Kybermonimutkaisuuden navigointi riskimaailmassa: WEF:stä opittu

Kyberuhat ovat saattaneet hieman laskea luettelo maailmanlaajuisista riskeistä seuraavien 2-10 vuoden aikana. Mutta Maailman talousfoorumin (WEF) mukaan ne ovat edelleen merkittävä huolenaihe yritysjohtajille. Kuten kansalaisjärjestön uusin Globaali kyberturvallisuusnäkymä varoittaa, tehokkaan sietokyvyn rakentaminen tällaisia ​​uhkia vastaan ​​on yhä vaikeampaa monimutkaisuuden lisääntyessä.

Jatkossa turvallisuus- ja vaatimustenmukaisuuden ammattilaisten avain ei ole keksiä pyörää uudelleen. Paras tapa toimia on ymmärtää uhkakuva ja se, mikä on suurin riski organisaation sisällä, ja ryhtyä parhaiden käytäntöjen toimenpiteisiin riskin vähentämiseksi jatkuvasti ja todistettavasti.

Mitä WEF sanoo?

WEF:t Globaali riskiraportti 2025 perustuu 11,000 XNUMX yritysjohtajan ja riskiasiantuntijan mielipiteisiin korkeakouluissa, liike-elämässä, hallinnossa, kansainvälisissä järjestöissä ja kansalaisyhteiskunnassa. He sijoittivat "kybervakoilun ja sodankäynnin" (hämmentävästi myös ei-valtiollisten toimijoiden hyökkäykset) viidenneksi lyhyen aikavälin riskien listalla. Se on vähemmän kuin viime vuonna, kun luokka sai nimen "kyberturvallisuus". Ja seuraavan vuosikymmenen pitkän aikavälin riskien suhteen se on yhdeksännellä sijalla kahdeksantena.

Meidän ei kuitenkaan pitäisi lukea liikaa tähän lievään alenemiseen. On myös huomionarvoista, että "AI-tekniikoiden haitalliset tulokset" ovat kuudenneksi pitkän aikavälin riskien luettelossa. Näihin "tuloksiin" voi varmasti vaikuttaa haitallinen kybertoiminta, kuten data-/mallimyrkytys.

Mielenkiintoisempi on WEF:n viime kuussa samalla viikolla julkaisema kyberturvallisuusraportti. Se varoittaa yhä monimutkaisemmasta kyberturvallisuusmaisemasta, jota ohjaavat:

Geopoliittiset jännitteet kasvavat

Nämä vaikuttavat lähes 60 prosenttiin vastanneista organisaatioista, ja kolmasosa toimitusjohtajista mainitsee kybervakoilun ja arkaluonteisten tietojen/IP:n menetyksen merkittävinä huolenaiheina.

Monimutkaisempien toimitusketjujen suurempi integraatio ja riippuvuus niistä

Yli puolet (54 %) organisaatioista mainitsee tämän merkittävimpänä esteenä kestävyyden saavuttamiselle.

Uusien teknologioiden nopea käyttöönotto, hyökkäyspinta-alan laajentaminen

Kaksi kolmasosaa (66 %) vastaajista väittää, että tekoäly vaikuttaa kyberturvallisuuteen seuraavan 12 kuukauden aikana, mutta vain 37 prosentilla on käytössään prosessit tekoälytyökalujen turvallisuuden arvioimiseksi ennen niiden käyttöä.

Kasvava säännösten noudattamisen taakka

Noin 78 prosenttia yksityisen sektorin johtajista sanoo, että kyber- ja tietosuojasäännökset vähentävät tehokkaasti riskejä, mutta kaksi kolmasosaa vastaajista myöntää, että vaatimukset ovat monimutkaisia ​​ja suuri määrä haasteita.

Näitä haasteita pahentaa kasvava kybertaitojen puute, mikä tekee riskeistä vaikeampaa hallita kehittyneempien kyberuhkien ohella. Noin 72 % vastaajista sanoo, että kyberriskit ovat lisääntyneet viimeisen vuoden aikana, ja ransomware-hyökkäykset, toimitusketjuuhat ja kyberkäyttöiset petokset ovat nousseet ensimmäisellä sijalla.

Ongelma kyberresilienssissä

Usein (oikeutetusti) sanotaan, että turvallisinkin organisaatio joutuu lopulta kärsimään jonkinlaisesta tietoturvaloukkauksesta. Siksi CISO:n painopiste on nykyään kyberresilienssissä: kyky "ennakoida, kestää, toipua ja sopeutua" näihin tapahtumiin, jotta liiketoiminta voi jatkua vakavankin tunkeutumisen jälkeen. Joten pitäisi olla huolestuttavaa, että kyberresilienssi on huonontunut pienemmissä organisaatioissa.

