Et år med overholdelse af regler: Fem ting vi lærte i 2025

De seneste 12 måneder har endnu engang bevist, at cybersikkerhedslandskabet sjældent er mangelfuldt med hændelser. Store sikkerhedsbrud har kostet organisationer milliarder af pund, da trusselsaktører har finpudset deres taktikker og nådesløst målrettet fokuseret på menneskelige svagheder. Adoptionen af ​​AI begyndte for alvor blandt mange virksomheder og udvidede deres angrebsflade, ligesom AI-drevne teknologier gav modstandere et boost. Og hele tiden voksede compliance-byrden, da regulatorer gjorde deres bedste for at kræve forbedret cyberrobusthed på tværs af forsyningskæder.

Lad os se på fem ting, vi lærte i 2025:

Nye regler spreder sig

Overholdelsesfristerne kom hurtigt efter hinanden i løbet af de sidste 12 måneder. Først kom Digital Operational Resilience Act (DORA) – en EU-indsats for at beskytte regionens finansielle servicesektor. Afgørende er det, at DORA stiller nye krav til risikostyring, testning og hændelseshåndtering, ikke kun for de finansielle aktører selv, men også for deres IT- og andre driftsleverandører. har til formål at harmonisere love på tværs af blokken, hvilket forbedrer den grundlæggende sikkerhed ved at holde ledende medarbejdere personligt ansvarlige for manglende overholdelse – hvilket påvirker anslået 22,000 virksomheder i regionen.

Som kritisk infrastruktur havde sektoren brug for denne form for regulering. Cyberhændelser i de seneste to årtier har forårsaget globale finansvirksomheder direkte tab på 12 milliarder dollars ifølge IMF. Alligevel stod det efter seks måneder klart, at overholdelse af reglerne langt fra var ligetil. En undersøgelse offentliggjort i løbet af sommeren viste, at kun halvdelen af ​​de adspurgte organisationer havde indarbejdet DORA's krav i deres bredere resiliensprogrammer. Og et flertal havde endnu ikke nået DORA's standarder for resiliens.

Andre steder steg compliance-byrden med ændringer til EU's cybersikkerhedslov (CSA) for at pålægge certificeringsordninger for administrerede sikkerhedstjenester. Regeringen vedtog en længe ventet opdatering til den britiske GDPR: Data (Use and Access) Act, som skal bidrage til at reducere bureaukrati, forbedre sikker datadeling og gøre det lettere at bruge data ansvarligt.

I mellemtiden har en det nye NIST-cybersikkerhedsrammeværk vil udvikle standarden for at gøre den mere aktuel og formålstjenlig – især i forbindelse med AI-udvikling og automatiseret beslutningstagning.

Modstandsdygtighed er i centrum

Én ting, som mange af ovenstående love og reguleringsordninger har til fælles, er målet om at forbedre cyberrobustheden. Opsigtsvækkende hændelser, såsom store forsyningskædeproblemer afbrydelse i flere europæiske lufthavne, og et ugelangt ransomware-udbrud kl. Storbritanniens største bilproducent vis os, hvorfor regulatorerne bevæger sig i denne retning. Ifølge en WEF-undersøgelse i år viser over halvdelen (54%) af de globale organisationer identificerer udfordringer i forsyningskæden som deres største barriere for at opnå cyberrobusthed.

Dette er heller ikke kun et IT-problem. En Dragos/Marsh McLennan indberette fra august hævdede, at OT-risikoen kunne koste organisationer mindst 330 milliarder dollars årligt.

Derfor opfordrer organisationer som National Cyber ​​Security Center (NCSC) til handling. agenturet sagde halvdelen (48 %) af de hændelser, som dens Incident Management-team reagerede på i løbet af det seneste år, var "nationalt signifikante", mens antallet kategoriseret som "meget signifikant" steg med 50 %. Ordet "modstandsdygtighed" nævnes 139 gange i den seneste årlige gennemgang af NCSC. Desværre er grundlæggende sikkerhedskapaciteter er fladlinjede eller at man ikke kan nå at nøje kompetencer som personaleuddannelse, risikostyring hos leverandører og håndtering af hændelser, ifølge regeringens egne tal. Det er en del af grunden til, at det endelig fremsat lovforslaget om cybersikkerhed og modstandsdygtighed i november.

