Refleksion over 2023 Cybersecurity Trend Predictions: A Year in Review

Sidste år lavede vi forudsigelser om cybersikkerhedstendenser, der ville definere 2023. Nu, hvor året nærmer sig enden, er det tid til at se tilbage på disse prognoser og se, hvor vi havde ret, og hvor vi måske har misset målet.

Hvad der er meget klart er, at mens nogle tendenser holdt stik, tog andre uventede drejninger. Vores forudsigelse om, at forsyningskædeangreb ville fortsætte, var især sandt, som betydelige hændelser hos Capita, den britiske politistyrke og 3CX demonstreret. Som forventet blev fremkomsten af ​​IoT-enheder og reguleringen af ​​disse enheder også intensiveret.

Nogle tendenser, såsom presset på global harmonisering af dataregler, gik dog ikke så hurtigt frem, som forudsagt. Og adgangskodeløs autentificering, mens den vinder damp, er stadig ikke fuldt ud erstattet adgangskoder.

Dette blogindlæg vil revurdere hver tendens, vi forudsiger, og analysere, hvor tingene står i dag. Ved at gennemgå vores hits og misses sigter vi efter at give en ærlig vurdering af de cybersikkerhedstendenser, der betyder noget nu, og udstyre organisationer med den indsigt, der er nødvendig for at forberede sig til det næste år.

Trend 1: En privatlivs-første tilgang til informationssikkerhed

Sidste år forudsagde vi, at 2023 ville indlede en privatlivs-først tilgang til cybersikkerhed, primært drevet af en styrkelse af databeskyttelsesbestemmelserne på verdensplan. Denne prognose viste sig at være nøjagtig, da privatlivets fred blev en central overvejelse for politikere og teknologiske ledere.

Større platforme som Google skiftede virkelig mod privatlivscentrerede modeller - udfasningen af ​​tredjepartscookies i Chrome og lancering af Privacy Sandbox-initiativet understregede brugernes privatliv. Selvom de er ufuldkomne, repræsenterer disse ændringer et seismisk skift for reklameteknologiindustrien. Apple udvidede på samme måde sit privatlivs-push med yderligere opgraderinger til dets App-sporingsgennemsigtighed.

Det voksende kludetæppe af love om databeskyttelse tvang også organisationer til at prioritere privatlivets fred. 

Europa

GDPR fortsatte med at være benchmark for digitale rettigheder. 

Selv jurisdiktioner uden specifikke love følte sig presset til at tilpasse sig GDPR for at muliggøre datastrømme, med en betydelig indsats og tid brugt på at skabe databroer for at tillade data at overføre på tværs af geografiske grænser i overensstemmelse med kravene. 

Forenede Stater

Californien førte anklagen med en ændret lov om forbrugerbeskyttelse i Californien, der trådte i kraft i 2023. Andre stater, herunder Virginia, Colorado, Utah og Connecticut, har også vedtaget deres egne privatlivslove. 

På føderalt plan, Kongreslovforslag som Data Care Act og Online Privacy Act signalere et bredere skub for at etablere en national privatlivsramme.

APAC

I Kina er mere detaljeret indhold blevet rullet ud trin for trin under loven om beskyttelse af personlige oplysninger (PIPL) med fokus på eksportsikkerhedsvurderingsprocedurer og Standard Contractual Clauses (SCC'er) for dataeksport. og Indiens foreslåede lov om beskyttelse af digitale personoplysninger flyttede nålen i Asien. Mens de var i Australien, planlagde regeringen at revidere Privacy Act, med forskellige ændringer foreslået for at modernisere den og gøre den mere relevant i den digitale tidsalder

Denne udvidelse af privatlivslovgivningen på verdensplan gjorde overholdelse mere kompleks, men styrkede informationssikkerheden først og fremmest.

Vores forudsigelse omkring privatlivsrammer viste sig også sande. Vedtagelse af standarder som ISO 27001 og ISO 27701 accelererede, da organisationer søgte at systematisere deres privatlivsprogrammer. Disse rammer giver nyttige køreplaner til indførelse af databeskyttelseskontrol og formalisering af privatlivsstyring.

