6 kyberturvallisuustrendiä, jotka vaikuttavat yrityksiin vuonna 2024

Jos vuosi 2023 on opettanut yrityksille jotain, niin kyberriskejä on käsiteltävä samalla näkyvyyden, hallinnon, suunnittelun ja resurssien tasolla kuin muita merkittäviä liiketoimintariskejä, kuten taloudellisia ehtoja, juridisia vastuita tai toimintahäiriöitä.

Otsikot ovat olleet täynnä tarinoita tietomurroista ja kyberhyökkäyksistä, jotka johtuvat huonoista, epäselvistä tai jopa täydellisestä tiedon ja tietoturvan hallintaprosessien puutteesta. Lopputulos? Merkittäviä taloudellisia menetyksiä, mainevaurioita ja valtavia sakkoja valvontaelimiltä organisaatioille, niiden toimittajille ja joissakin tapauksissa jopa yksityishenkilöille.

Kyberuhkien lisääntymisen seurauksena kyberturvallisuutta ja tietoturvakäytäntöjä koskevat säännökset ovat yleistyneet nopeasti. Juuri tällä viikolla, EU ilmoitti poliittisesta sopimuksesta tekoälyn sääntelystä, toisen kanssa määräyksiä, kuten Cyber ​​Resilience Act ja Product Security and Telecommunications Infrastructure (PSTI) -laki, joka yhdistää vakiintuneet määräykset, kuten GDPR ja NIS. Yhdysvalloissa on annettu toimeenpanomääräys kyberturvallisuudesta ja SEC-säännökset otettu käyttöön rikkomusten paljastamisesta. Kaikki nämä tekevät selväksi, että organisaatioiden on kyettävä osoittamaan parhaat tieto- ja tietoturvakäytännöt ja tehokas käyttöönotto kaikilla liiketoimintansa osa-alueilla.

Kun otetaan huomioon, missä olemme nyt, mitä vuodella 2024 on yrityksille tarjolla? Olemme tarkastelleet kuutta avaintrendiä, joiden uskomme hallitsevan tieto- ja kyberturvallisuusmaisemaa vuonna 2024, ja eritellyt ne alla.

Trendi 1: tekoälyn ja koneoppimisen sääntelyn lisääminen

Tekoäly ja koneoppiminen (ML) ovat nopeasti tulleet välttämättömiksi liiketoiminnassa, sillä ne optimoivat päätöksentekoa, automatisoivat tehtäviä ja tarjoavat oivalluksia, jotka ylittävät ihmisen kyvyt. Sen yleisyys on herättänyt laajaa keskustelua sen vaikutuksista yrityksille, yksityishenkilöille, yksityisyyteen ja digitaaliseen turvallisuuteen.

Kun otetaan huomioon näiden järjestelmien laaja ja autonominen luonne, jotka vaikuttavat merkittävästi kuluttajien, työntekijöiden ja infrastruktuurin hyvinvointiin, on erittäin tärkeää harkittua sääntelyä, joka pysyy niiden kehittyvien ominaisuuksien tahdissa. Tarve läpinäkyvyydelle, vastuullisuudelle, harhaa ehkäiseville toimenpiteille ja virheenkorjausmekanismeille tekoälypäätöksenteossa on kasvanut koko vuoden 2023 ajan. Tekoälyn ulottuessa riskialueille tämä trendi vain voimistuu.

Tästä syystä vuosi 2024 on merkkivuosi muodolliselle tekoälyhallinnolle, joka kattaa vankat lait, toimialan puitteet ja yrityspolitiikat. Amerikan, Euroopan ja Aasian lainsäätäjät laativat ehdotuksia, jotka asettavat moraalisia ja oikeudellisia velvoitteita tekoälytoimittajille, kehittäjille ja yrityksille. The EU ilmoitti poliittisesta sopimuksesta tekoälystä juuri tällä viikolla. 

