navigering af cyberkompleksitet i en risikabel verden erfaringer fra wef banner

Navigering af cyberkompleksitet i en risikabel verden: erfaringer fra WEF

Cybertrusler kan være faldet lidt på liste over globale risici at se over de næste 2-10 år. Men ifølge World Economic Forum (WEF) er de fortsat en fremtrædende bekymring for virksomhedsledere. Som NGO'ens seneste Global Cybersecurity Outlook advarer, at opbygge effektiv modstandsdygtighed over for sådanne trusler bliver sværere i lyset af den eskalerende kompleksitet.

Fremover er nøglen for sikkerheds- og complianceprofessionelle ikke at genopfinde hjulet. Den bedste fremgangsmåde er at forstå trusselslandskabet og, hvad der er mest udsat i organisationen, og tage bedste praksis-trin for at afbøde denne risiko løbende og påviselig.

Hvad siger WEF?

WEF'er Global Risks Report 2025 er baseret på udtalelser fra 11,000 virksomhedsledere og risikoeksperter i den akademiske verden, erhvervslivet, regeringen, internationale organisationer og civilsamfundet. De rangerer "cyberspionage og krigsførelse" (forvirrende nok også inklusive ikke-statslige aktørangreb) på femtepladsen på listen over kortsigtede risici. Det er et fald fra fjerdepladsen sidste år, hvor kategorien fik navnet "cyberusikkerhed". Og med hensyn til langsigtet risiko over det næste årti ligger den på niendepladsen, ned fra den ottende.

Vi skal dog ikke læse for meget i denne lille nedprioritering. Det er også bemærkelsesværdigt, at "ugunstige resultater af AI-teknologier" er sjette på den langsigtede risikoliste. Disse "resultater" kan helt sikkert være påvirket af ondsindet cyberaktivitet såsom data-/modelforgiftning.

Mere interessant er den cybersikkerhedsspecifikke rapport udgivet af WEF i samme uge i sidste måned. Det advarer om et stadig mere komplekst cybersikkerhedslandskab drevet af:

Eskalerende geopolitiske spændinger

Disse påvirker næsten 60 % af de reagerende organisationer, hvor en tredjedel af administrerende direktører nævner cyberspionage og tab af følsom information/IP som væsentlige bekymringer.

Større integration af og afhængighed af mere komplekse forsyningskæder

Over halvdelen (54%) af organisationerne nævner dette som den væsentligste barriere for at opnå modstandskraft.

Hurtig indførelse af nye teknologier, der udvider angrebsfladen

To tredjedele (66 %) af de adspurgte hævder, at AI vil påvirke cybersikkerheden i de næste 12 måneder, men kun 37 % har processer på plads til at vurdere sikkerheden af ​​AI-værktøjer, før de bruges.

En voksende byrde for overholdelse af lovgivningen

Omkring 78 % af ledere i den private sektor siger, at cyber- og privatlivsbestemmelser effektivt reducerer risikoen, men to tredjedele af de adspurgte indrømmer, at kompleksiteten og det store antal krav er en udfordring.

Disse udfordringer forværres af en voksende kløften mellem cyberfærdigheder, hvilket gør risikoen sværere at håndtere sammen med mere sofistikerede cybertrusler. Omkring 72 % af de adspurgte siger, at cyberrisici er steget i det seneste år, hvor henholdsvis ransomware-angreb, forsyningskædetrusler og cyberaktiveret svindel indtager de tre øverste pladser.

Problemet med cyberresiliens

Det siges ofte (med rette), at selv den mest sikre organisation i sidste ende vil lide under en form for sikkerhedsbrud. Derfor er fokus for CISO'er i dag på cyberresiliens: evnen at "foregribe, modstå, komme sig fra og tilpasse sig" til disse begivenheder, så forretningsdriften kan fortsætte selv efter en alvorlig indtrængen. Så det burde give anledning til bekymring, at cyberresiliens forværres i mindre organisationer.

Ifølge WEF er procentdelen af ​​SMB-respondenter, der hævder utilstrækkelig modstandskraft, steget fra 5 % i 2022 til 35 % i 2025. Derimod er tallet næsten halveret fra 13 % til 7 % i samme periode for store organisationer. Ifølge rapporten hævdede 71 % af cyberlederne ved WEF Annual Meeting on Cybersecurity 2024, at små organisationer har nået et "kritisk vendepunkt", hvor de ikke længere kan sikre sig effektivt mod den voksende kompleksitet af cyberrisici.

Dette er vigtigt for organisationer af alle størrelser, fordi selv den største virksomhed kan have et væld af små forretningspartnere i sin forsyningskæde. WEF-rapporten fremhæver en "manglende synlighed og overblik" af leverandørers sikkerhedsposition som en ledende risiko. Leverandører kan i denne sammenhæng betyde alt fra en open source-bidragyder til en professionel servicepartner eller MSP.

Men mens 63 % af de adspurgte til rapporten nævnte "et komplekst og udviklende trusselslandskab" som deres vigtigste udfordring for at blive cyberresiliente, er den første – ofte uoverstigelige – hindring for CISO'er og deres bestyrelser at opbygge et økonomisk grundlag for flere investeringer i cyber. Eller som WEF udtrykker det: "Behovet for, at ledere kvantificerer cyberrisici og deres økonomiske konsekvenser for at bringe investeringer i overensstemmelse med kerneforretningens mål."

Kom godt i gang

Regulering er elefanten i rummet her. Selvom veldesignet lovgivning kan give et værdifuldt fokus for sikkerhedsteams i deres bestræbelser på at håndtere risiko, er det nuværende regulatoriske landskab blevet ekstremt udfordrende at navigere i. Tre fjerdedele (76%) af CISO'er på det tidligere citerede WEF-årsmøde rapporterede tilsyneladende, at "fragmentering af regler på tværs af jurisdiktioner i høj grad påvirker deres organisationers evne til at opretholde overholdelse". Dette lyder med ISMS.online Status for informationssikkerhedsrapport 2024, som afslører, at 65 % af de adspurgte oplever, at det hurtige tempo i lovgivningsændringer gør det sværere at overholde bedste praksis for informationssikkerhed.

Det er her, standarder og certificeringer kan hjælpe ved at levere det grundlag, som regulatoriske overholdelsesprogrammer kan bygges på. Da mange af disse regler kræver implementering af den samme underliggende bedste praksis, kan det også spare tid, penge og kræfter. Det er derfor, 59 % af respondenterne i ISMS.online-undersøgelsen hævder, at de planlægger at øge udgifterne til disse programmer i løbet af det kommende år.

Malachi Walker, sikkerhedsrådgiver hos DomainTools, hævder, at denne tilgang ikke kun vil hjælpe med at overholde lovgivningsindsatsen, men også kan skabe konkurrencefordele i form af berettigelse til flere kontrakter, effektivitet i sikkerhedsteamet og øget kundetillid.

"Bedste praksis-standarder som NIST CSF, SOC 2 og ISO 27001 lukker dette hul ved at give handlingsrettede og specifikke trin, som organisationer kan følge for at øge deres cyberresiliens," siger han til ISMS.online.

"Enhver organisation, uanset størrelse, kan begrænse adgangskontrol til følsomme data, udvikle og praktisere en hændelsesresponsplan og skitsere, hvilke områder i deres organisation der er mest sårbare. Hvis de nærmer sig overholdelse med disse tre trin i tankerne, vil compliance og cybersikkerhedsresiliens blive mere opnåelige."

Som WEF bemærker i sin rapport: "Tiden til at handle er nu".

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!