Rapport om informationssikkerhedens tilstand: 11 nøglestatistikker og tendenser for finansbranchen

IO's tredje årlige Status for informationssikkerhedsrapport afslørede de vigtigste udfordringer, som sikkerhedsledere står over for i 2025, fra AI-drevne angreb til compliance-problemer. Fagfolk fra en række brancher delte, hvordan de sikrer forsyningskæden, håndterer strenge lovgivningsmæssige krav og håndterer AI-drevne trusler.

Vores respondenter omfattede over 130 sikkerhedsprofessionelle, der arbejder i finansbranchen i USA og Storbritannien. Deres svar kaster lys over de største udfordringer inden for informationssikkerhed, som finanssektoren har stået over for i de sidste 12 måneder, handlinger ledere har taget for at opbygge organisatorisk modstandsdygtighed, og deres prioriteter for det kommende år.

Opdag de 11 vigtigste statistikker for finansbranchen fra dette års rapport.

Vigtig informationssikkerhedsstatistik for finanssektoren

Supply Chain

1. 51 % af finansorganisationer er blevet påvirket på grund af en cybersikkerheds- eller informationssikkerhedshændelse forårsaget af en tredjepartsleverandør eller forsyningskædepartner i de seneste 12 måneder.
2. 88 % af finansorganisationer har styrket risikostyringen overfor tredjeparter og leverandører i de seneste 12 måneder.

Cyberhændelser

3. 43 % af finansorganisationer oplevede phishing/vishing-hændelser i de seneste 12 måneder.
4. 98 % af finansorganisationer siger, at de har tillid til deres organisations håndtering af hændelser.

Prioriteter og udfordringer

5. Finansorganisationer rangerede forbedring af medarbejdernes sikkerhedsbevidsthed og -adfærd som deres højeste prioritet for informationssikkerhed (31%).
6. AI-phishing er den største nye trussel mod finansielle organisationer (48%).
7. Sikring af nye teknologier som AI, ML og blockchain er den største udfordring inden for informationssikkerhed (47%) for finansielle organisationer.

Ledelse betyder noget

8. 87 % af respondenterne fra finansbranchen er enige i, at deres organisation har en klar og velkommunikeret informationssikkerhedsstrategi
9. 87 % er enige i, at alle virksomheder bør have en person på bestyrelsesniveau, der er ansvarlig for informationssikkerhed

Compliance Management

10. 46 % af finansorganisationer siger, at det at forbedre deres evne til sikkert at implementere nye teknologier (f.eks. cloud, AI) er deres største motivation for at sikre stærk informationssikkerhed og compliance
11. 36 % af finansorganisationer modtog bøder på mellem £251,001 og £1,000,000 for databrud eller overtrædelse af databeskyttelsesreglerne i de seneste 12 måneder.

Forsyningskædesikkerhed

Over halvdelen (51%) af de finansorganisationer, vi undersøgte, sagde, at de var blevet påvirket på grund af en cybersikkerheds- eller informationssikkerhedshændelse forårsaget af en tredjepartsleverandør eller forsyningskædepartner i de seneste 12 måneder. Mere end hver femte (21%) sagde, at de var blevet påvirket flere gange. Konsekvenserne for de organisationer, der var berørt af disse hændelser, varierede fra økonomisk tab (38%) til omdømmeskade, herunder tab af kundetillid (begge 27%).

Højprofilerede cyberhændelser ligesom angrebene på Jaguar Land Rover (JLR) i september og detailgiganten Marks & Spencer (M&S) i april fremhæve den kaos, som sårbarheder i forsyningskæden kan forårsage.

JLR-hændelsen forventes at have kostet 1.9 milliarder pund i tab og påvirket i alt 5,000 virksomheder, hvor leverandører oplevede forsinkede betalinger og forstyrrelser i likviditeten. I mellemtiden førte ransomware-angrebet på M&S til, at virksomheden helt lukkede ned for onlineordrer. I begge tilfælde varede forstyrrelsen i over en måned.

Da hændelser som disse bliver mere og mere almindelige, prioriterer finansorganisationer tydeligvis forsyningskædesikkerhed. 88 % af respondenterne i rapporten siger, at deres organisation har styrket risikostyringen over for tredjeparter og leverandører i de sidste 12 måneder, mens 12 % siger, at de planlægger at gøre det i det kommende år. 58 % planlægger også at øge deres udgifter til forsyningskæde- og tredjepartsleverandørsikkerhed i de næste 12 måneder.

Cyberhændelser, udfordringer og prioriteter

Medarbejdere er ofte mål for trusselsaktører som indgangsporte til en organisations netværk – og videre. Mange succesfulde angreb i forsyningskæden skyldes angribere, der kompromitterer medarbejderlegitimationsoplysninger, uanset om det drejer sig om en medarbejder i målorganisationen eller en leverandør.

