Executive Insights: Status for informationssikkerhed i 2024

Jeg er glad for at kunne præsentere resultaterne fra vores seneste Status for informationssikkerhedsrapport, udført i partnerskab med det uafhængige markedsundersøgelsesfirma Censuswide. I år udvidede vi vores undersøgelse til at omfatte respondenter fra Storbritannien, USA og Australien, hvilket giver et virkeligt omfattende overblik over det nuværende informationssikkerheds- og overholdelseslandskab.

For mig understreger rapporten en afgørende udvikling inden for informationssikkerhed. Midt i de hurtige teknologiske fremskridt og skift i det globale forretningsmiljø fremhæver vores resultater informationssikkerhedens dybe indvirkning på virksomhedens modstandskraft og succes.

Rollen af ​​robust informationssikkerhedspraksis er gået fra at være en forebyggende foranstaltning til en grundlæggende drivkraft for virksomhedsvækst. Rapporten afslører, at organisationer, der dybt integrerer informationssikkerhed i deres operationelle etos, forbedrer deres forsvar mod cybertrusler og styrker deres markedsposition, hvilket i sidste ende opnår betydelige konkurrencemæssige og økonomiske fordele.

Kortlægning af dagens risikolandskab

Når jeg reflekterer over branchens udfordringer, er det klart, at nutidens IT-ledere er på vej ind i ukendt farvand. Pandemien og den efterfølgende økonomiske usikkerhed har fremskyndet den digitale transformation, men hver ny investering og partnerskab udvider vores digitale angrebsoverflade.

Efterhånden som forsyningskæder i stigende grad bliver livsnerven i global handel, øges deres sårbarhed over for cyberangreb, hvor cyberkriminelle ofte retter sig mod mindre leverandører for at infiltrere større organisationer. Vores undersøgelse viser, at 64 % af de adspurgte ser hyppigere sikkerhedsrisici i forsyningskæden, hvor 79 % har oplevet mindst én hændelse inden for det seneste år.

Denne virkelighed understreger, hvorfor 38 % af de adspurgte markerede håndtering af leverandør- og tredjepartsrisici som den største udfordring, deres virksomheder står over for, idet de indtager førstepladsen. Desuden var styring og sikring af IoT- og BYOD-enheder (30%) også placeret blandt de fem største bekymringer. Disse investeringer har en betydelig forretningsværdi, men denne værdi kan kun realiseres, hvis risici styres korrekt.

Overholdelse af et komplekst net af internationale og nationale regler var den næststørste udfordring, citeret af 33 % af informationssikkerhedslederne.

Effektiv risikostyring og compliance handler ikke kun om at undgå sanktioner. De er afgørende for at sikre integriteten og pålideligheden af ​​forretningsdriften, øge konkurrencefordele og skabe forretningsværdi. Strømlining af overholdelsesprocesser er afgørende for at være på forkant.

Cyberaktørernes nådesløse trussel

I takt med at risikolandskabet intensiveres, minder cyberkriminelles ubarmhjertige innovation os konstant om de sårbarheder, vi skal vogte os imod. I løbet af det seneste år var malwareinfektioner de mest rapporterede hændelser, især i teknologisektoren. Udbredelsen af ​​"as-a-service" malware-pakker har gjort det lettere for angribere at udføre komplekse angreb, hvilket fører til databrud og ransomware-angreb. Resultaterne spænder fra cryptocurrency-mining og netværksadgang til fuld systemkryptering og følsomme data eller tyveri af legitimationsoplysninger.

Sideløbende med disse voksende risici er social engineering fortsat en kritisk trussel, hvor 32 % af de adspurgte rapporterer hændelser. Sofistikeringen af ​​AI-drevne deepfakes er også særligt bekymrende, da de bliver mere udbredte i virksomheds-e-mail-kompromisordninger, og mere end 40 % af virksomhederne rapporterer at være påvirket af deepfakes, en stigning fra 0 % i 2023-rapporten.