Mens der er gjort fremskridt, er privatlivslandskabet stadig under udvikling. Nogle love som PIPL udvikler sig langsomt, mens de er på plads, og mange virksomheder mangler stadig modne privatlivsprogrammer. Væksten i regler om beskyttelse af privatlivets fred og stigende brugerforventninger omkring datasikkerhed har imidlertid etableret privatlivets fred som en vigtig bekymring for cybersikkerhed og virksomhedsledere – dem, der ikke prioriterer det i 2024, risikerer at komme bagud med kolleger, regulatorer og forbrugere. En privatlivs-først tilgang er ikke længere valgfri, men grundlæggende for tillid og succes i den digitale økonomi.

Tendens 2: Global harmonisering af information, privatliv og dataregulering

Sidste år forventede vi et stigende momentum i retning af harmonisering af privatlivs- og dataregler på tværs af grænser. Hensigten var at strømline compliance for virksomheder, der opererer globalt, og forbedre interoperabiliteten. Kompleksiteten ved at forene forskellige juridiske rammer betød imidlertid, at fremskridtene på denne front var mere afdæmpede end forventet.

Nogle foreløbige skridt blev taget for at tilpasse reglerne internationalt. Initiativer som EU-US Data Privacy Framework fokuseret på at muliggøre transatlantiske datastrømme gennem fælles standarder. APEC fortsatte med at udvikle sit grænseoverskridende privatlivsregler for at bygge bro mellem jurisdiktionerne i Asien og Stillehavsområdet. Der er dog stadig betydelige kløfter mellem de store privatlivsordninger.

Den Europæiske Unions GDPR er fortsat den mest omfattende databeskyttelseslov på verdensplan. Bestræbelser på at påvirke andre jurisdiktioner i retning af GDPR-tilpasning har opnået blandede resultater. Love som Brasiliens LGPD tog udgangspunkt i GDPR, men andre regioner valgte skræddersyede regler. Og lande som Indien og Kina vedtog internetsuverænitetslove, der hævdede større digital kontrol.

Forskellige nationale interesser udgør en afgørende udfordring for harmoniseringen. Regeringer betragter ofte privatlivslovgivningen som at opretholde suverænitet og begrænse indflydelse udefra. Dette gør konvergens omkring et standardsæt af regler vanskelig politisk. Konkurrerende prioriteter omkring privatliv kontra økonomisk vækst hæmmer også konsensus.

Selvom væsentlig global harmonisering stadig er uhåndgribelig, kan organisationer stadig forberede sig på dette komplekse landskab. At følge anerkendte internationale standarder og rammer hjælper med at sikre grundlæggende overholdelse på tværs af jurisdiktioner. Investering i tilpasningsdygtige datastyringsprogrammer gør det muligt at tilpasse sig nye krav. Og overvågning af juridisk udvikling på tværs af målmarkeder er afgørende for at være på forkant med det udviklende regime.

Selvom vejen til harmonisering er lang, kan tilpasningen til de grundlæggende databeskyttelsesprincipper udvikle sig over tid. Men styring af overholdelse på tværs af forskellige regler vil sandsynligvis forblive virkeligheden i 2024.

Trend 3: En fremtid uden adgangskode forude

Sidste år forudsagde vi, at 2023 ville se en øget anvendelse af adgangskodefri godkendelse, da virksomheder forsøgte at forbedre sikkerheden og brugeroplevelsen. Denne tendens udspillede sig stort set som forventet.

Store teknologivirksomheder hjalp med at fremskynde den adgangskodeløse fremtid gennem højprofilerede implementeringer. Microsoft annoncerede login uden adgangskode for kommercielle Azure Active Directory-brugere, udnyttelse af FIDO-standarder for multi-faktor autentificering. Apple implementerede adgangsnøgler i iOS 16 og macOS Ventura som et sikkert alternativ til adgangskoder. Google, Facebook og andre udvidede også adgangskodefri udrulning.

Forbrugernes reaktion har stort set været positiv, da systemer uden adgangskode fjerner friktionen ved at huske legitimationsoplysninger. For en bredere virksomhedsadoption er disse systemer dog ofte parret med øgede krav til identitetsbekræftelse, der balancerer sikkerhed og brugervenlighed.

Vores forudsigelse om at integrere adgangskodefri godkendelse med nul tillid arkitektur og identitetsadgangsstyring holdt stik. Da organisationer søger at validere brugeridentiteter på tværs af netværk, enheder og miljøer, hjælper nul-tillidsprincipper med at beskytte adgangen. Værktøjer som single sign-on og adaptiv multi-faktor-godkendelse hjælper med at administrere logins og forhindrer samtidig genbrug af legitimationsoplysninger.

