti unutar srednjih i velikih poduzeća i dobrotvornih organizacija s visokim prihodima, te opseg u kojem se te organizacije mijenjaju i poboljšavaju tijekom vremena.
Također istražuje veze tijekom vremena između tih politika i procesa te vjerojatnost i utjecaj kibernetičkog incidenta kako bi se kvantificirale specifične akcije koje rezultiraju poboljšanim ishodima kibernetičkih incidenata.
Ovo je peta godina istraživanja i stoga je glavni cilj ovog izvješća utvrditi sve značajne promjene između četvrte godine iz presječnih podataka i istražiti longitudinalne podatke tijekom svih pet godina. Kvantitativno istraživanje provedeno je u razdoblju od lipnja do kolovoza 2025., a kvalitativni element u razdoblju od kolovoza do rujna 2025.
Odgovorna analitičarka je Emma Johns.
Svrha istraživanja
Svrha Longitudinalnog istraživanja kibernetičke sigurnosti (CSLS) je istražiti kako i zašto organizacije u Ujedinjenom Kraljevstvu mijenjaju svoje prakse kibernetičke sigurnosti te kako provode i poboljšavaju svoju kibernetičku obranu. Za vladu Ujedinjenog Kraljevstva, kreatore politika i tvrtke važno je razumjeti pokretače promjena, svijest o vladinim smjernicama i proračunska ograničenja. Također je važno analizirati odnos između mjera koje organizacije poduzimaju kako bi poboljšale svoju kibernetičku sigurnost i vjerojatnosti i utjecaja kibernetičkih incidenata, kako bi se pružio uvid u to kako i zašto organizacije mijenjaju svoje prakse kibernetičke sigurnosti.
Ovo izvješće obuhvaća nalaze iz petog vala višegodišnjeg istraživanja. Izvješće predstavlja analizu presječnih i longitudinalnih kvantitativnih podataka, kao i kvalitativnih podataka. I presječna i longitudinalna analiza uključuju usporedbe s prethodnim valovima istraživanja (Prvi val iz 2021., Drugi val iz 2022., Treći val iz 2023., Četvrti val iz 2024.). Gdje je relevantno, navedene su razlike između poduzeća i dobrotvornih organizacija ili veličine poduzeća.
Sudionici studije uključuju srednja (50-249 zaposlenika) i velika (250+ zaposlenika) poduzeća u Ujedinjenom Kraljevstvu te dobrotvorne organizacije s visokim prihodima (godišnji prihod veći od milijun funti). Istraživanje u glavnoj fazi petog vala provedeno je između lipnja i kolovoza 2025. Kvalitativni intervjui provedeni su između rujna i listopada 2025.
Presječna analiza prikazuje snimku poduzeća i dobrotvornih organizacija u usporedbi s prethodnim valovima. Ove snimke istražuju u kojoj su mjeri organizacije poduzele širok raspon aktivnosti kibernetičke sigurnosti u posljednjih 12 mjeseci od završetka istraživanja i kako se takve aktivnosti razlikuju ovisno o vrsti organizacije i veličini poduzeća.
Longitudinalni podaci istražuju stope promjena u dvije vremenske točke; Prvi intervju organizacije kao prva vremenska točka, a drugi intervju kao druga vremenska točka. To se ispituje kroz ključne varijable, kao što su prakse kibernetičke sigurnosti koje su organizacije usvojile, razine pridržavanja priznatih standarda, svijest o vladinim smjernicama i ograničenja resursa ili proračuna. Također uspoređuje promjene tijekom vremena između poduzeća i dobrotvornih organizacija te veličinu poduzeća.
Kvalitativna analiza triangulira kvantitativne podatke i pruža uvid u pokretače i prepreke promjeni ponašanja. Ovi intervjui istraživali su kibernetičke incidente, primjenu vladinih proizvoda, politike kibernetičke sigurnosti, procese kibernetičke sigurnosti, proračune za kibernetičku sigurnost i razumijevanje promjene ponašanja u kibernetičkoj sigurnosti.
Presječni, longitudinalni i kvalitativni rezultati integrirani su u svako poglavlje kako bi se dobilo dublje razumijevanje i objašnjenje kibernetičkih praksi, politika i promjene ponašanja. Daljnji detalji o metodologiji, tumačenju rezultata i ključnim nalazima mogu se pronaći u ostatku ovog izvješća i priloženom tehničkom izvješću.
