6 cybersikkerhedstendenser, der vil påvirke virksomheder i 2024

Hvis 2023 har lært virksomheder noget, er det, at cyberrisici skal behandles med samme niveau af synlighed, styring, planlægning og ressourcer som andre væsentlige forretningsrisici såsom økonomiske forhold, juridiske forpligtelser eller driftsforstyrrelser.

Overskrifterne har været oversvømmet med historier om databrud og cyberangreb forårsaget af dårlige, uklare eller endda fuldstændig mangel på informations- og datasikkerhedsstyringsprocesser. Resultatet? Betydelige økonomiske tab, omdømmeskader og store bøder fra regulerende organer for den berørte organisation, deres leverandører og i nogle tilfælde endda enkeltpersoner.

Som reaktion på stigningen i cybertrusler er reglerne for cybersikkerhed og informationssikkerhedspraksis udbredt hurtigt. Bare i denne uge, EU annoncerede deres politiske aftale om AI-regulering, med andre regler såsom Cyber ​​Resilience Act og PSTI-lovforslaget (Product Security and Telecommunications Infrastructure), der slutter sig til etablerede regler såsom GDPR og NIS. USA har set en bekendtgørelse udstedt om cybersikkerhed og SEC-regulativer indført om offentliggørelse af brud. Alle disse gør det klart, at organisationer skal være i stand til at demonstrere bedste praksis for informations- og datasikkerhed og effektiv implementering på tværs af alle aspekter af deres virksomhed.

Givet hvor vi er nu, hvad har 2024 helt præcist i vente for virksomheder? Vi har set på seks nøgletrends, som vi tror vil dominere informations- og cybersikkerhedslandskabet i 2024 og opdelt dem nedenfor.

Trend 1: Stigende regulering af kunstig intelligens og maskinlæring (ML)

AI og machine learning (ML) er hurtigt blevet essentielle i erhvervslivet, optimerer beslutningstagning, automatiserer opgaver og giver indsigt, der overgår menneskelige evner. Dens udbredelse har udløst omfattende diskussioner om dens konsekvenser for virksomheder, enkeltpersoner, privatliv og digital sikkerhed.

I betragtning af disse systemers udbredte og autonome karakter, som i væsentlig grad påvirker forbrugernes, medarbejdernes og infrastrukturens velfærd, er der et kritisk behov for gennemtænkt regulering for at holde trit med deres udviklende kapaciteter. Kravet om gennemsigtighed, ansvarlighed, anti-bias-foranstaltninger og fejlkorrektionsmekanismer i AI-beslutningstagning er vokset gennem 2023. Efterhånden som AI udvider sig til højrisikoområder, vil denne tendens kun blive intensiveret.

Derfor vil 2024 være et skelsættende år for formaliseret AI-styring, der omfatter robuste love, industrirammer og virksomhedspolitikker. Lovgivere i Amerika, Europa og Asien er ved at udarbejde forslag, der pålægger AI-leverandører, -udviklere og -virksomheder moralske og juridiske forpligtelser. Det EU annoncerede deres politiske aftale om en AI-handling lige i denne uge. 

Mens internationale koncerner som IEEE og ISO allerede er ved at etablere omfattende, forenede standarder for sikker oprettelse, evaluering og implementering af ML-systemer på tværs af forskellige industrier og applikationer, som sandsynligvis vil blive offentliggjort i det nye år.

Vi forventer også, at det bliver normen at etablere bestyrelser til at overvåge ansvarlig AI-praksis, revisionsudviklingsprocesser og styre modelrisici i organisationer. Ved siden af ​​andre aktiviteter, såsom; 

• Etiske tjeklister til at hjælpe dataforskere med at skabe repræsentative datasæt og objektive algoritmer 
• Gennemsigtighedsklausuler for AI-modeludvekslinger og serviceintegrationer inkluderet i partnerkontrakter

Målet med at regulere AI er prisværdigt: Det er vigtigt at sikre, at AI-påvirkede beslutninger er retfærdige, og at virksomheder først implementerer automatisering efter fuldt ud at forstå og afbøde risici. Disse regler kan dog indføre yderligere kompleksitet og forsinkelser for AI-innovatorer og organisationer, der ønsker at bruge sådan teknologi.

Da politiske beslutningstagere og industriledere arbejder på at udnytte AI's produktive potentiale, mens de forebyggende adresserer potentielle ulemper, skal virksomhederne forberede sig på at demonstrere overholdelse både internt og over for deres kunder. Dette markerer fremkomsten af en ny fase i AI-udvikling: Fremskridt hurtigt, men med en øget ansvarsfølelse.

