Rapport om informationssikkerhedens tilstand: 11 nøglestatistikker og tendenser for rejse- og transportbranchen

Af Rebecca Harper • 15 December 2025

IO's seneste Status for informationssikkerhedsrapport fremhæver en sektor, der er strukturelt udsat og yderst bevidst om det. Transport- og rejseorganisationer befinder sig i krydsfeltet mellem fysisk infrastruktur, digitale platforme og tæt sammenkoblede forsyningskæder. Når noget går galt, er virkningen øjeblikkelig og meget synlig, fra jordforbundne flåder og produktionsstop til strandede kunder og kaskadevis afbrydelser hos leverandører.

Dette års resultater viser, at sikkerhedsledere inden for transport og rejser arbejder for at holde trit med AI-drevne trusler, regulatorisk acceleration og skrøbelighed i forsyningskæden, samtidig med at de kæmper med budgetbegrænsninger, mangel på kvalificeret arbejdskraft og ujævnt engagement i bestyrelsen.

Vores respondenter omfattede ledende cyber- og informationssikkerhedsledere på tværs af transport- og rejseøkosystemer i Storbritannien og USA. Deres svar afslører, hvor presset er mest akut, hvordan hændelser udspiller sig i praksis, og hvor sektoren fokuserer på at opbygge modstandsdygtighed.

Nedenfor udpakker vi 11 nøglestatistikker, som alle ledere inden for transport og rejser bør forstå fra dette års rapport.

Vigtig informationssikkerhedsstatistik for transport- og rejsesektoren

57 % siger, at transport- og rejsebranchens karakter gør det særligt vanskeligt at implementere effektive informationssikkerhedsforanstaltninger.
46 % siger, at den øverste ledelse stadig behandler compliance med informationssikkerhed som en eftertanke – på trods af at 86 % har en klar sikkerhedsstrategi og 89 % støtter ansvaret på bestyrelsesniveau.
Budgetbegrænsninger er den mest nævnte udfordring (48 %), mens 34 % kæmper med et kompetenceunderskud inden for informationssikkerhed og 33 % med personaleudskiftning og -fastholdelse.
44 % siger, at manglende medarbejderbevidsthed er en central udfordring, hvor almindelige fejl omfatter phishing-klik (29 %), skygge-IT (26 %) og usikker brug af personlige enheder (23 %).
Over 74 % af transport- og rejseorganisationer rapporterede at have lidt under sikkerhedshændelser i de seneste 12 måneder.
54 % rapporterer at have modtaget mindst én bøde for et databrud eller en overtrædelse af databeskyttelsen i det seneste år, hvor størstedelen kostede mellem £101,000 og £250,000
37 % har været påvirket af en tredjeparts- eller leverandørrelateret hændelse inden for de sidste 12 måneder – 17 % flere gange og 20 % én gang.
77 % har taget nye teknologier som AI, maskinlæring eller blockchain til sig – men 54 % siger, at de tog AI til sig for hurtigt, og 33 % rapporterer, at opgaver er blevet erstattet af AI uden menneskelig compliance-kontrol.
94 % føler sig forberedte på AI-genereret phishing og spoofing, og 89 % på deepfakes og AI-drevet malware – men 20 % rapporterer stadig usanktioneret medarbejderbrug af GenAI-værktøjer.
40 % siger, at de har svært ved at afgøre, hvilke sikkerhedsprocesser der kan automatiseres sikkert.
46 % angiver strømlinet sikkerhedsinfrastruktur som deres stærkeste investeringsafkast fra informationssikkerhedsindsatsen, efterfulgt af bedre forretningsbeslutninger (43 %), større investorappel (40 %) og øget salg eller nye muligheder (37 %).

Tredjeparts- og forsyningskædesikkerhed

Få brancher mærker virkningen af forstyrrelser i forsyningskæden så kraftigt som transport og rejser. Jaguar Land Rover (JLR) Cyberangrebet gjorde det klart: en enkelt hændelse stoppede produktionen, suspenderede IT-systemer og et chok, der ramte tusindvis af leverandører og lokale økonomier.

