Fem cybersikkerheds- og overholdelsestendenser at se i 2025
Indholdsfortegnelse:
De seneste 12 måneder har igen lært os, at selvom teknologien fortsætter med at udvikle sig med nogle gange blændende hastighed, forbliver mange af makrotrends inden for sikkerhed og compliance uændrede. Så det bliver sandsynligvis i løbet af det kommende år. Mens kunstig intelligens og deepfake innovationer vil fortsætte med at opkvalificere og give nye muligheder for trusselsaktører, vil demokratiseringen af cyberkriminalitet, den voksende trussel fra statslige aktører og øget pres på udbydere af kritisk infrastruktur (CNI) forblive udæmpet.
Vi vil se, at nye love begynder at ramme bestyrelserne, og andre begynder at tage form, især i Storbritannien. Og vi vil se netværksforsvarere vende sig til nul tillid i større antal, efterhånden som forsyningskæderisikoen spiraler. Her er vores valg af fem nøgletrends, du skal være opmærksom på i 2025.
1. AI og dybfalske trusler væver stort
National Cyber Security Center (NCSC) advaret tidligere i år at AI "næsten helt sikkert ville øge volumen og øge virkningen af cyberangreb i løbet af de næste to år". Og der er ringe grund til at tvivle på den vurdering. Generativ AI (GenAI) vil især sænke adgangsbarrieren for spirende phishing-aktører og fremskynde angreb ved at gøre det hurtigere og nemmere at identificere værdifulde aktiver og sårbare enheder til udnyttelse.
GenAI vil også overlade den deepfake-trussel, som i en virksomhedssammenhæng kan betyde problemer for Know Your Customer-tjek, der er afhængig af biometri (ansigt, stemme), som nu kan spoofes med en høj grad af nøjagtighed. Vi kan også se flere BEC-lignende forsøg på at narre personalet til at foretage virksomhedsoverførsler med store penge, ved at bruge stemme eller video, der foregiver at udgive sig for at være den administrerende direktør eller lignende.
Trusselaktører vil forsøge at misbruge legitime tjenester som ChatGPT til at omgå indbyggede sikkerhedsrækværk og potentielt sælge sådan adgang som en tjeneste. Det relativt lille antal LLM-udviklere kunne tilskynde flere cyberkriminelle til at undersøge for sårbarheder som disse og andre.
Imidlertid vil AI også hjælpe cybersikkerhedssamfundet, med sikkerhedsoperationsanalytikere (SecOps) i stand til at arbejde hurtigere og mere produktivt takket være GenAI-assistenter. GenAIs evne til at skabe syntetisk indhold vil hjælpe teams med at træne deres sikkerhedsværktøjer og brugere mere effektivt, mens dets talent for at gennemtrawle store datasæt for usædvanlige mønstre vil fortsætte med at hjælpe med trusselsdetektion og -respons. Faktisk 61% af globale mener organisationer nu AI skal være afgørende for effektiv, proaktiv trusselsrespons.
2. CNI under voksende pres
CNI-udbydere har altid været populære mål for angreb. Men modige statslige aktører, cyberkriminelle med gode ressourcer og et stadig mere skrøbeligt geopolitisk miljø er særlige årsager til bekymring, når vi går ind i 2025. Organisationer, der har undladt at implementere den bedste praksis påbudt af NIS 2 og dets tilsvarende i Storbritannien, kan være i stor risiko.
Forvent at se flere flerårige, meget sofistikerede kampagner som f.eks Volt tyfon og opportunistiske angreb fra ransomware og hacktivistgrupper, der ønsker at tjene penge og/eller et navn til sig selv. Historiske underinvesteringer i Storbritannien har ført til nogle chokerende afsløringer om dårlig sikkerhedsstilling på som Sellafield og Thames Water. Disse bliver helt sikkert ikke de sidste.