Trend 2: Stigende kompleksitet af Ransomware

Ransomware-angreb forventes at blive endnu mere udbredt og sofistikeret i 2024. Efterhånden som flere virksomheder digitaliserer deres operationer og gemmer følsomme data i skyen, vil ransomware-grupper sandsynligvis flytte deres fokus til at målrette mod skymiljøer og backup-datalagre for at maksimere udnyttelsen til afpresning.

En tendens i stigning er "dobbelt afpresning" ransomware-angreb. I disse ordninger krypterer angriberne data og eksfiltrerer følsom information fra ofrets systemer, som de derefter truer med at offentliggøre eller sælge online, hvis løsesummen ikke betales. Dette ekstra pres gør, at ofrene er mere tilbøjelige til at betale. Angribere kan endda bortauktionere de stjålne data til højestbydende.

Derudover etablerer ransomware-grupper ransomware-as-a-service (RaaS)-operationer og malware-tilknyttede programmer for at opskalere deres effekt. Disse ordninger giver letanvendelige ransomware-værktøjssæt til cyberkriminelle med begrænsede tekniske færdigheder for en del af overskuddet. Dette decentraliserer yderligere og spreder risikoen over flere angreb.

I betragtning af de stigende trusler vil vi muligvis se et reguleringsmæssigt skub omkring ransomware-resiliens i 2024. Reguleringer kan kræve, at organisationer: 

• Har hændelsesresponsplaner for ransomware-scenarier
• Vedligehold offline sikkerhedskopier af data 
• Gennemfør træning i cybersikkerhedsbevidsthed
• Implementere cyberforsikringer

De, der ikke overholder de udpegede bedste praksisser omkring forebyggelse og forberedelse af ransomware, kan risikere bøder eller andre handlinger. En sådan regulering giver imidlertid også udfordringer omkring implementering og håndhævelse på tværs af forskellige sektorer.

Vi vil sandsynligvis også se mere fokus på internationale partnerskaber, som f.eks International Counter Ransomware Initiative (CRI), for at "bryde ransomware-forretningsmodellen ved at samle politik, retshåndhævelse og operationelle agenturer globalt for at forstyrre ransomware og samtidig opbygge modstandskraft mod ondsindede cyberaktører".

Tendens 3: Udvidelse af IoT og associerede risici

Internet of Things-revolutionen er godt i gang. Gartner prognoser at over 33 milliarder IoT-enheder til virksomheder og biler vil blive brugt aktivt i 2024.

Alligevel giver denne overflod af tilsluttede enheder, mens den leverer effektivitet, også hackere rigelige nye angrebsvektorer til at udnytte. Mange IoT-systemer mangler stadig grundlæggende sikkerhedsbestemmelser som datakryptering, der stoler på, at netværkets perimeterforsvar er tilstrækkeligt. 

Forretningskritisk operationel teknologi (OT)-infrastruktur, der tidligere var isoleret på fabrikker, er nu forbundet med it-styringssystemer, hvilket udsætter skrøbelige industrielle kontroller for digitale trusler. Der findes få firmwareopdateringer til at korrigere sårbarheder i distribuerede IoT-enheder, fra kameraer til klinikinfusionspumper.

Især fremstilling, forsyningsvirksomheder og sundhedspleje skal nu reorientere it-sikkerhed omkring sikring af en ekspanderende angrebsflade fyldt med usikre enheder. Aktiviteter som: 

• Segmentering af netværk
• Aktiv overvågning af trafikken for uregelmæssigheder
• Kræver adgangskontrol
• Implementering af sikre datatransmissionsprotokoller 

Alle hjælper med at mindske de risici, som sammenkobling medfører.

Vi forventer at se flere organisationer tilpasse sig rammer som f.eks ISO 27001 i at tackle IoT-risici, da det kræver en struktureret vurdering af informationssikkerhedsrisici og beskyttelseskontroller tilpasset en organisations specifikke kontekst. Denne nul-tillid tilgang passer til udfordringerne ved IoT.

2023 har allerede set forsøg på at tackle informationssikkerheden og privatlivets fred for IoT-enheder med lovgivning som: 

• EU's lov om cyberresiliens
• US Cybersecurity Maturity Model Certification (CMMC) 
• US Consolidated Appropriations Act 
• Britisk lov om produktsikkerhed og telekommunikationsinfrastruktur 

Vi forventer, at standardiserede sikkerhedsbestemmelser som disse vil øges, og håndhævelsen bliver mere stringent i 2024, kombineret med industrialliancer for at skubbe stærkere IoT-beskyttelse, især for national infrastruktur. 

