Et år i overholdelse: Fem nøgletendenser fra 2024

Det har været endnu et år fyldt med hændelser for sikkerheds- og overholdelsesteams. Buffet af ransomware angreb, forsyningskæde og open source trusler, infotyvere, globale it-udfald, og meget mere, kæmpede mange for at holde hovedet oven vande. Da teknologisk innovation, især inden for kunstig intelligens (AI), accelererede i tempo, havde regulatorer også et travlt år. Men efterhånden som lovgivningsmandater hobede sig op, en vis sikkerhed professionelle indrømmet at mange nye regler er for svære at forstå og for tidskrævende at implementere. 

Dette er en bekymrende tendens, der sandsynligvis vil fortsætte, efterhånden som manglen på færdigheder bider sig fast. Men der er lys for enden af ​​tunnelen, hvis sikkerhedsteams kan finde en måde at optimere deres overholdelsesindsats gennem best practice-standarder som ISO 27001. Med det i tankerne er disse fem ting, vi lærte fra 2024. 

Australien bliver endelig seriøs omkring cybersikkerhed 

Det har været længe undervejs, men Australien fik endelig sit første stykke selvstændig cybersikkerhedslovgivning. Cybersikkerhedsloven er stadig på vej gennem parlamentet i skrivende stund, en ambitiøs ny lov, som lover at implementere syv nøgleinitiativer, der er skitseret i den albanske regerings nye Cybersikkerhedsstrategi. Det vil give mandat til indberetning af ransomware-betalinger og nye standarder for smarte gadgets, samt tilskynde blandt andet til informationsdeling med myndighederne. 

Eksperter siger at australske organisationer kan komme foran de sandsynlige nye krav ved at gennemgå deres nuværende sikkerhedspraksis, afgøre, hvor der er huller eller områder til forbedring, og følge en security-by-design tankegang. Noget skal helt sikkert ændre sig Down Under. Der var 483 meddelelser om databrud i anden halvdel af 2023, en stigning på 19 % fra første del af året, hvoraf de fleste (67 %) skyldtes ondsindede angreb. 

AI-trusler florerer, efterhånden som nye regler træder i kraft 

En af overskrifterne fra ISMS.online Status for informationssikkerhedsrapport 2024 er, at 30 % af de adspurgte oplevede angreb med deepfakes. Det sætter det lige bag social engineering og malware-infektion og er et vidnesbyrd om den forbløffende acceleration af teknologisk innovation i løbet af det seneste år. Som altid har regulatorer kørt for at indhente denne og andre AI-trusler mod virksomheder, forbrugere og samfundet.  

EU går ikke overraskende i spidsen for regulering med sin AI Act, hvilket vil påvirke britiske virksomheder, der ønsker at sælge til det indre marked. Det beskæftiger en risikobaseret tilgang som klassificerer AI-systemer i fire kategorier baseret på deres potentielle skade. De i højrisikokategorien vil kræve mest arbejde og kræver, at organisationer udfører grundige risikovurderinger, implementerer menneskelige tilsynsmekanismer og sikre, at AI-systemerne er sikre, pålidelige og gennemsigtige. Andetsteds Europarådets rammekonvention om kunstig intelligens er et bredt funderet, konvention på nationalstatsniveau designet til at løse eventuelle juridiske huller, der stammer fra hurtige AI-teknologiske fremskridt. Det er tilbage at se, om det har den ønskede effekt.  

USA tager en mindre praktisk tilgang til regulering, noget som sandsynligvis vil fortsætte med en ny Trump-administration. Men dette reguleringshul er udfyldes på statsniveau. Organisationer bør se på ISO 42001 som en nyttig guide til sikker brug af AI. Nye vejledningsdokumenter fra NIST (på modstridende trusler) og NCSC (til AI-udvikling) bør også hjælpe. 

IoT-producenter kommer under intens undersøgelse 

Internet of Things (IoT) systemer er på vej ind i alt fra fitnessbånd til smarte fabrikker. Men de repræsenterer også en potentielt betydelig sikkerhedsrisiko, da producenterne indtil nu ikke har haft nogen formelle regler for at påbyde minimumsstandarder for bedste praksis. Det har nu ændret sig med nye love på britisk og EU-niveau. Storbritannien var først til at slå med sin Lov om produktsikkerhed og telekommunikationsinfrastruktur (PSTI). Det kræver unikke og stærke adgangskoder til hver enhed og producentens sårbarhedsafsløring og sikkerhedsopdateringsprogrammer, som skal køre i et vist tidsrum.  

