WEF-rapport: Svindel er nu administrerende direktørers største cyberbekymring, men det er ikke den eneste

Fem år er lang tid inden for cybersikkerhed. Alligevel er det så længe, ​​at World Economic Forum (WEF) har afstemt administrerende direktører om deres Global Cybersecurity Outlook rapporter. Håbet er, at den resulterende indsigt vil give virksomhedsledere mulighed for at justere strategi og navigere i et hurtigt udviklende trusselslandskab. Dette års tilbud placerer svindel, kunstig intelligens og geopolitik øverst på en voksende liste over bekymringer. Og ligesom det var tilfældet sidste år, er cyberrobusthed det mål, alle stræber efter.

Men som vi diskuterede i IO (tidligere ISMS.online) Status for informationssikkerhedsrapport 2025, der er ofte et stykke tid mellem at diagnosticere problemet og at gøre noget ved det.

Hvad WEF fandt

WEF-afstemning lidt over 800 topledere til årets rapport. Blandt de vigtigste resultater er følgende:

Svindel tager førstepladsen

Administrerende direktører og IT-chefer var en smule forskellige med hensyn til deres to største bekymringer. Mens IT-chefer forblev konsekvente i forhold til sidste år med at nævne (i rækkefølge) ransomware og forstyrrelser i forsyningskæden, placerede deres modparter inden for CEO'er cyberaktiveret svindel i første række, efterfulgt af AI-sårbarheder. Med svindel mener de virksomhedsfokuserede trusler som phishing/smishing/vishing, fakturasvindel (som BEC) og insidersvindel, men også typer af kriminalitet, der oftere er forbundet med forbrugertab, såsom ID-tyveri og endda investeringssvindel/kryptosvindel.

IO-rapporten synes at være enig. Den afslørede, at 30 % af respondenterne oplevede phishing i løbet af de foregående 12 måneder, en stigning fra blot 12 % i 2024.

Som en seneste rapport Ifølge Microsoft findes der en sofistikeret og robust global infrastruktur, der kan fremme visse typer svindel, såsom BEC, som påvirker virksomheder. Men selv nominelt forbrugerfokuserede kampagner, der centrerer sig om ting som ID-tyveri, kan påvirke erhvervslivet.

As Check Point argumenterede I en nylig artikel kan svindlere, når de er i stand til at stjæle personlige oplysninger og enhedsoplysninger, herunder "liveness"-selfies, fra enkeltpersoner, bruge oplysningerne ud over ID-svindel. Specifikt kan det operationaliseres til at omgå virksomhedens godkendelsessystemer og udgive sig for at være medarbejdere i IT-helpdesks adgangskodenulstilling. Og hvis enkeltpersoner mister store summer i investeringssvindel, kan de være mere sårbare over for tvang/afpresning som ondsindede insidere.

AI forstærker cyberrisikoen

AI blev også fremhævet af WEF-respondenter som en central drivkraft for cyberrisiko. Men interessant nok mindre med hensyn til dens evne til at drive phishing, deepfakes og malware (hvilket vedrørte 28%), og mere med hensyn til datalækager, der kan opstå som følge af misbrug af GenAI (30%). Dette peger på en bekymring over den voksende brug af AI i virksomheder, der udvider overfladen for cyberangreb. Faktisk mener 87% af respondenterne, at AI-sårbarheder er stigende (modsat 77%, der siger det samme om svindel og 65%, der siger det samme om forstyrrelser i forsyningskæden).

IO-data kaster mere lys over problemet. En tredjedel (34%) af respondenterne fortalte os, at de er bekymrede over skygge-AI, hvor 54% indrømmede, at de indførte GenAI for hurtigt og nu står over for udfordringer med at implementere det mere ansvarligt. Risiko har en tendens til at trives i skyggerne: hvad organisationer ikke kan se, kan de ikke håndtere.