Uanset regulering og håndhævelse forventer vi, at virksomheder bevæger sig hurtigt for at modernisere forsvaret, da smart infrastruktur multiplicerer adgangspunkter for modstandere, og risikoen for forretningsdrift og succes bliver for betydelig til at ignorere.

Trend 4: Vigtigheden af ​​Zero Trust-arkitekturer

Brancheanalytikere forventer, at ingen tillidsrammer bliver formelle overholdelseskrav inden for finans-, regerings- og sundhedssektorer i 2025, da angreb afslører konventionelle forsvarssvagheder.

Arbejdsstyrkerne decentraliseres, infrastrukturen flytter til skyen, og brugere kræver adgang hvor som helst, hvilket øger antagelserne om, at klare sikkerhedsomkredse endda eksisterer længere. Alligevel er mange virksomheder stadig afhængige af velkendte, men porøse forsvar som VPN'er, firewalls og privilegerede netværksrettigheder for at beskytte kritiske data.

I stedet er der allerede modne cybersikkerhedsprogrammer vedtage nul-tillid arkitekturer som suspenderer implicit tillid, mens de strengt validerer hver bruger og system, der forsøger at få adgang, og vi forventer at se vedtagelsen af ​​tilgangen stige markant i løbet af 2024. 

Denne model verificerer identitet gennem stringent multi-faktor autentificering før du giver mindst privilegerede tilladelser. I stedet for generel netværksadgang begrænser mikrosegmenteringspolitikker strengt forbindelsen til autoriserede ressourcer. Det er afgørende, at nul tillid kræver kontinuerlig overvågning af brugeraktivitet og systemlogfiler med analyser for at identificere unormal adfærd, der indikerer trusler. 

Drivere, der skubber nul-tillidsprincipper fra bedste cybersikkerhedspraksis til væsentlige, omfatter hybrid cloud-adoption, fjernvækst i arbejdsstyrken og ældre perimeterbeskyttelse, der har vist sig at være utilstrækkelig mod sofistikerede angribere. Driftseffektivitet forbedres også ved at flytte en organisations sikkerhedsposition mod dynamiske, kontekstuelle adgangsbeslutninger frem for statiske netværksprivilegier.

Tidlig omstrukturering af sikkerhedssystemer gør det muligt for organisationer at styrke deres forsvar og fremme innovation. Implementering af rammer såsom ISO 27001 kan give en struktureret tilgang til at vedtage nul-tillid principper, der tilbyder et omfattende sæt af politikker og procedurer, der stemmer overens med de højeste standarder for informationssikkerhedsstyring. Dette hjælper med at sikre en systematisk og ensartet implementering af nul-tillid-arkitekturer, hvilket yderligere styrker en organisations sikkerhedsposition mod nye trusler.

Tendens 5: En mere global tilgang til regler og overholdelseskrav

Efterhånden som cyberangreb vokser i effekt og hyppighed, vil sårbare huller i dataforvaltning på tværs af industrier og geografiske grænser komme i regulatorernes trådkors for stærkere autoværn i 2024. 

Efterhånden som cyberangreb med grænseoverskridende konsekvenser stiger, indser regeringer verden over begrænsningerne af fragmenterede regler mellem jurisdiktioner. Mens mange lande har implementeret privatlivslovgivning og sektorspecifikke cybersikkerhedspolitikker lokalt, forårsager divergens hovedpine for multinationale organisationer. Strømlining af krav gennem internationalt samarbejde vil blive en prioritet for at tilpasse cybersikkerhedstilsyn globalt i stedet for gennem usammenhængende regler i 2024.

Overlappende regler skaber redundans omkring praksis som revision, træning eller vurderinger af underdatabehandlere. Innovationen går langsommere, da ingeniørteams får til opgave at fortolke vag juridisk terminologi. Og budgetter svulmer op, efterhånden som tekniske ressourcer omdirigeres mod overholdelsesrapporter.

Som svar forventer vi at se samarbejdsgrupper som International Organization for Standardization (ISO) og Global Privacy Assembly (GPA) arbejde endnu tættere sammen med virksomheder og regeringer i 2024 for at harmonisere grundlæggende cybersikkerhedsforventninger globalt omkring risikostyring, dataetik og hændelsesrespons. Strømlining kommer også fra unified assurance frameworks som ISO 27001 og NIST's cybersikkerhedsramme, som hundredvis af virksomheder allerede har udnyttet til at strukturere cyberprogrammer.