Vores data viser, at dette ikke er en usædvanlig faktor. Mere end en tredjedel af organisationerne er blevet ramt af tredjepartshændelser i det seneste år. Hvor disse forekommer, rækker konsekvenserne ud over det oprindelige indgangspunkt: datatyveri, der påvirker kunder, medarbejdere eller partnere, er almindeligt, ligesom uplanlagte økonomiske omkostninger, forsinkelser i forsyningskæden, midlertidige afbrydelser og i nogle tilfælde tab af vigtige partnerskaber eller kontrakter.

Leverandørernes forventninger strammes som reaktion herpå. Mange organisationer kræver nu ISO 27001, ISO 27701 og / eller ISO 42001 fra partnere, sammen med rammer som Cyber Essentials, SOC2, NIST og regler som f.eks. NIS 2 og TISAX. Kun et lille mindretal kræver slet ingen sikkerhedsstandarder.

Udgiftsplaner forstærker dette skift. Næsten halvdelen planlægger at øge investeringerne i forsyningskæden og tredjepartssikkerhed i løbet af de næste 12 måneder, uden at nogen planlægger nedskæringer. Retningen går væk fra engangsspørgeskemaer og punktvise revisioner hen imod løbende, struktureret og evidensbaseret leverandørtilsyn, der er i overensstemmelse med de samme rammer og rapportering, der anvendes internt.

Det skiftende trusselslandskab

Hændelsesbilledet for transport og rejser er bredt og vedvarende. Traditionelle trusler: phishing, malware og netværksindtrængen er fortsat indgroede. Omkring en tredjedel af organisationerne rapporterer phishing- eller vishing-hændelser, og næsten lige så mange rapporterer malwareinfektioner. Mindre, men betydelige andele rapporterer ransomware, DDoS, IoT/mobilbrud, AI-dataforgiftning, deepfakes og kompromittering af forsyningskæden.

Databrud er ikke abstrakte. Kunde-, medarbejder-, økonomiske, forsknings-, produkt- og IP-data er alle blevet kompromitteret i betydelige mængder. Især for personligt identificerbare oplysninger er konsekvenserne alvorlige: De fleste berørte organisationer rapporterer bøder fra myndighederne, og halvdelen siger, at brud på personoplysninger har bidraget til virksomhedslukning eller et strategisk skift.

Oven på dette ligger et udviklende, AI-drevet trusselsbillede. AI-genereret phishing er nu den største, fremvoksende bekymring, efterfulgt af misinformation og desinformation, deepfake-efterligning i virtuelle møder og skygge-AI. Kompromittering af forsyningskæden og ransomware forekommer stadig, men tyngdepunktet er flyttet mod angreb, der bruger AI til at skalere og personliggøre traditionelle teknikker.

Risikoen ligger ikke kun i disse angrebs sofistikering, men også i den operationelle realitet, at små fejl hos en entreprenør, logistikpartner eller nichesoftwareudbyder hurtigt kan sprede sig gennem sammenkoblede netværk.

Færdigheder, udbrændthed og operationel overbelastning

Rapporten fremhæver også en sektor under vedvarende operationelt pres. Budgetbegrænsninger sideløbende med en vedvarende mangel på kompetencer og vanskeligheder med at fastholde personale. Selv hvor udbrændthed ikke eksplicit rapporteres, gør udvidet ansvar, nye teknologier, nye regler og komplekse forsyningskæder kapacitet til en konstant bekymring.

Dette pres rækker ud over specialistroller. Teams kæmper med værktøjsudbredelse, overlappende dashboards og inkonsistente arbejdsgange. Mange planlægger at prioritere konsolidering, og en betydelig andel kæmper med at beslutte, hvilke processer der sikkert kan automatiseres. For mange værktøjer, ikke nok integration og usikkerhed om automatiseringsgrænser gør det sværere at opretholde et enkelt, pålideligt overblik over risiko og compliance.

I et tids- og sikkerhedskritisk miljø kan denne mangel på sammenhæng resultere i huller i overvågningen, ufuldstændig evidens og stor afhængighed af individuel ekspertise. Over tid er det ikke en bæredygtig driftsmodel.

Reguleringspres og kompleksitet inden for compliance

De regulatoriske forventninger til databeskyttelse, AI-styring, operationel robusthed og sikkerhed i forsyningskæden strammes. Seks ud af ti transport- og rejseledere siger, at tempoet og omfanget af forandringer gør det vanskeligt at overholde reglerne.