Det er derfor ikke overraskende, at finansorganisationer rangerede forbedring af medarbejdernes sikkerhedsbevidsthed og -adfærd som deres højeste prioritet for informationssikkerhed (31%) for det næste år. Dette er der en god grund til – næsten to ud af fem (43%) af respondenterne sagde, at de havde oplevet en phishing- eller vishing-hændelse inden for de sidste 12 måneder.

Den hurtige udvikling af kunstig intelligens (AI) og maskinlæringsteknologi (ML) har også skabt nye udfordringer for virksomheder. Finansorganisationer rangerede AI-phishing som deres største nye trussel (48%) for de næste 12 måneder, i takt med at trusselsaktører udnytter teknologien til en stadig mere overbevisende effekt.

Implementering af AI er endnu en udfordring, som branchen står over for. Mere end halvdelen (53%) af finansorganisationerne sagde, at deres virksomhed havde implementeret AI-teknologi for hurtigt og nu står over for udfordringer med at nedskalere den eller implementere den mere ansvarligt. I overensstemmelse med dette rangerede respondenterne sikring af nye teknologier som AI, ML og blockchain som deres største informationssikkerhedsudfordring (47%).

Efterhånden som virksomheder ønsker at implementere strengere, etiske AI-systemer, er det vigtigt at have en strategisk tilgang til AI-styring. Standarder som f.eks. ISO 42001 kan give retningslinjer og rækværk for organisationer. ISO 42001 giver specifikt en ramme for ansvarligt design, udvikling og implementering af et AI-styringssystem (AIMS). Organisationer kan bruge denne ramme til at sikre overholdelse af regler såsom EU's AI-lov og proaktivt håndtere AI-risici.

Engagement i ledende stillinger

Informationssikkerhed har historisk set været betragtet som udelukkende IT-afdelingernes ansvarsområde, men den opfattelse er under hastig forandring. Informationssikkerhed er trods alt et anliggende for hele organisationen, der kræver engagement og bevidsthed fra medarbejdere, uanset om de er i direktionen eller nyansatte.

Sikkerhedsledere presser nu på for tilsyn og involvering på bestyrelsesniveau. Næsten 9 ud af 10 (87%) af respondenterne i finansbranchen er enige i, at alle virksomheder bør have en person, der er ansvarlig for informationssikkerhed på bestyrelsesniveau. Det samme antal er enige i, at deres organisation har en klar og velkommunikeret informationssikkerhedsstrategi, hvilket tyder på, at organisationer, hvor bestyrelser har tilsyn og forståelse for informationssikkerhedsprioriteter, drager fordel af klare forbedringer på strategisk niveau.

Motivationer for overholdelse

Over hver tredje (36%) af finansorganisationer modtog bøder på mellem £251,001 og £1,000,000 for databrud eller overtrædelse af databeskyttelsesregler i de sidste 12 måneder; lige under en fjerdedel (24%) sagde, at de ikke havde modtaget en bøde. Udover voksende cybertrusler kæmper virksomheder også med strenge lovgivningsmæssige krav og årvågne tilsynsmyndigheder.

Finansorganisationer bruger dog i stigende grad compliance som en katalysator til at åbne op for innovation og vækst. Respondenter fra finansbranchen angav en forbedring af deres evne til sikkert at implementere nye teknologier som cloud og AI som deres største motivation (46%) for at sikre stærk informationssikkerhed og compliance. Respondenterne angav også deres forbedrede kvalitet af forretningsbeslutninger på grund af sikre og pålidelige data som det bedste investeringsafkast inden for compliance inden for informationssikkerhed (42%) i de seneste 12 måneder.

Proaktivitet er nøglen

Mens sikkerhedsledere i finansbranchen står over for en række udfordringer inden for informationssikkerhed, lige fra den voksende AI-angrebsflade til sikkerhed i forsyningskæden, afslører rapporten, at de også tager vigtige skridt for at forblive på forkant. De arbejder på at forbedre medarbejdernes uddannelse og bevidsthed om informationssikkerhed, investerer i sikkerhed i forsyningskæden og styrker risikostyring i forsyningskæden samt implementerer AI-systemer mere sikkert og etisk.

Ved proaktivt at integrere bedste praksis for informationssikkerhed i hele organisationen kan virksomheder forenkle deres compliance-indsats, øge kundernes tillid og styrke den digitale modstandsdygtighed. Vi ser frem til at se, hvordan finansielle organisationer har styrket deres sikkerhed i næste års rapport.