Verizons DBIR 2025 versus dit bestyrelsesråd: Hvad de går glip af
Indholdsfortegnelse:
IT-chefer bliver i stigende grad inviteret til bestyrelsesmøder. Splunk-undersøgelse fra januar viste, at 83 % deltager nogenlunde ofte eller det meste af tiden, mens en lignende andel interagerer direkte med administrerende direktør. Alligevel siger færre end en tredjedel af respondenterne, at bestyrelsen omfatter et eller flere medlemmer med cyberekspertise. Det betyder, at ITSO'er muligvis taler uden rigtigt at blive hørt.
Verizons rapport om databrudsundersøgelser (DBIR) er en glimrende mulighed for at bringe tingene på plads. Den er fyldt med værdifuld indsigt i trusselsbilledet, der kan bruges som springbræt til strategiske samtaler. CISO'er, der ikke taler om disse tendenser i databrud på ledelsesmøder, kan være med til at udsætte deres organisation for databrud.
Et kommunikationsbrud?
Forskning viser os, at CISO'er i mange organisationer enten ikke taler bestyrelsens/virksomhedens sprog, eller at bestyrelsen ikke ønsker at lytte – eller begge dele. FTI Consulting-forskning afslører, at næsten en tredjedel (31%) af ledere ikke fuldt ud forstår de tekniske koncepter, som anvendes af CISO'er, og at over halvdelen (58%) af CISO'er har svært ved at formidle dette sprog på en måde, som den øverste ledelse kan forstå. En yderligere tredjedel af ledere hævder, at deres CISO'er er tøvende med at gøre dem opmærksomme på potentielle sikkerhedsproblemer.
Alligevel går problemet begge veje. Trend Micro-undersøgelse fra 2024 hævder, at fire femtedele (79%) af globale ITSO'er har følt pres fra bestyrelseslokalet for at nedtone alvoren af cyberrisici – ofte fordi de opfattes som "naggende" eller "alt for negative". En tredjedel siger, at de er blevet afvist blankt. Dette kan knyttes til en almindelig beskyldning: at bestyrelser stadig anser cyber for at være et anliggende for IT-afdelingen og ikke for virksomheden. Kun halvdelen (54%) af de ITSO'er, Trend talte med, sagde, at de er sikre på, at deres bestyrelse fuldt ud forstår organisationens cyberrisici – et tal, der knap nok har ændret sig på tre år.
"Bestyrelsen lytter, når cyberrisiko lyder som forretningsrisiko – det er sådan, man bevæger sig fra serverrummet til bestyrelseslokalet. CISO'er skal omsætte teknisk kompleksitet til forretningsrelevans," råder Mick Baccio, global sikkerhedsrådgiver hos Splunk SURGe.
"For at blive hørt skal de bygge bro over dette hul og definere cybersikkerhed som en forretningsmæssig drivkraft: ved at tilpasse sikkerhedsmålinger til indtægtsbeskyttelse, overholdelse af lovgivningen og kundernes tillid. Lige så vigtigt er det at opbygge uformelle relationer med bestyrelsesmedlemmer for at blive en betroet rådgiver, ikke blot en compliance-budbringer."
DBIR-brudstendenser at holde øje med
Hvis vi antager, at CISO'er kan få deres bestyrelses gehør, hvad skal de så være bekymrede for? Verizons seneste DBIR er baseret på en analyse af over 22,000 sikkerhedshændelser, herunder 12,195 bekræftede databrud. Den fremhæver flere bekymrende tendenser, herunder:
- En årlig stigning i "systemindbrud" fra 36 % til 53 % af databrud. Disse er mere sofistikerede angreb karakteriseret ved malware og hacking.
- Ovenstående fund er drevet af en stigning i ransomware-angreb, som steg i antal med 37 % siden sidste år og nu er til stede i 44 % af angrebene, på trods af et fald i det gennemsnitlige løsesumbeløb, der betales. SMV'er er uforholdsmæssigt hårdt ramt.
- 40 % af ofrene for ransomware fik stjålet virksomheds-e-mailadresser af infotyve.
- Misbrug af legitimationsoplysninger (22%), udnyttelse af sårbarheder (20%) og phishing (19%) var de primære angrebsvektorer for databrud.