Efterhånden som cybertrusler bliver mere sofistikerede, er det vigtigt at opretholde årvågenhed og løbende opdatere dine sikkerhedsstrategier. Undladelse af at håndtere disse trusler kan resultere i alvorlige konsekvenser, herunder betydeligt datatab, serviceafbrydelser og økonomisk skade og brandskade.

Databeskyttelsens kritiske rolle

Data forbliver uden tvivl en organisations mest værdifulde vare. Denne værdi er derfor Forskrifter som GDPR har sat så høje standarder for at beskytte og håndtere oplysninger sikkert. Det er også grunden til, at trusselsaktører er meget motiverede for at få adgang til disse data – hvad enten det er til bedrageri, afpresning eller strategiske formål.

Partnerdatabrud er de mest rapporterede, hvor 41 % af de adspurgte har nævnt sådanne hændelser inden for de seneste 12 måneder. Dette fremhæver de vedvarende risici, leverandører udgør, da disse data ofte er mindre godt sikret. Især er disse overtrædelser mere udbredte i teknologisektoren med 55 % end hos detailhandlere med 27 %.

Finansielle data var den næstmest kompromitterede type, 39 %, efterfulgt af aktiv, 34 %, kunde, 33), og produktdata, 32 %. Overraskende nok rapporterede kun 27 % af de adspurgte, at personlig identificerbar information (PII) kompromitteret på trods af at de var et almindeligt mål i ransomware-angreb. Denne datatype er særligt udsat i energi- og forsyningssektoren, 38 % og 35 % detailhandel.

Rapporten fremhævede, at forbedret medarbejderuddannelse og -bevidsthed har en positiv effekt. Den vedvarende brug af personlige enheder til arbejde uden ordentlige sikkerhedsforanstaltninger er dog fortsat en betydelig risiko. Organisationer skal fortsætte med at uddanne medarbejdere og håndhæve strenge sikkerhedsprotokoller for at afbøde disse trusler.

AIs dobbelte rolle i cybersikkerhed

AI er både en udfordring og en mulighed inden for cybersikkerhed. 76 % af sikkerhedsprofessionelle mener, at AI og maskinlæringsteknologi (ML) vil forbedre informationssikkerheden, og 64 % planlægger at øge deres budgetter i overensstemmelse hermed. Disse værktøjer kan faktisk hjælpe med at bygge bro over kvalifikationskløfter, automatisere trusselsdetektion og forbedre responstider, for at nævne nogle få fordele.

På trods af hypen omkring generativ AI (GenAI), rapporterede kun 26% af de adspurgte, at de havde taget nye teknologier som AI, ML og blockchain til sikkerhed i det seneste år. Dette er overraskende i betragtning af, at AI-applikationer inden for cybersikkerhed strækker sig langt ud over GenAI, hvor ML har været brugt i spamfiltrering og andre områder i årevis. Modviljen mod at engagere sig i nye projekter kan forklare, hvorfor kun 11 % ser styring og sikring af nye teknologier som en væsentlig udfordring.

Endnu færre respondenter, 7 %, er bekymrede over AI-privatlivsbrud, hvilket er ved at blive et nyt problem, efterhånden som organisationer integrerer GenAI i deres operationer. Højprofilerede hændelser, såsom Samsung-ansatte, der utilsigtet deler følsom information via GenAI-prompts, fremhæver risiciene. Forrester forudser betydelige databrud og reguleringsbøder for GenAI-brugere i 2024, understreger truslen om usikker kode genereret af disse værktøjer. Storbritanniens National Cyber ​​Security Center (NCSC) har også advaret om, at GenAI kan forværre ransomware-trusler ved at facilitere overvågning og social engineering.