Vaikka kansainväliset ryhmät, kuten IEEE ja ISO, ovat jo perustamassa kattavia, yhtenäisiä standardeja ML-järjestelmien turvalliseen luomiseen, arvioimiseen ja käyttöönottamiseksi eri toimialoilla ja sovelluksissa. Standardit julkaistaan ​​todennäköisesti uuden vuoden aikana.

Odotamme myös yleistyvän hallitusten perustamisen valvomaan vastuullisia tekoälykäytäntöjä, auditoimaan kehitysprosesseja ja hallitsemaan malliriskejä organisaatioissa. Muiden toimintojen ohella, kuten; 

• Eettiset tarkistuslistat auttavat datatieteilijöitä luomaan edustavia tietojoukkoja ja puolueettomia algoritmeja 
• Avoimuuslausekkeet tekoälymallien vaihtoon ja palveluintegraatioihin sisältyvät kumppanisopimuksiin

Tekoälyn säätelyn tavoite on kiitettävä: on tärkeää varmistaa, että tekoälyyn vaikuttavat päätökset ovat oikeudenmukaisia ​​ja että yritykset ottavat automaation käyttöön vasta kun riskit on täysin ymmärretty ja niitä on vähennetty. Nämä määräykset voivat kuitenkin aiheuttaa lisää monimutkaisuutta ja viivästyksiä tekoälyn kehittäjille ja organisaatioille, jotka haluavat käyttää tällaista tekniikkaa.

Poliittisten päättäjien ja alan johtajien työskennellessä tekoälyn tuottopotentiaalin valjastamiseksi ja mahdollisten haittojen ennaltaehkäisemiseksi, yritysten on valmistauduttava osoittamaan vaatimustenmukaisuus sekä sisäisesti että asiakkailleen. Tämä merkitsee tuloa uusi vaihe tekoälyn kehityksessä: etenee nopeasti, mutta kohonneella vastuuntunnolla.

Trendi 2: Ransomwaren monimutkaisuus

Kiristyshaittaohjelmahyökkäysten odotetaan yleistyvän ja kehittyvän entisestään vuonna 2024. Kun yhä useammat yritykset digitalisoivat toimintansa ja tallentavat arkaluontoisia tietoja pilveen, kiristysohjelmaryhmät todennäköisesti siirtävät painopisteensä pilviympäristöihin ja varmuuskopiointitietovarastoihin maksimoidakseen kiristysvaikutuksen.

Yksi nouseva trendi on "kaksinkertainen kiristys" lunnasohjelmahyökkäykset. Näissä järjestelmissä hyökkääjät salaavat tiedot ja suodattavat arkaluontoisia tietoja uhrin järjestelmistä, jotka sitten uhkaavat julkaista tai myydä verkossa, jos lunnaita ei makseta. Tämä lisäpaine saa uhrit maksamaan todennäköisemmin. Hyökkääjät voivat jopa huutokaupata varastetut tiedot eniten tarjoavalle.

Lisäksi ransomware-ryhmät ovat perustamassa ransomware-as-a-service (RaaS) -toimintoja ja haittaohjelmien kumppaniohjelmia lisätäkseen vaikutustaan. Nämä järjestelmät tarjoavat helppokäyttöisiä kiristyshaittaohjelmatyökaluja kyberrikollisille, joilla on rajalliset tekniset taidot osan voitosta. Tämä hajauttaa entisestään ja jakaa riskin useammille hyökkäyksille.

Kasvavien uhkien vuoksi saatamme nähdä kiristysohjelmien sietokyvyn parantavan sääntelyn vuonna 2024. Säännökset voivat vaatia organisaatioita: 

• Tee suunnitelmat kriisinhallintaan ransomware-skenaarioista
• Säilytä tietojen offline-varmuuskopioita 
• Järjestä kyberturvallisuustietoisuuskoulutusta
• Ota käyttöön kybervakuutukset

Niille, jotka eivät noudata määrättyjä parhaita käytäntöjä, jotka liittyvät kiristysohjelmien ehkäisyyn ja niihin valmistautumiseen, voidaan odottaa sakkoja tai muita toimenpiteitä. Tällainen sääntely asettaa kuitenkin myös haasteita täytäntöönpanoon ja täytäntöönpanoon eri aloilla.