- Generativ AI er en voksende risiko på to fronter: Syntetisk genereret tekst i ondsindede e-mails (dvs. phishing) er fordoblet i løbet af de sidste to år, mens 14 % af medarbejderne rutinemæssigt tilgår GenAI-systemer på deres virksomhedsenheder. Et flertal (72 %) brugte en ikke-virksomhedsbaseret e-mail som deres konto-id, hvilket antyder brug af skygge-AI.
- Menneskelig involvering i brud er fortsat høj, omkring 60 %, især misbrug af legitimationsoplysninger og social engineering.
- Der var en stigning på 34 % i udnyttelse af sårbarheder som en vektor for brud på angreb, især zero-day-angreb rettet mod perimeterenheder og VPN'er. Kun halvdelen (54 %) af sårbarhederne på perimeterenheder blev fuldt ud afhjulpet, og det tog i gennemsnit 32 dage at gøre det.
- Procentdelen af brud, der involverede tredjeparter, blev fordoblet til 30 %.
- BYOD er fortsat en trussel: 46 % af de systemer, der blev kompromitteret af infotyve med stjålne virksomhedslogin, var personlige enheder.
IT-chefer bør have samtaler om "risikorealisme" med deres bestyrelser på baggrund af disse resultater, siger Baccio.
"Hvis din kriseplan stopper ved din egen firewall, har du ikke en kriseplan." Verizons rapport er klar: Angrebsfladen er blevet udvidet, og angribere udnytter de menneskelige, tekniske og forsyningskædelag samtidigt. Direktører skal bevæge sig ud over at sætte kryds i felter og spørge: Hvor er vi virkelig mest sårbare?'" fortæller han ISMS.online.
"Risici fra tredjeparter og eksponeringer for edge-enheder skal behandles som trusler mod forretningskontinuitet, ikke kun IT-problemer. Bestyrelsen bør kræve regelmæssig scenarieplanlægning omkring misbrug af legitimationsoplysninger, ransomware-afpresning og insiderdrevne datalækager."
Trend Micros direktør for cyberstrategi, Jonathan Lee, argumenterer for, at rapporten bør være endnu et "wake-up call" til bestyrelser om behovet for at afstemme sikkerhedsstrategi med operationel robusthed.
"Vi behøver blot at se på de seneste højprofilerede hændelser, der har påvirket britiske detailhandlere, for at se de tabte indtægter, tabt fortjeneste og tabt omdømme, der kan følge et angreb. I nogle tilfælde kan et brud på sikkerhedsoplysningerne være en eksistentiel trussel mod en organisation. I en offentlig servicekontekst kan dette også have en reel fysisk indvirkning, såsom den kliniske skade, der blev forårsaget efter NHS' forsyningskædeangreb på Synnovis," fortæller han ISMS.online.
"Det er ikke tilstrækkeligt blot at anerkende, at disse risici eksisterer, og tilføje dem til et risikoregister. Hvorfor vente på, at et brud rammer din organisation? Er det ikke bedre at være proaktiv og forberedt i stedet for reaktiv og uforberedt på, hvis det værste sker?"
Brobygning med compliance-programmer
Best practice-standarder som ISO 27001 kan hjælpe her ved at give bestyrelser og sikkerhedsledere et fælles sprog og en risikobaseret tilgang til at forbedre cyberrobusthed.
"Compliance-rammer vil ikke stoppe alle angribere, men de vil forhindre kaos i din reaktion. Rammeværker som ISO 27001 og SOC 2 giver et fælles sprog og en fælles struktur til at afstemme cybersikkerhedskontroller med forretningsmål," siger Baccio fra Splunk.
"De tilbyder gentagelig, auditerbar dokumentation for risikostyring uden at være så præskriptive eller langsomme som reguleringsordninger som NIS2. Værdien ligger ikke kun i certificeringen, men også i den disciplin og klarhed, den bringer til cybersikkerhedsstrategi og -rapportering."
Trend Micros Lee siger, at disse standarder endda kan give en praktisk indgang til overholdelse af regler som NIS2 og den kommende britiske lov om cybersikkerhed og modstandsdygtighed.
"Udover at styrke forsvaret mod angribere demonstrerer en sådan tilgang også en forpligtelse til at opretholde høje sikkerhedsstandarder for din forsyningskæde og digitalt sammenkoblede partnere," konkluderer han.
"Ved at udnytte disse compliance-programmer kan ITSO'er bygge bro mellem cybersikkerhed og deres organisationer og sikre, at sikkerhedsforanstaltninger ses som en central del af deres organisations succes og modstandsdygtighed."