Selvom det er beskedent, bør det hjælpe med at forbedre IoT-sikkerhedsstandarderne i forbrugerområdet og kan blive forbedret med tiden. Men EU's Cyber ​​Resilience Act (CRA) er langt mere ambitiøs og vil være påkrævet for alle producenter eller detailhandlere, der håber at sælge forbruger-IoT-produkter på kontinentet. Det har et bredere anvendelsesområde og kræver en længere liste over sikkerhedskrav. Britiske virksomheder med ét øje på Europa bør opfylde PSTI's krav ved at fokusere på CRA. 

Ny britisk cybersikkerhedslovgivning er på vej 

I Storbritannien spildte den nye Labour-regering ingen tid i år med at udrulle meddelelse om nye cybersikkerhedsrelaterede love designet til at øge nationens modstandsdygtighed over for nye trusler. Den vigtigste er Lovforslaget om cybersikkerhed og resiliens, som vil opdatere NIS-reglementet. Specifikt vil det øge omfanget af den nuværende NIS-ordning "for at beskytte flere digitale tjenester og forsyningskæder", indføre obligatorisk ransomware-rapportering og give flere beføjelser til regulatorer - selvom præcis hvordan er uklart. Regeringen annoncerede også et lovforslag om digital information og smarte data, som i det væsentlige er en ny version af den originale lov om databeskyttelse og digital information, der har til formål at opdatere Storbritanniens GDPR-regime. Overholdelsesteams vil nøje følge enhver ny information om de foreslåede love næste år. 

De sidste måneder af den tidligere administration efterlod også masser for britiske virksomheder at tygge på, inklusive et foreslået ny adfærdskodeks til cyberstyring og nye regler designet til at forbedre sikkerhedspositionen i datacentre. 

Udbydere af kritisk infrastruktur har masser til at holde dem beskæftiget 

I EU stiller to nye love strenge krav til udbydere af kritisk infrastruktur. Den længe ventede deadline vedr NIS 2 implementering bestået i oktober. Det vil bringe et stort antal ekstra europæiske organisationer i anvendelsesområde, give mandat til et nyt sæt grundlæggende sikkerhedskrav og placere et nyt niveau af ansvar for hændelser på den øverste ledelse. Endnu en gang skal britiske virksomheder, der handler med Europa, overholde og de kan bruge bedst praktisere standarder som ISO 27001 for at hjælpe dem med at gøre det. 

I mellemtiden træder DORA (Digital Operational Resilience Act) i kraft tidligt i det nye år: 17. januar 2025. Den pålægger også et strengt nyt sæt regler, denne gang for finansielle servicevirksomheder og deres it-leverandører. Igen, ISO 27001 kan hjælpe ved at etablere de grundlæggende processer, der er nødvendige for at overholde krav inden for områder som hændelsesrespons, risikostyring, forsyningskæderisikostyring og modstandsdygtighedstest. 

En hjælpende hånd 

Efterhånden som virksomhedens angrebsflader udvides, trusselsaktører fortsætter med at kredse og regulatorer bliver mere krævende, truer sikkerheds- og compliance-teams med at blive overvældet af arbejdsbyrden. Det ser ud til at have en bekymrende virkning. Halvdelen (50 %) af de britiske virksomheder rapporterer at have oplevet en form for sikkerhedsbrud eller angreb inden for de seneste 12 måneder – stigende til 70 % af mellemstore virksomheder og 74 % af store virksomheder. Dette er en betydelig stigning fra henholdsvis 32 %, 59 % og 69 % i 2023. 

Best practice standarder og rammer er ikke et vidundermiddel. De kan dog gøre meget af det tunge løft, da mange af kravene i lovgivningen nævnt ovenfor deler de samme underliggende mål. Nøglen er at finde en udbyder, der er i stand til at accelerere og strømline denne overholdelsesbyrde midt i vedvarende kvalifikationsmangler. Heldigvis findes disse værktøjer.