Tulemme myös todennäköisesti näkemään enemmän keskittymistä kansainvälisiin kumppanuuksiin, kuten International Counter Ransomware Initiative (CRI), "rikkoa kiristyshaittaohjelmien liiketoimintamalli tuomalla yhteen politiikka-, lainvalvonta- ja operatiiviset virastot maailmanlaajuisesti häiritsemään kiristyshaitallisia ohjelmia ja kehittämään samalla kestävyyttä haitallisia kybertoimijoita vastaan".

Trendi 3: IoT:n ja siihen liittyvien riskien laajentuminen

Esineiden internetin vallankumous on tiukasti käynnissä. Gartner ennustaa että yli 33 miljardia yritysten ja autojen IoT-laitetta käytetään aktiivisesti vuoteen 2024 mennessä.

Tämä yhdistettyjen laitteiden runsaus, samalla kun se tarjoaa tehokkuutta, antaa hakkereille runsaasti uusia hyökkäysvektoreita hyödynnettäväksi. Monilta IoT-järjestelmiltä puuttuu edelleen perusturvallisuusmääräyksiä, kuten tietojen salaus, vaan verkon kehäsuojaus riittää. 

Tehtaista aiemmin eristetty liiketoimintakriittisen operatiivisen teknologian (OT) infrastruktuuri on nyt yhdistetty IT-hallintajärjestelmiin, mikä altistaa herkät teollisuuden hallintalaitteet digitaalisille uhille. Hajautettujen IoT-laitteiden haavoittuvuuksien korjaamiseksi on olemassa vain vähän laiteohjelmistopäivityksiä kameroista klinikan infuusiopumppuihin.

Etenkin valmistuksen, laitosten ja terveydenhuollon on nyt suunnattava IT-turvallisuus uudelleen turvattomien laitteiden peittämän kasvavan hyökkäyspinnan turvaamiseen. Toimintaa, kuten: 

• Verkkojen segmentointi
• Seuraa aktiivisesti liikennettä poikkeavuuksien varalta
• Vaatii kulunvalvontaa
• Turvallisten tiedonsiirtoprotokollien käyttöönotto 

Kaikki auttavat vähentämään yhteenliittämisen tuomia riskejä.

Odotamme näkevämme useampia organisaatioita mukautuvan sellaisiin kehyksiin kuin ISO 27001 IoT-riskien torjunnassa, koska se velvoittaa tietoturvariskien jäsennellyn arvioinnin ja suojauksen hallinnan, joka on viritetty organisaation erityiseen kontekstiin. Tämä nollaluottamustapa sopii IoT:n haasteisiin.

Vuonna 2023 on jo yritetty puuttua IoT-laitteiden tietoturvaan ja yksityisyyteen mm. 

• EU:n kyberresiliencelaki
• Yhdysvaltain kyberturvallisuuskysymysmallin sertifiointi (CMMC) 
• Yhdysvaltain konsolidoitujen määrärahojen laki 
• Yhdistyneen kuningaskunnan tuoteturvallisuus- ja televiestintäinfrastruktuurilaki 

Odotamme näiden kaltaisten standardisoitujen turvallisuusmääräysten lisääntyvän ja täytäntöönpanon tiukentuvan vuonna 2024 yhdessä alan liittoutumien kanssa, jotka lisäävät IoT-suojauksia erityisesti kansallisessa infrastruktuurissa. 

Säännöksestä ja täytäntöönpanosta huolimatta odotamme yritysten siirtyvän ripeästi puolustusjärjestelmien modernisointiin, sillä älykäs infrastruktuuri moninkertaistaa vastustajien yhteyspisteet ja liiketoiminnan ja menestyksen riski on liian suuri huomiotta jättämiseksi.