Geopolitik er en central faktor for sikkerhedsstrategi

Næsten to tredjedele af respondenterne fortalte WEF, at geopolitisk motiverede cyberangreb er en central overvejelse, når de udtænker deres strategier for cyberrisikostyring. Volatilitet på dette område har tvunget næsten alle (91%) store organisationer til at justere deres tilgang til sikkerhed, konkluderede rapporten. Det stemmer overens med IO's vurdering, som viste, at 88% af amerikanske og britiske virksomheder frygter statsstøttede angreb, og næsten en fjerdedel (23%) siger, at deres største bekymring for det kommende år er manglende beredskab til "geopolitisk eskalering eller cyberoperationer i krigstid". En tredjedel (32%) hævder, at håndtering af geopolitisk risiko er deres primære motivation for stærk infosikkerhed og compliance.

Mere bekymrende er det, at 31 % af respondenterne i WEF-undersøgelsen rapporterede lav tillid til deres lands evne til at reagere på større cyberhændelser, en stigning fra 26 % sidste år. Tallet stiger til 40 % i Europa. Regeringen skal fremskynde implementeringen af ​​foranstaltningerne i sin lov om cybersikkerhed og modstandsdygtighed samt sin cyberhandlingsplan.

Forsyningskæder er fortsat en barriere for modstandsdygtighed

Forsyningskæder er fortsat en betydelig kilde til cyberrisiko, og en der fortsat er vanskelig at håndtere. To tredjedele (65 %) af respondenterne fortalte WEF, at det er deres største udfordring at blive cyberrobust, en stigning fra 54 % sidste år og lige over det hurtigt skiftende trusselslandskab (63 %) og ældre systemer (49 %).

De har ret i at være bekymrede. Omkring 61 % af britiske/amerikanske organisationer fortalte IO, at deres forretning er blevet påvirket af en sikkerhedshændelse forårsaget af en tredjepartsleverandør i det seneste år. Mange sagde, at det førte til databrud hos kunder/medarbejdere (38 %), økonomisk tab (35 %), driftsforstyrrelser (33 %), churn/tab af tillid (36 %) og øget kontrol med partnere (24 %).

Mod modstandsdygtighed

På denne baggrund ved ledere inden for erhvervslivet og sikkerhedssektoren, at de ikke kan forblive 100 % sikre mod brud. Derfor skal fokus skifte mod modstandsdygtighed: hvordan man forudser, modstår og hurtigt kan komme sig efter hændelser, og samtidig opretholder en så tæt "business as usual"-tilstand som muligt. JLR og M&S Overtrædelser har vist, at dette er lettere sagt end gjort.

Ifølge WEF er de største barrierer for cyberrobusthed et hurtigt udviklende trusselslandskab og nye teknologier (61%); sårbarheder hos tredjeparter (46%); og mangel på cyberfærdigheder og -ekspertise (45%). Arv og finansiering blev også nævnt som nøglefaktorer. Så hvordan kan organisationer overvinde disse udfordringer?

Interessant nok viste rapporten, at mere robuste organisationer var mere tilbøjelige til at:

• Hold bestyrelsesmedlemmer personligt ansvarlige i tilfælde af overtrædelser
• Hav et positivt syn på cyberrelaterede regler
• Har tilstrækkelige færdigheder til at nå deres cybermål
• Vurder sikkerheden af ​​AI-værktøjer før implementering
• Involver sikkerhed i indkøb
• Simuler hændelser og planlæg genopretningsøvelser med partnere
• Vurder leverandørernes sikkerhedsmodenhed.

Mange af disse ting er påkrævet af bedste praksis-standarder som ISO 27001 og ISO 42001. Sidstnævnte er særligt velegnet til at hjælpe organisationer lukke forvaltningskløften og håndtere risici (herunder datalækage) på tværs af en voksende AI-angrebsflade.

Ifølge IO har 80 % af britiske/amerikanske organisationer tilpasset sig standarder som denne for at opbygge modstandsdygtighed på en struktureret, risikobaseret måde. På baggrund af et ustabilt forretnings- og trusselslandskab er de, der ikke gør det, i en stigende ulempe.