Adgangskoder eksisterer dog i mange systemer. Ældre applikationer og tjenester, der mangler moderne godkendelsesfunktioner, udgør barrierer for at blive fuldstændig uden adgangskode. Og omkostningerne ved eftersyn af ældre infrastruktur kan bremse implementeringen. Så mens momentum mod adgangskodeløs fortsætter, er adgangskodens død muligvis ikke helt her endnu.

I det kommende år forventer vi yderligere integration af adgangskodeløse systemer med lagdelt identitetsstyringsbeskyttelse. Organisationer, der er bekymrede over phishing-risici, kan først prøve adgangskodefri udrulning i områder med lav risiko. Og brugeruddannelse vil være afgørende, da adgangskodeløs repræsenterer et skift i årtier gammel login-adfærd. Men brugt fornuftigt kan strategier uden adgangskode og nul tillid tage identitetsstyring til næste niveau.

Tendens 4: Supply Chain-problemet fortsætter

Sidste år forudsagde vi, at cyberangreb i forsyningskæden ville intensivere, efterhånden som trusselsaktører søgte nye infiltrationspunkter. Desværre gik denne forudsigelse fuldt ud, med betydelige hændelser, der demonstrerede forsyningskædens fortsatte sårbarhed.

Adskillige højprofilerede virksomheder blev ofre for sofistikerede forsyningskædeangreb i 2023, inklusive BA, Boots og BBC, der blev overtrådt via deres lønselskabers brug af et filoverførselsværktøj ved navn MOVEit. Teknikgiganten Okta led også af et brud på over 5,000 ansattes data gennem en tredjeparts sundhedsudbyder. Og ransomware-bander målrettede i stigende grad administrerede tjenesteudbydere for at få adgang til deres kunder downstream.

Disse hændelser understreger risikoen for oversete svage led og over-tillid til partnere. Som svar fordoblede virksomhederne forsyningskædens cyberstrategier, ved at vedtage rammer som ISO 27001 og NIST for at etablere omfattende informationssikkerhedskontroller og -processer, der tager højde for tredjepartsinteraktioner; dette inkluderer implementering af regelmæssige sikkerhedsgennemgange for leverandører, prioritering af cloud-sikkerhed for at låse udbydermiljøer og pres på administrerede tjenesteudbydere til at demonstrere cyberparathed over for kunder.

Selvom det er positive skridt, er forsyningskædesikkerhed fortsat et igangværende arbejde for mange organisationer. Kulturskift tager tid, da dybt indgroet tillid mellem partnere ikke kan afvikles fra den ene dag til den anden. Men trusler vil fortsætte med at udvikle sig, hvilket betyder, at forsyningskæden ikke kan aftage.

Når vi ser fremad, forventer vi, at tredjepartsrisikostyringsprogrammer (TPRM) bliver allestedsnærværende på tværs af brancher. Cybersikkerhed vil i stigende grad indgå i indkøbsbeslutninger. Og tilsynet med leverandører vil strammes gennem revisioner og obligatoriske offentliggørelser. Selvom forsyningskædeproblemet ikke vil forsvinde i 2024, har virksomheder fornyet nødvendigheden af ​​at tackle disse vedvarende trusler.

Trend 5: Internet of Things (IoT) Risk Landscape

Sidste år forventede vi, at udbredelsen af ​​IoT-enheder ville udvide angrebsfladen for organisationer. Denne prognose blev bekræftet, da usikret IoT dukkede op som en akilleshæl i 2023 cyberhændelser.

Angribere målrettede konsekvent sårbare IoT-enheder for at få netværksadgang. Log4j-sårbarhederne i IoT-systemer blev udnyttet til at implementere kryptominere. Ubeskyttede IoT-enheder til sundhedspleje blev kompromitteret for at stjæle patientdata. DDoS-angreb udnyttede dårligt sikrede IoT-kameraer og routere til at overvælde ofrene.

Som svar vandt længe ventede IoT-sikkerhedsforskrifter indpas globalt i år. EU's lov om cyberresiliens vil påbyde grundlæggende IoT-sikkerhedsstandarder med start i 2024. USA, Storbritannien og andre forfølger lignende regler for at lukke IoT-sårbarheder. Disse love sigter mod at begrænse spredningen af ​​ikke-kompatible enheder.