Trendi 4: Nollaluottamusarkkitehtuurien merkitys

Teollisuusanalyytikot odottavat, että nollaluottamuksellisista kehyksistä tulee muodollisia noudattamisvaatimuksia rahoitus-, hallinto- ja terveydenhuoltosektoreilla vuoteen 2025 mennessä, koska hyökkäykset paljastavat tavanomaiset puolustusheikkoudet.

Työvoimat hajautuvat, infrastruktuuri siirtyy pilveen, ja käyttäjät tarvitsevat pääsyn kaikkialle, mikä muuttaa oletuksia, että selkeitä suojausrajoja on enää olemassa. Silti monet yritykset luottavat edelleen tuttuihin mutta huokoisiin suojakeinoihin, kuten VPN:ihin, palomuuriin ja etuoikeutettuihin verkkooikeuksiin kriittisten tietojen suojaamiseksi.

Sen sijaan kyberturvallisuusohjelmat ovat jo valmiita nollaluottamusarkkitehtuurien ottaminen käyttöön jotka katkaisevat implisiittisen luottamuksen ja vahvistavat samalla tarkasti jokaisen pääsyä yrittävän käyttäjän ja järjestelmän, ja odotamme lähestymistavan käyttöönoton lisääntyvän merkittävästi vuoden 2024 aikana. 

Tämä malli varmistaa henkilöllisyyden tiukan monitekijätodennuksen avulla ennen kuin myönnät vähiten etuoikeuksia. Yleisen verkkokäytön sijaan mikrosegmentointikäytännöt rajoittavat tiukasti liitettävyyden valtuutettuihin resursseihin. Ratkaisevaa on, että nolla luottamus edellyttää jatkuvaa käyttäjien toiminnan seurantaa ja järjestelmälokeja analytiikan avulla tunnistaakseen epänormaalit toiminnat, jotka osoittavat uhkia. 

Kuljettajia, jotka ajavat nollaluottamuksen periaatteita kyberturvallisuuden parhaista käytännöistä kohti olennaisia, ovat hybridipilvikäyttö, etätyövoiman kasvu ja vanhat kehäsuojaukset, jotka ovat osoittautuneet riittämättömiksi kehittyneitä hyökkääjiä vastaan. Toiminnallinen tehokkuus parantaa myös siirtämällä organisaation turvallisuusasentoa kohti dynaamisia, kontekstuaalisia pääsypäätöksiä staattisten verkkooikeuksien sijaan.

Turvajärjestelmien varhainen uudelleensuunnittelu antaa organisaatioille mahdollisuuden vahvistaa puolustustaan ​​ja edistää innovaatioita. Toteutuskehykset, kuten ISO 27001, voivat tarjota jäsennellyn lähestymistavan nollaluottamuksen periaatteiden omaksumiseen. Se tarjoaa kattavan joukon käytäntöjä ja menettelyjä, jotka ovat yhdenmukaisia ​​korkeimpien tietoturvan hallintastandardien kanssa. Tämä auttaa varmistamaan nollaluottamusarkkitehtuurien systemaattisen ja johdonmukaisen käyttöönoton, mikä vahvistaa entisestään organisaation turvallisuusasentoa kehittyviä uhkia vastaan.

Trend 5: Globaalimpi lähestymistapa säännöksiin ja vaatimustenmukaisuusvaatimuksiin

Kun kyberhyökkäysten vaikutus ja tiheys lisääntyvät, toimialojen ja maantieteellisten rajojen yli ulottuvat haavoittuvat tiedonhallinnan aukot tulevat sääntelijöiden risteykseen vahvistaakseen suojakaiteita vuonna 2024. 