Vi har allerede set bevægelser i retning af globalisering af regler i 2023 til og med databroer som aftalerne mellem EU og USA og USA og Storbritannien, som er en integreret del af den bredere tendens til at udvikle en mere koordineret og harmoniseret tilgang til databeskyttelse og privatliv i en global sammenhæng. De hjælper med at tilpasse forskellige juridiske systemer, lette internationale datastrømme og sætte standarder, der kan påvirke global databeskyttelsespraksis.

At deltage i lederskabsgrupper på tværs af brancher, implementere strukturerede rammer globalt og overvåge lovforslag vil hjælpe virksomheder med at forberede sig på at demonstrere fremskridt. Manglende overholdelse ophører med at være en mulighed for at forvalte kritiske aktiver, da information omdefinerer business as usual.

Tendens 6: Større regulering af Supply Chain Security

Skærpede regler og sikkerhedsstandarder for tredjepartsleverandører vil komme i centrum i 2024, da organisationer erkender, at udvidede digitale forsyningskæder udgør en af ​​de vigtigste cyberrisici for organisationer.

Gennembrud af kunstig intelligens kan fange overskrifter, men mindre glamourøse trusler som f.eks softwareforsyningskædeangreb fortsætter med at udhule virksomheder indefra. Den alvorlige skade fra hændelser som SolarWinds og Log4j katalyserede ledelsens bevidsthed om tredjepartsrisici – men omfattende synlighed og kontrol på tværs af leverandørmiljøer forbliver uhåndgribelig for de fleste.

På vej ind i 2024 vil leverandører prioritere værktøjer og standarder, der hjælper med at styre udbyderrisici på tværs af partnerskaber. Omfattende softwarestykliste (SBOM'er), der katalogiserer komponentingredienser i købte platforme, vil blive mandat til føderale entreprenører som en del af præsident Bidens cyberbekendtgørelse. SBOM'er øger gennemsigtigheden for købere omkring kendte sårbarheder eller vedligeholdelseshuller på tværs af deres tekniske stak.

Flere industrier vil efterligne initiativer i bilindustrien, der certificerer sikre leverandørudviklingsstandarder baseret på testprocesser som OWASP-benchmarks. Strenge kodegennemgange, mindst privilegeret adgang og runtime application self-protection (RASP) er andre leverandørpålidelighedsforanstaltninger, der vinder indpas.

Efterhånden som partnerskaber mellem detailhandlere, sundhedssystemer og finansielle tjenester udvikler sig, vil delt ansvarlighed for cyberrisikostyring blive kodificeret til flere kontrakter. Betingelserne vil omhandle krav til synlighed i partneres angrebsflader, brudmeddelelser og adgangspolitikker. Organisationer, der mangler cybersikkerhedsparathed, kan se udbyderudsigterne svinde ind i et klima med fokus på modstandskraft.

I sidste ende skal leverandører og købere afstemme, at mens partnerskaber muliggør digital transformation og effektivitet, udvider de også angrebsgrænser. Proaktiv sikring af disse vejkryds via standarder, omhu og kontraktlige forsikringer bliver bydende nødvendigt, efterhånden som tredjeparter bliver integreret på tværs af operationer. Der er ingen perimeter, når dit netværk er alles netværk.

Planlægger cyberresiliens for en usikker fremtid

Som 2023 har bevist, gør omfanget og virkningen af ​​cyberangreb proaktiv sikkerhed til en ikke-omsættelig investering for organisationer snarere end en isoleret it-udgift. 

Cyberberedskab i 2024 kræver som minimum et fornyet fokus på styring af højrisiko AI-systemer, modstandsdygtighedsplaner for uundgåelige indtrængen og synlighed i leverandørkontrol. Det kræver sikring af eksponentielt større angrebsflader, da computing forlader traditionelle omkredse. Det nødvendiggør overvågning af tidlige politiske tiltag fra regulatorer, som ikke længere tolererer undgåelig uagtsomhed med hensyn til databeskyttelse eller hændelsesreaktion.

Men det vigtigste er, at virksomhedsbestyrelser skal stå i spidsen for en kultur, der er forpligtet til dataintegritet, etisk teknologisk praksis og kollektivt ansvar. Inddæmning af cyberrisici er afhængig af, at virksomhedsledere sætter et eksempel gennem dedikering af personale, budget og den opmærksomhed, sikkerhed fortjener, når de betros kundernes velfærd og levebrød.

Truslerne er komplekse, men overkommelige for dem, der indser, at cyberresiliens afhænger af koordinering snarere end isolation. Erfarne virksomheder vil forberede sig på turbulente tider ved proaktivt at opbygge partnerskaber, intern kapacitet og troværdige systemer, der er klar til sikkert at høste udbyttet af digital innovation.