Ključni nalazi
Iako se čini da je krajolik kibernetičke sigurnosti stalno promjenjiv i složen, poduzeća i dobrotvorne organizacije pokazuju varijabilnost u svojim politikama, procesima i ponašanjima u kibernetičkoj sigurnosti. Ključni nalazi izvješća su sljedeći:
- Rasprostranjenost i utjecaj kibernetičkih incidenata: Ovo istraživanje pita organizacije o njihovom iskustvu s incidentima kibernetičke sigurnosti. Iako bi se Istraživanje o povredama kibernetičke sigurnosti trebalo smatrati glavnim izvorom podataka o rasprostranjenosti incidenata kibernetičke sigurnosti, ovo istraživanje pokazuje da su incidenti kibernetičke sigurnosti i dalje vrlo rasprostranjeni u petom valu.
- Većina organizacija i dalje je doživljavala neki oblik kibernetičkog incidenta u petom valu (82% poduzeća, 77% dobrotvorne organizacije):
- Iz longitudinalnih podataka, više od polovice organizacija (54%) izvijestilo je o istom iskustvu s incidentima ili incidentima s utjecajima i ishodima u svakom trenutku. Na primjer, 52% organizacija koje nisu imale incident u prvom trenutku, također nije imao incident u drugom trenutku
- Više od trećine (34%) organizacija koje su doživjele incident s utjecajem i/ili ishodom u vremenskoj točki 1 zatim je doživjelo incident bez utjecaja i/ili ishoda u vremenskoj točki 2, što sugerira da je organizacija ili poboljšala otpornost kako bi smanjila utjecaje incidenta koji se dogodio u vremenskoj točki 2, ili incident nije bio toliko nametljiv da bi izazvao utjecaj ili ishod.
- Iako se može pretpostaviti da nedostatak incidenata odražava snažnu kibernetičku otpornost, taj se kapacitet ne procjenjuje u okviru ovog pristupa. Kao rezultat toga, organizacije bez prijavljenih incidenata tretiraju se kao da imaju nepoznatu sposobnost reagiranja i oporavka
Kibernetičke politike i procesi organizacija
Čini se da su tvrtke i dobrotvorne organizacije općenito sklonije proaktivnom pristupu kibernetičkoj sigurnosti nego reaktivnom, iako je varijabilnost ostala. Upravljanje dobavljačima i dalje je značajna slabost u organizacijskoj kibernetičkoj otpornosti.
Udio organizacija koje izvještavaju o pridržavanju Cyber Essentialsa značajno se povećao od četvrtog vala, i za tvrtke (30% naspram 23%) i za dobrotvorne organizacije (28% naspram 19%).
Organizacije su također češće izjavile da se pridržavaju barem jednog od glavnih standarda kibernetičke sigurnosti (Cyber Essentials, Cyber Essentials Plus, ISO27001) u vremenskoj točki 2 (31% dobitak naspram 20% gubitak). Organizacije koje su doživjele incident s opipljivim utjecajem ili ishodom češće su pokazale poboljšano pridržavanje svih pet kontrola Cyber Essentialsa u vremenskoj točki 2.
Nasuprot tome, organizacije koje su doživjele samo manje incidente ili incidente bez utjecaja nisu pokazale jasnu promjenu u pridržavanju, a ukupno pridržavanje u vremenskoj točki 2 nije bilo snažno pod utjecajem je li organizacija imala bilo kakav incident u vremenskoj točki 1. Dobrotvorne organizacije su i dalje češće imale registar rizika koji pokriva kibernetičku sigurnost nego tvrtke (78% naspram 64%).
Longitudinalni podaci potvrđuju ovaj trend; dobrotvorne organizacije su mnogo češće imale sklonost registru rizika tijekom Podaci iz 2. vala nego poduzeća
Više poduzeća i dobrotvornih organizacija izjavilo je da imaju posebne police kibernetičkog osiguranja, što vjerojatno odražava značajan pad odgovora „Ne znam“ o vrstama politika kibernetičke sigurnosti koje su na snazi od četvrtog vala.
Longitudinalno, 98% organizacija koje su imale specifično kibernetičko osiguranje u vremenskoj točki 1 imale su neki oblik police kibernetičkog osiguranja (bilo specifičnu za kibernetičku sigurnost ili unutar općeg osiguranja) u vremenskoj točki 2. To pokazuje da postoje minimalne fluktuacije tijekom vremena za one organizacije koje već imaju neki oblik police kibernetičkog osiguranja, za razliku od mnogih drugih praksi kibernetičke sigurnosti koje pokazuju veće fluktuacije tijekom vremena. Upravljanje lancem opskrbe ostalo je slabost i među dobrotvornim organizacijama i među poduzećima.