Rajat ylittävien kyberhyökkäysten lisääntyessä hallitukset maailmanlaajuisesti ymmärtävät lainkäyttöalueiden välisten hajanaisten säännösten rajoitukset. Vaikka monet maat ovat ottaneet käyttöön yksityisyyslakeja ja alakohtaisia ​​kyberturvallisuuskäytäntöjä paikallisesti, erot aiheuttavat päänsärkyä monikansallisille organisaatioille. Vaatimusten tehostamisesta kansainvälisen yhteistyön avulla tulee ensisijainen tavoite kyberturvallisuuden valvonnan yhdenmukaistamisessa maailmanlaajuisesti hajautettujen säädösten sijaan vuonna 2024.

Päällekkäiset määräykset aiheuttavat redundanssia käytännöissä, kuten auditoinnissa, koulutuksessa tai alikäsittelijän arvioinnissa. Innovaatiot hidastuvat, kun insinööritiimien tehtävänä on tulkita epämääräistä juridista terminologiaa. Budjetit paisuvat, kun tekniset resurssit ohjautuvat vaatimustenmukaisuusraportteihin.

Vastauksena odotamme yhteistyöryhmien, kuten Kansainvälisen standardointijärjestön (ISO) ja Global Privacy Assemblyn (GPA) tekevän entistä tiiviimpää yhteistyötä yritysten ja hallitusten kanssa vuonna 2024 yhdenmukaistaakseen kyberturvallisuuden perusodotuksia maailmanlaajuisesti. riskienhallinta, dataetiikka ja reagointi tapauksiin. Virtaviivaistaa myös yhtenäiset varmistuskehykset, kuten ISO 27001 ja NISTin kyberturvallisuuskehys, jota sadat yritykset ovat jo hyödyntäneet kyberohjelmien rakentamisessa.

Olemme jo nähneet siirtymiä kohti säädösten globalisaatiota vuonna 2023 tietosiltoja, kuten EU:n ja Yhdysvaltojen ja Yhdysvaltojen ja Yhdistyneen kuningaskunnan väliset sopimukset, jotka ovat olennainen osa laajempaa suuntausta kehittää koordinoidumpi ja yhdenmukaisempi lähestymistapa tietosuojaan ja yksityisyyteen maailmanlaajuisesti. Ne auttavat yhdenmukaistamaan eri oikeusjärjestelmiä, helpottavat kansainvälistä tiedonkulkua ja asettavat standardeja, jotka voivat vaikuttaa maailmanlaajuisiin tietosuojakäytäntöihin.

Toimialojen välisiin johtoryhmiin liittyminen, strukturoitujen viitekehysten käyttöönotto maailmanlaajuisesti ja lainsäädäntöehdotusten seuranta auttavat yrityksiä valmistautumaan edistymään. Säännösten noudattamatta jättäminen lakkaa olemasta vaihtoehto kriittisten omaisuuserien hoitamiseen, koska tiedot määrittelevät liiketoiminnan uudelleen normaaliksi.

Trendi 6: Toimitusketjun turvallisuuden parantaminen

Kolmannen osapuolen toimittajia koskevat tiukemmat säädökset ja turvallisuusstandardit nousevat keskeiseen asemaan vuonna 2024, kun organisaatiot ymmärtävät, että laajentuneet digitaaliset toimitusketjut ovat yksi merkittävimmistä kyberriskeistä organisaatioille.

Tekoälyn läpimurrot voivat saada otsikoita, mutta vähemmän lumoavia uhkia, kuten ohjelmistojen toimitusketjun hyökkäykset jatkavat yritysten syöpymistä sisältäpäin. SolarWindsin ja Log4j:n kaltaisten tapahtumien aiheuttamat vakavat vahingot katalysoivat johdon tietoisuutta kolmansien osapuolien riskeistä – mutta kattava näkyvyys ja hallinta toimittajaympäristöissä on useimmille vaikeaa.