WEF:n mukaan riittämättömäksi resilienssiksi väittäneiden pk-yritysten osuus on noussut vuoden 5 2022 prosentista 35 prosenttiin vuonna 2025. Sen sijaan suurissa organisaatioissa luku on käytännössä puolittunut 13 prosentista 7 prosenttiin samana ajanjaksona. Raportin mukaan 71 % kyberjohtajista WEF:n vuosittaisessa kyberturvallisuuskokouksessa 2024 väitti, että pienet organisaatiot ovat saavuttaneet "kriittisen käännepisteen", jossa ne eivät enää pysty suojautumaan tehokkaasti kyberriskien monimutkaisuutta vastaan.

Tällä on merkitystä kaikenkokoisille organisaatioille, sillä suurimmallakin yrityksellä saattaa olla toimitusketjussaan useita pieniä liikekumppaneita. WEF-raportissa korostetaan toimittajien turvallisuusasennon "näkyvyyden ja valvonnan puutetta" johtavana riskinä. Toimittajat voivat tässä yhteydessä tarkoittaa kaikkea avoimen lähdekoodin avustajasta ammattipalvelukumppaniin tai MSP:hen.

Vaikka 63 % raporttiin vastaajista mainitsi "monimutkaisen ja kehittyvän uhkamaiseman" suurimmaksi haastekseen tulla kybersietokykyyn, ensimmäinen – usein ylitsepääsemätön – este on CISO:n ja niiden johtokuntien rakentaa taloudellinen peruste kyberinvestointien lisäämiselle. Tai kuten WEF sanoo: "johtajien tarve mitata kyberriskit ja niiden taloudelliset vaikutukset kohdistaakseen investoinnit ydinliiketoiminnan tavoitteisiin."

Päästä alkuun

Sääntö on elefantti huoneessa täällä. Vaikka hyvin suunniteltu lainsäädäntö voi tarjota arvokkaan painopisteen turvallisuustiimeille heidän pyrkimyksissään hallita riskejä, nykyisestä sääntelystä on tullut erittäin haastavaa navigoida. Kolme neljäsosaa (76 %) CISO:ista aiemmin mainitussa WEF:n vuosikokouksessa ilmeisesti ilmoitti, että "säännösten hajanaisuus lainkäyttöalueiden välillä vaikuttaa suuresti niiden organisaatioiden kykyyn noudattaa säännöksiä". Tämä sopii yhteen ISMS.onlinen kanssa Tietoturvan tilaraportti 2024, joka paljastaa, että 65 % vastaajista katsoo, että sääntelyn nopea muutos vaikeuttaa tietoturvan parhaiden käytäntöjen noudattamista.

Tässä standardit ja sertifioinnit voivat auttaa luomalla perustan, jolle säädöstenmukaisuusohjelmat voidaan rakentaa. Koska monet näistä säännöksistä edellyttävät samojen parhaiden käytäntöjen käyttöönottoa, se voi myös säästää aikaa, rahaa ja vaivaa. Siksi 59 % ISMS.online-tutkimukseen vastanneista väittää aikovansa lisätä menoja näihin ohjelmiin tulevan vuoden aikana.

Malachi Walker, DomainToolsin tietoturvaneuvoja, väittää, että tämä lähestymistapa ei ainoastaan ​​auta säännösten noudattamiseen, vaan se voi myös edistää kilpailuetua kelpoisuuden lisäämisen sopimuksiin, turvallisuustiimin tehokkuuden ja lisääntyneen asiakkaiden luottamuksen muodossa.

"Parhaiden käytäntöjen standardit, kuten NIST CSF, SOC 2 ja ISO 27001, täyttävät tämän aukon antamalla toimivia ja erityisiä vaiheita, joita organisaatiot voivat noudattaa parantaakseen kybersietokykyään", hän kertoo ISMS.online-sivustolle.

"Jokainen organisaatio koosta riippumatta voi rajoittaa pääsyn hallintaan arkaluontoisiin tietoihin, kehittää ja toteuttaa suunnitelman tapauksiin reagoida ja hahmotella, mitkä osa-alueet organisaatiossa ovat haavoittuvimpia. Jos he lähestyvät näiden kolmen vaiheen noudattamista mielessään, vaatimustenmukaisuus ja kyberturvallisuuden sietokyky ovat paremmin saavutettavissa."

Kuten WEF toteaa raportissaan: "Aika toimia on nyt".