Longitudinalno, srednja poduzeća i dobrotvorne organizacije s vremenom su rjeđe formalno procjenjivale kibernetičku sigurnost dobavljača. Međutim, to je bilo vjerojatnije ako je organizacija imala incident ili incident s utjecajem i/ili ishodom.
Razumijevanje promjene ponašanja u kibernetičkoj sigurnosti
U petom valu, vanjski utjecaji poput raširenih izvješća o kibernetičkim napadima1 pojavili su se kao katalizatori za poticanje promjene ponašanja, bez obzira na to je li to utjecalo proračun, rasprave vodstva ili interne provjere kibernetičkih procesa i politika. Kibernetički incidenti koji su imali utjecaj i/ili ishod uglavnom su imali veći utjecaj na stanje kibernetičke sigurnosti organizacije od onih koji nisu imali nikakav incident ili su imali incidente bez utjecaja i ishoda.
Iz longitudinalnih podataka, ako organizacija nije doživjela nikakav incident u vremenskoj točki 1, nije bilo statistički značajnih obrazaca povećanih pozitivnih promjena u odnosu na negativne promjene, u usporedbi s onim organizacijama koje su doživjele incident (sa ili bez utjecaja i/ili ishoda).
To pokazuje općenito reaktivni pristup koji mnoge organizacije zauzimaju nakon incidenta, a ne proaktivni pristup. Iako organizacije ne mogu predvidjeti kada bi se kibernetički incident mogao dogoditi, čini se da su općenito svjesne sve veće prijetnje kibernetičkih napada. Međutim, nepredvidljivost kibernetičkih incidenata kao katalizatora promjena je zabrinjavajuća.
Vanjski utjecaji i pokretači promjena
Objavljeni kibernetički incidenti često su poticali dodatne provjere ili omogućavali financiranje, ali povećana svijest nije uvijek rezultirala opipljivom promjenom; neke su organizacije smatrale svoje sustave dovoljno sigurnima. Vanjski izvori informacija, poput izvješća o incidentima na razini cijelog sektora, obično su može se navesti kao motivacija za poboljšanje stanja kibernetičke sigurnosti (51% tvrtki u odnosu na 41% dobrotvornih organizacija).
Pojedinci su često navedeni kao slabe točke unutar većine organizacija. Prilagođena komunikacija pojavila se kao važan pristup utjecaju na promjenu ponašanja unutar organizacije. Organizacije su implementirale kontinuiranu obuku i redovite testove penetracije kako bi ojačale kibernetičku sigurnost, sigurnosne obrane i poboljšanje kibernetičkih praksi osoblja.
Svijest i spremnost osoblja široko su prepoznati kao primarne obrane od budućih napada, što je potaknulo veća ulaganja u edukaciju korisnika.
Proračun za kibernetičku sigurnost i uključenost uprave
Organizacije su s vremenom izvijestile o značajnom povećanju uključivanja kibernetičkog rizika. Međutim, to se nije uvijek prevelo u učinkovite kibernetičke proračune ili uključenost uprave, posebno za dobrotvorne organizacije. Kada bi organizacija doživjela incident koji je imao opipljiv utjecaj ili ishod, to je često potaknulo jače mjere kibernetičke sigurnosti, što je s vremenom rezultiralo većim poboljšanjima nego neuspjesima.
Više od jedne trećine organizacija (37% poduzeća, 36% dobrotvornih organizacija) izvijestilo je o povećanju proračuna u petom valu.
Međutim, dobrotvorne organizacije su češće od poduzeća prijavljivale svoje proračune za kibernetičku sigurnost kao nedovoljne i potencijalno ih ostavljajući izloženima u nekim područjima (10% dobrotvornih organizacija naspram 5% poduzeća). Uzdužno gledano, dobrotvorne organizacije su rjeđe prijavljivale česte rasprave uprave (češće od 6 mjeseci) od poduzeća tijekom vremena pri usporedbi pozitivnih i negativnih stopa promjena.
Velika poduzeća imala su dvostruko veću vjerojatnost da će se češće raspravljati s upravnim odborom, dok su dobrotvorne organizacije pokazale veću sklonost negativnim promjenama tijekom vremena (stopa promjene za velika poduzeća = 2,1, stopa promjene za dobrotvorne organizacije = 0,8).
To naglašava da iako su organizacije pokušale integrirati kibernetički rizik u šira poslovna područja, to se ne odražava na proračun dobrotvorne organizacije ili razinu uključenosti upravnog odbora. Dugoročno, u svim organizacijama postojala je manja sklonost pozitivnim promjenama u vezi s učestalošću obuke upravnog odbora.