Alligevel er kapaciteten ujævn. Omkring en tredjedel føler sig fuldt rustet til at håndtere rammer og regler som GDPR, NIS 2 og DORA internt, og en anden tredjedel føler sig stort set rustet, men er stadig afhængige af ekstern hjælp. Resten rapporterer huller i tid, specialiserede færdigheder eller bestyrelsesstøtte.

Resultaterne bekræfter dette: mere end halvdelen af organisationerne i sektoren har modtaget bøder for databeskyttelse i det seneste år, mange på sekscifrede beløb.

Når compliance udføres godt, er fordelene tydelige. Ledere fremhæver strømlinet infrastruktur, bedre beslutningstagning, stærkere investorappel, forbedret omdømme og nye kommercielle muligheder som håndgribelige afkast. Dataene understøtter et skift i tankegang: For mange organisationer er compliance ved at blive en vej til disciplineret vækst og modstandsdygtighed snarere end en reaktiv reaktion på regulatorer.

Medarbejderadfærd og interne risici

Sikkerhedskultur er fortsat et tilbagevendende svagt punkt. Selvom nogle organisationer ikke rapporterer om almindelige medarbejderfejl, ser mange andre et konsistent mønster: phishing-klik, brug af offentlige Wi-Fi til arbejde, skygge-IT, ikke-administrerede personlige enheder og usikret fildeling. Manglende overholdelse af regler og svag adgangskodepraksis er også et tegn.

Disse adfærdsmønstre er særligt risikable inden for transport og rejser, hvor personalet kan have adgang til driftssystemer, kundedata, logistikplatforme eller leverandørportaler. Når processer er uklare, besværlige eller fragmenterede på tværs af flere værktøjer, vil medarbejdere naturligt tiltrække løsninger, der føles hurtigere, selvom det introducerer nye risici.

Udfordringen for sikkerhedsledere er ikke kun bevidstgørelsestræning, men også at designe og håndhæve processer, der gør den sikre rute til standardruten, integreret i de systemer, folk allerede bruger.

Ledelse og strategisk retning

Der er opmuntrende tegn på, at sikkerhed rykker op på dagsordenen. De fleste organisationer rapporterer, at de har en klar og velkommunikeret sikkerhedsstrategi, og næsten ni ud af ti er enige i, at alle virksomheder bør have en person, der er ansvarlig for informationssikkerhed på bestyrelsesniveau.

Næsten halvdelen af respondenterne føler dog stadig, at deres øverste ledelse behandler compliance som en eftertanke. Denne uoverensstemmelse er vigtig. Hvor ledelsens signaler er blandede, skal teams forene ambitiøse sikkerheds- og compliance-mål med begrænset budget og kapacitet.

I en sektor, hvor operationel risiko er tæt forbundet med sikkerhed, servicekontinuitet og brandtillid, vil de organisationer, hvis bestyrelser behandler informationssikkerhed som en kerneforretningsafhængighed og ikke en øvelse i at sætte kryds i bokse, bedst kunne klare sig.

At forblive på forkant gennem struktureret modstandsdygtighed

Transport- og rejsesektoren navigerer i globale forsyningskæder, AI-aktiverede trusler, strammere regulering og begrænset intern kapacitet. Men retningen er klar. Organisationer øger investeringerne i AI-forsvar, hændelsesrespons, sikkerhed i forsyningskæden og compliance. De planlægger værktøjskonsolidering, styrkelse af leverandørkrav og formalisering af styring.

Den fælles tråd på tværs af dette års resultater er, at manuelle, fragmenterede og personafhængige tilgange er ved at nå deres grænser. De organisationer, der er bedst positioneret i de næste 12 måneder, vil være dem, der implementerer integrerede, repeterbare systemer til styring af sikkerhed og compliance, og som samler mennesker, processer, kontroller og leverandørdata i én driftsmodel.

Ved at gøre dette kan transport- og rejseorganisationer reducere risiko, forbedre deres evne til at absorbere og komme sig efter hændelser og opbygge et mere stabilt fundament for den innovation og konnektivitet, deres kunder nu forventer som standard.

Læs hele rapporten om status for informationssikkerhed.

Rebecca Harper

Rebecca er ISMS.online Head of Content Marketing. Med over 12 år i informations- og cybersikkerhedsindustrien er Rebecca dedikeret til at uddanne, opbygge bevidsthed og styrke virksomheder til at nå mål for compliance, information og cybersikkerhed.