På virksomhedssiden skyndte it-teams sig for at opgøre forbundne aktiver, opdatere IoT-enhedsfirmware og overvåge trafik på tværs af IoT-miljøer. Segmentering af IoT-netværk hjalp med at begrænse lateral bevægelse efter infiltration. Men for mange gjorde den ukendte og uadministrerede IoT-skala rettidig afhjælpning vanskelig.

Mens regulatorer og virksomheder arbejder på at håndtere risici, fortsætter IoT-integration med at sprede sig hurtigt. Gartner forudser, at der vil være over 30 milliarder IoT-enheder i 2025, op fra 11.4 milliarder i 2021. Denne massive udvidelse af IoT-landskabet vil udfordre selv de mest robuste enhedssikkerhedsregimer.

I 2024 forventer vi, at IoT-sikkerhedsstyring bliver et dedikeret fokusområde. Organisationer vil omfavne IoT-synlighed og få adgang til værktøjer til at regere i enhedens sprawl. Og flere virksomheder vil se på platforme, der forenkler aktivstyring og trusselsdetektion på tværs af komplekse IoT-økosystemer. Men at indsnævre denne stadigt bredere angrebsflade vil kræve en energisk og koordineret indsats.

Trend 6: Håndtering af kløften i cybersikkerhedsfærdigheder kreativt

Sidste år forudsagde vi, at kreative tilgange ville dukke op for at hjælpe med at håndtere manglen på cybersikkerhedsfærdigheder, der begrænser sikkerhedsteams. 

Da cyberroller forblev kronisk underbemandede, blev virksomhederne faktisk kreative med at hente talent, rekruttering fra tilstødende felter som IT, compliance og teknik for at få adgang til uudnyttede talentpuljer. Lærlingeprogrammer hjalp med at forme interesserede kandidater, der manglede direkte erfaring. Og at sætte fokus på blødere færdigheder til cyberroller tilskyndede til bredere ansøgerpuljer.

Outsourcing voksede også for at optimere processer og frigøre interne cyberressourcer. MSSP'er påtog sig outsourcet overvågning og respons for belastede sikkerhedsoperationscentre. Cloud-udbydere leverede administrerede sikkerhedstjenester for at reducere infrastrukturbyrder. Og konsulenter leverede specialiseret ekspertise til at udfylde videnhuller.

Outsourcing introducerer dog potentielle risici, som det ses ved større tredjepartsbrud, hvis det ikke håndteres tæt. Og virksomheder havde stadig brug for hjælp til at lande senior cybersikkerhedslederskab; et hul, outsourcing kunne ikke udfylde.

På vej ind i 2024 vil styring af cyberarbejdsstyrker fortsat være bydende nødvendigt. Træningsprogrammer, kreativ rekruttering og bedre ressourceudnyttelse gennem outsourcing vil sandsynligvis udvides. Der er dog fortsat akut mangel på avancerede cyberfærdigheder. Branchens afhængighed af overbebyrdet, men væsentligt sikkerhedspersonale vil fortsætte i en overskuelig fremtid. Løbende kreativitet og investering vil være afgørende for succes.

Key Takeaways: Vejen til stærkere cybersikkerhed

Hvis 2023 har lært virksomheder noget, er effektiv information og cybersikkerhed nu afgørende for virksomhedens succes. 

Visse tendenser som supply chain-angreb og IoT-sprawl accelererede klart som forudsagt. Men andre områder, som vedtagelse uden adgangskode og global regulering, bevægede sig mere gradvist end forventet. Alt dette understreger, at cybersikkerhed kræver smidighed og årvågenhed. Selvtilfredshed er farlig, når trusler forvandles så let. 

For at være på forkant skal organisationer overvåge tendenser løbende, ikke kun årligt. De bør afprøve nye løsninger forsigtigt, selv når løftet er stort. Investering i tilpasningsdygtige fundamenter som sikkerhedsrammer, risikobaseret sikkerhed og udvikling af arbejdsstyrke gør det muligt at dreje for at møde nye udfordringer.

Mens vi ser frem til 2024, kan du forvente mere volatilitet, fra geopolitiske spændinger, der driver statssponsorerede angreb til kvantecomputere og kunstig intelligens, der introducerer nye teknologiske risici. Samarbejde vil være kritisk, lige fra offentlig-private partnerskaber til partnerskaber mellem leverandører og økosystemer for at øge modstandskraften på tværs af indbyrdes forbundne forsyningskæder. Cyberrisiko er kommet for at blive, men vores kollektive indsats kan skabe et mere pålideligt digitalt økosystem, der balancerer fremskridt og beskyttelse.