Mange brud rammer kunderne hårdt

I alt for mange store organisationer er sikkerhed stadig isoleret fra IT-afdelingen i stedet for at blive set som en vækstfaktor. Håbet er, at regler som dem, der er nævnt ovenfor, vil begynde at ændre opfattelsen i bestyrelseslokalet. I mellemtiden har IT-chefer en voksende mængde beviser, der understøtter deres anmodninger om finansiering, i takt med at store cyberhændelser fortsat rammer.

Den førnævnte forstyrrelse i Heathrow Lufthavn er et godt eksempel. Det skete efter et ransomware-brud hos check-in-softwareleverandøren Collins Aerospace, hvilket resulterede i ugevis lange forsinkelser i nogle europæiske lufthavne. ransomware angreb på den britiske hovedgade detailhandlere M&S og Co-op Group kostede virksomhederne hundredvis af millioner i direkte omkostninger og tabt salg og kan have ødelagt hårdt tilkæmpet kundeloyalitet.

Hvis bestyrelser og ledende medarbejdere ikke finder en sammenhæng mellem cyberrobusthed, forretningspræstationer og langsigtet brandværdi, vil deres konkurrenter helt sikkert gøre det. En Sophos-undersøgelse i år viste, at Storbritannien er noget af en global outlier. Omkring 70 % af ofrene for ransomware fik deres data krypteret, hvilket er meget højere end det globale gennemsnit på 50 % og de 46 %, der blev rapporteret af britiske ofre i 2024.

Trusselsbilledet udvikler sig

Alligevel bliver tingene ikke nemmere. Den typiske virksomhedsangrebsflade fortsætter med at vokse takket være investeringer i digitale tjenester, cloud-økosystemer og AI. Men budgetter og færdigheder er en mangelvare. Og trusselsaktører fortsætter med at innovere og udvikle sig.

I år oplevede vi en stigende præference for brug af fjernadgangsværktøjer (RAT'er) og fjernovervågnings- og styringssystemer (RMM) i angreb. Disse dannede ofte den næste fase af et flerlagsangreb, hvor den indledende adgang blev opnået ved at målrette IT-helpdesks og/eller medarbejdere med vishing-teknikker. Udnyttelse af sårbarheder fortsætter også at være populær. Og svaghederne i open source-økosystemet undersøges med stigende hyppighed og effekt. En nyskabelse af sin slags npm-orm viste hvor langt trusselsaktører er villige til at gå for at få det, de ønsker.

Organisationer skal også tilpasse sig en ny virkelighed: økonomisk motiverede cyberkriminelle og statslige aktører er ikke længere gensidigt udelukkende enheder. Linjerne slører sig og risiciene udvikler sig i hastig takt.

Nye AI-risici dukker op

På denne baggrund er AI både en mulighed og en risiko for sikkerheds- og compliance-teams. På den ene side kommer der innovative nye løsninger på markedet hver uge for at forbedre detektion og respons, pentestning og sårbarhedsundersøgelser, blandt andet. Ved at automatisere flere opgaver kan teams også gøre mere med færre ressourcer, hvilket er særligt nyttigt midt i en vedvarende mangel på færdigheder.

Men AI er også en risiko. Deloitte Australien opdagedeHallucinationer kan have en betydelig omdømmemæssig påvirkning på virksomheder. Kunstig intelligens kan også bruges til skumle formål, såsom udnyttelse af sårbarheder, social engineering, udvikling af malware og mere. advarede NCSC i år. Og sårbarheder i eksisterende store sprogmodeller (LLM'er) og platforme som f.eks. DeepSeek repræsenterer forretningsrisici, der skal håndteres bedre.

Det er godt at se regeringen tage føringen inden for AI-sikkerhed og risikostyring. ny praksiskodeks kunne hjælpe britiske virksomheder med at udnytte teknologiens kraft, samtidig med at de bygger projekter på et mere solidt fundament. Og en regeringens initiativ At skabe en ny sektor for AI-sikring er en lovende idé.

Men der er stadig et stykke vej at gå. I mellemtiden kan standarder som ISO 27001 og ISO 42001 hjælpe IT- og sikkerhedsteams med at styre deres organisationer i den rigtige retning. Risiko er uundgåelig, og den udvikler sig fortsat. De, der er bedst placeret til at håndtere den på en systematisk, men agil måde, vil starte 2026 stærkest.

For at finde ud af mere om det nuværende trusselsbillede, læs vores Status for informationssikkerhed 2025 indberette.