Det regulatoriske landskab er dog under udvikling. Det EU's AI-lov holder alle AI-udbydere ansvarlige, der introducerer overensstemmelsesvurderinger for højrisiko AI-systemer. USA er afhængig af præsidentens udøvende ordrer, med potentielle føderale love på vej. Storbritannien signalerer også hensigt om at regulere brugen af ​​kunstig intelligens. Standarder som ISO 42001 vil være afgørende for organisationer at give forsikringer til tilsynsmyndigheder.

Selvom kun 13 % af de adspurgte i øjeblikket bruger informationssikkerhed og compliance for at øge den sikre indførelse af nye teknologier, forventes dette tal at stige, efterhånden som lovgivningsmæssige tiltag øges, og teknologibrugen bliver mere udbredt.

Forretningsværdien af ​​compliance

Historisk set har bestyrelseslokaler set overholdelse som et nødvendigt onde - et middel til at undgå bøder og dårlig omtale. Vores forskning afslører dog et markant skift i denne opfattelse. I Storbritannien er der en stigning i bøderne, hvor 26 % af de adspurgte får bøder mellem 250-500 GBP (op fra 21 % i 2023) og 35 %, der får bøder på 100-250 GBP (op fra 18 %). Selvom bøder er en faktor, er de kun en del af overholdelseshistorien.

Overholdelsesmotivation rækker langt ud over at undgå sanktioner. 34 % af de adspurgte ser overholdelse som afgørende for at bevare en konkurrencefordel, og en lige stor procentdel er drevet af stigende kundeefterspørgsel efter robuste sikkerhedsforanstaltninger. Beskyttelse af forretnings- (30 %) og kundeoplysninger (29 %) er også en vigtig motivator, mens 27 % ser overholdelse som afgørende for at komme ind på nye markeder og forsyningskæder.

Investering i compliance-programmer giver håndgribelige fordele, hvor 34 % af de adspurgte rapporterer forbedret omdømme som sikre og pålidelige enheder. 30 % har opnået omkostningsbesparelser ved at reducere cybersikkerhedshændelser, og 29 % har realiseret tidsbesparelser gennem mere effektive sikkerhedsprocesser. Compliance tiltrækker også investorer, der søger lavrisikovirksomheder (28 %) og hjælper med at strømline sikkerhedsinfrastrukturen (28 %), hvilket gør administrationen nemmere og billigere. Derudover har 26 % forbedret forretningsbeslutninger gennem sikre og pålidelige data, mens kun 19 % prioriterer overholdelse for at undgå bøder.

På trods af fordelene fortsætter udfordringerne. Næsten halvdelen (46 %) af de adspurgte rapporterede, at det tog mellem seks og 27001 måneder at overholde ISO 12. Yderligere 11 % siger, at det tog 12 til 18 måneder, og 5 % hævder, at det tog mere end halvandet år.

Denne tidslinje indikerer et behov for mere strømlinede processer og pålidelige compliance-partnere. Ved at udnytte erfarne partnere kan organisationer fremskynde overholdelsesindsatsen, reducere tilknyttede omkostninger og opretholde robuste sikkerhedsforanstaltninger.

Hvad er det næste for informationssikkerhed?

Det, der er klart, er, at organisationer fortsætter med at navigere i utallige trusler og regulatoriske krav, mens de driver betydelige forandringsinitiativer, ikke mindst AI's nye rolle. Overholdelse af best practice rammer og standarder handler ikke kun om at opfylde regulatoriske krav, men om at opbygge en robust og troværdig virksomhed.

På ISMS.online, vores forpligtelse er at støtte vores kunder i denne rejse, hjælpe dem med at strømline overholdelsesprocesser og sikre deres digitale fremtid. Når jeg ser fremad, er jeg overbevist om, at integrationen af ​​robust informationssikkerhedspraksis vil være afgørende for bæredygtig vækst og succes.

Jeg vil gerne takke alle de respondenter, der har bidraget til denne uvurderlige forskning. Hvis du gerne vil læse hele rapporten, kan du gøre det her: https://www.isms.online/state-of-infosec-24/