3. Storbritannien følger cybersikkerhedslovene
Der er meget klar til at ske i Storbritannien ud fra et lovoverholdelsesperspektiv i 2025, som to væsentlige love nær vedtægtsbøgerne. Lovforslaget om cybersikkerhed og modstandsdygtighed vil opdatere Network and Information Systems Regulations 2018 (NIS Regulations). Selvom det er mindre ambitiøst end EU's bestræbelser på at gøre det, bør NIS 2 indføre meget tiltrængte bestemmelser. Disse omfatter udvidelse af lovens anvendelsesområde til flere sektorer, forbedring af forsyningskædesikkerheden og påbud om hændelsesrapportering, især for ransomware. Regeringen ønsker også at styrke reguleringsbeføjelserne, herunder muligheden for proaktivt at undersøge sårbarheder og opkræve gebyrer fra regulerede organisationer.
I mellemtiden er lovforslaget om digital information og smart data reelt en opdatering af den tidligere regerings Lovforslaget om databeskyttelse og digital information (DPDI). og lover en opfriskning af GDPR. Det håber at reducere overholdelsesomkostninger for virksomheder, strømline datadeling og fremskynde innovation inden for digital identitet. I henhold til den anden lovforslag vil den styrke beføjelserne til Information Commissioner's Office (ICO), hvilket igen kan lægge større pres på compliancepersonalet.
4. C-suiten tager kontrol over cyber
Dette har været længe undervejs. Men de nye krav i SEC's regler for offentliggørelse af cybersikkerhed og i NIS 2 vil lægge større ansvar på bestyrelser for at forstå cyberrisiko. I tilfælde af EU-direktivet skal den øverste ledelse underskrive foranstaltninger til styring af cyberrisiko, føre tilsyn med deres implementering og deltage i specialiseret sikkerhedsuddannelse. De vil også blive holdt personligt ansvarlige af tilsynsmyndigheder i tilfælde af grov uagtsomhed og forsætlig forsømmelse. SEC kræver i mellemtiden nu, at børsnoterede virksomheder offentliggør årlige afsløringer om deres cyberrisikostyringsstrategi og -styring, samt beskriver bestyrelsens tilsyn med cyberrisici, der stammer fra trusler.
Lignende foranstaltninger til at øge ansvarlighed og gennemsigtighed på øverste ledelsesniveau vil gøre deres vej ind i et stigende antal nye love i 2025, herunder EU's Digital Operational Resilience Act (DORA). Den giver mandat til, at bestyrelser "definerer, godkender, fører tilsyn med og er ansvarlige for implementeringen af alle arrangementer relateret til IKT-risikostyringsrammen." Disse tiltag kan sætte større kontrol med CISO's rolle, men bør i det mindste gøre det lettere at få bestyrelsens øre, når man diskuterer spørgsmål om cyberrisiko.
5. Nationalstats- og cyberkriminalitetslinjer fortsætter med at sløre
På baggrund af stigende geopolitisk risiko er en langvarig tendens, vi vil se blive mere udtalt i 2025, krydsningen mellem nationalstats- og cyberkriminalitetsaktivitet. Microsoft nævnte dette i sit årlige Digital Forsvarsrapport for nylig advaret om, at ikke kun statslige aktører (dvs. Iran og Nordkorea) i stigende grad er økonomisk motiverede, men at nogle (f.eks. Rusland) bruger TTP'er for cyberkriminalitet og endda outsourcer nogle operationer til kriminelle bander. Vi kan også se hacktivistgrupper fortsætte med at skifte ud over DDoS-angreb for at tage potshots mod opfattede fjendens 'mål' i Vesten med ransomware, dataafpresning og destruktive angreb, som NCSC har allerede advaret.
CNI-virksomheder kunne være først i skudlinjen, da et forstyrrende angreb ville have en overordnet indvirkning på befolkningen. Som nævnt er de også ofte nogle af de mindst velbeskyttede mål, med en lav tolerance for udfald, hvilket gør dem til en ideel kandidat til ransomware.
Alt dette betyder, at cybersikkerheds- og compliance-professionelle vil have mere travlt end nogensinde i 2025. Heldigvis vil bedste praksis-standarder som ISO 27001 fortsat være med til at give et solidt grundlag for at klare disse og mange andre udfordringer, der skal dukke op i 2025. Men det kunne være en ujævn tur.