Vuodelle 2024 mennessä toimittajat asettavat etusijalle työkalut ja standardit, jotka auttavat hallitsemaan toimittajariskejä kumppanuuksien välillä. Kattava ohjelmistoluettelo (SBOM), joka luetteloi ostettujen alustojen komponenttien ainesosat, tulee pakolliseksi liittovaltion urakoitsijoiden käyttöön osana presidentti Bidenin kybertoimenpidemääräystä. SBOM:t lisäävät läpinäkyvyyttä ostajille heidän teknologiansa tunnettujen haavoittuvuuksien tai ylläpitopuutteiden suhteen.

Yhä useammat teollisuudenalat jäljittelevät autoalan aloitteita, jotka sertifioivat turvallisia toimittajien kehitysstandardeja, jotka perustuvat testausprosesseihin, kuten OWASP-vertailuarvoihin. Tarkat koodintarkastukset, vähiten etuoikeutetut käyttöoikeudet ja ajonaikainen sovellusten itsesuojaus (RASP) ovat muita toimittajan luotettavuutta lisääviä toimenpiteitä.

Vähittäiskauppiaiden, terveydenhuoltojärjestelmien ja rahoituspalvelujen välisten kumppanuuksien kehittyessä kyberriskien hallinnan jaettu vastuu kodifioituu yhä useampiin sopimuksiin. Ehdot koskevat näkyvyysvaatimuksia kumppanien hyökkäyspinnoille, rikkomusilmoituksille ja pääsykäytännöille. Organisaatiot, joilla ei ole kyberturvavalmiutta, voivat nähdä palveluntarjoajien näkymät heikkenevän kestävyyteen keskittyvässä ilmapiirissä.

Viime kädessä toimittajien ja ostajien on sovitettava yhteen, että vaikka kumppanuudet mahdollistavat digitaalisen muutoksen ja tehokkuuden, ne myös laajentavat hyökkäysrajoja. Näiden risteyskohtien ennakoiva turvaaminen standardien, huolellisuuden ja sopimustakuiden avulla on välttämätöntä, kun kolmannet osapuolet sulautuvat eri toimintoihin. Ei ole kehystä, kun verkkosi on kaikkien verkko.

Kyberresilienssin suunnittelu epävarmaa tulevaisuutta varten

Kuten 2023 on osoittanut, kyberhyökkäysten laajuus ja vaikutukset tekevät ennakoivasta tietoturvasta ei-neuvoteltavan sijoituksen organisaatioille pikemminkin kuin yksittäisen IT-kulun. 

Kybervalmius vuonna 2024 vaatii vähintäänkin uutta keskittymistä riskialttiiden tekoälyjärjestelmien hallintaan, kestävyyssuunnitelmia väistämättömien tunkeutumisten varalta ja näkyvyyttä toimittajien hallinnassa. Se edellyttää eksponentiaalisesti suurempien hyökkäyspintojen turvaamista, koska laskenta jättää perinteiset kehät. Se edellyttää varhaisten politiikan muutosten seurantaa sääntelyviranomaisilta, jotka eivät enää siedä vältettävissä olevaa laiminlyöntiä tietosuojan tai tapauksiin reagoimisen suhteen.

Mutta mikä tärkeintä, yritysten hallitusten on oltava tiedon eheyteen, eettisiin teknologiakäytäntöihin ja kollektiiviseen vastuuseen sitoutuneen kulttuurin keihäänkärkenä. Kyberriskien hillitseminen luottaa siihen, että yritysjohtajat näyttävät esimerkkiä omistamalla henkilöstön, budjetin ja huomion, jonka turvallisuus ansaitsee, kun heille uskotaan asiakkaiden hyvinvointi ja toimeentulo.

Uhat ovat monimutkaisia, mutta ylitettäviä niille, jotka ymmärtävät, että kyberresilienssi perustuu koordinaatioon eristyneisyyden sijaan. Taitavat yritykset valmistautuvat myrskyisiin aikoihin rakentamalla ennakoivasti kumppanuuksia, sisäistä kapasiteettia ja luotettavia järjestelmiä, jotka ovat valmiita saamaan turvallisesti digitaalisen innovaation hyödyt.