Pohditaan vuoden 2023 kyberturvatrendin ennusteita: vuosi tarkastelussa

Viime vuonna teimme ennusteita siitä kyberturvallisuuden trendit, jotka määrittävät vuoden 2023. Nyt, kun vuosi lähenee loppuaan, on aika katsoa taaksepäin noihin ennusteisiin ja nähdä, missä olimme oikeassa ja missä olemme saaneet jättää tavoitteen.

On hyvin selvää, että vaikka jotkut suuntaukset pitivät paikkansa, toiset ottivat odottamattomia käänteitä. Ennustuksemme toimitusketjuhyökkäysten jatkumisesta piti erityisen paikkansa, kuten merkittäviä välikohtauksia Capitassa, Britannian poliisivoimissa ja 3CX:ssä osoittanut. Odotetusti myös IoT-laitteiden nousu ja näiden laitteiden säätely kiihtyivät.

Jotkut suuntaukset, kuten pyrkimys tietomääräysten maailmanlaajuiseen yhdenmukaistamiseen, eivät kuitenkaan edenneet niin nopeasti kuin ennustettiin. Ja salasanaton todennus, vaikka vahvistuukin, ei ole vielä täysin korvannut salasanoja.

Tässä blogiviestissä tarkastellaan uudelleen jokaista ennustamaamme trendiä ja analysoidaan nykytilannetta. Tarkastelemalla osumiamme ja epäonnistumisiamme pyrimme antamaan rehellisen arvion kyberturvallisuuden trendeistä, joilla on nyt merkitystä, ja antaa organisaatioille oivalluksia, joita tarvitaan valmistautumaan seuraavaan vuoteen.

Trendi 1: Tietoturvan ensimmäinen lähestymistapa

Viime vuonna ennustimme, että vuosi 2023 tuo kyberturvallisuuteen yksityisyyden etusijalle ottavan lähestymistavan, joka perustuu ensisijaisesti maailmanlaajuisten tietosuojamääräysten vahvistamiseen. Tämä ennuste osoittautui oikeaksi, sillä yksityisyydestä tuli keskeinen näkökohta poliittisille päättäjille ja teknologiajohtajille.

Tärkeimmät alustat, kuten Google, todellakin siirtyivät kohti tietosuojakeskeisiä malleja – kolmannen osapuolen evästeiden poistamista Chromesta ja Privacy Sandbox -aloitteen käynnistäminen korosti käyttäjien yksityisyyttä. Vaikka nämä muutokset ovat epätäydellisiä, ne edustavat seismistä muutosta mainosteknologiateollisuudessa. Apple myös laajensi tietosuojatyötään uusilla päivityksillä Sovelluksen seurannan läpinäkyvyys.

Tietosuojalakien lisääntyvä tilkkutäkki pakotti organisaatiot myös asettamaan yksityisyyden etusijalle. 

Eurooppa

GDPR oli edelleen digitaalisten oikeuksien vertailukohta. 

Jopa lainkäyttöalueet, joilla ei ole erityisiä lakeja, tunsivat painetta yhdenmukaistaa GDPR:n kanssa tietovirtojen mahdollistamiseksi, kun datasiltojen luomiseen kului paljon vaivaa ja aikaa, jotta tietoja voidaan siirtää maantieteellisten rajojen yli. 

Yhdysvallat

Kalifornia johti syytettä, kun Kalifornian kuluttajatietosuojalaki tuli voimaan vuonna 2023. Muut osavaltiot, kuten Virginia, Colorado, Utah ja Connecticut, ovat myös säätäneet omat tietosuojalakinsa. 

Liittovaltion tasolla, Kongressin lakiehdotukset, kuten Data Care Act ja Online Privacy Act osoittavat laajemman ponnistuksen kansallisen tietosuojakehyksen luomiseksi.

APAC

Kiinassa yksityiskohtaisempi sisältö on otettu käyttöön askel askeleelta alla henkilötietojen suojalaki (PIPL) keskittyen vientiturvallisuuden arviointimenettelyihin ja tietojen viennin vakiosopimuslausekkeisiin (SCC). ja Intian ehdotettu digitaalisten henkilötietojen suojalaki siirsi neulan Aasiassa. Australiassa hallitus aikoi uudistaa yksityisyyslakia ja tehdä useita muutoksia sen nykyaikaistamiseksi ja sen tekemiseksi merkityksellisemmäksi digitaaliaikana.

Tämä tietosuojalainsäädännön globaali laajeneminen teki vaatimusten noudattamisesta monimutkaisempaa, mutta vahvisti tietosuojaa ennen kaikkea tietoturvaa.

Tietosuojakehyksiä koskeva ennusteemme osoittautui myös oikeaksi. Hyväksyminen standardeja, kuten ISO 27001 ja ISO 27701 nopeutuivat organisaatioiden pyrkiessä systematisoimaan tietosuojaohjelmiaan. Nämä viitekehykset tarjoavat hyödyllisiä etenemissuunnitelmia tietosuojavalvontaan ja yksityisyyden hallinnan virallistamiseen.

Vaikka edistystä on tapahtunut, yksityisyysmaisema kehittyy edelleen. Jotkut lait, kuten PIPL, ovat voimassa, mutta kehittyvät hitaasti, ja monilta yrityksiltä puuttuu edelleen kypsät tietosuojaohjelmat. Tietosuojamääräysten kasvu ja käyttäjien kasvavat tietoturvaan liittyvät odotukset ovat kuitenkin vakiinnuttaneet tietosuojan ensisijaiseksi huolenaiheeksi kyberturvallisuudelle ja yritysjohtajille – ne, jotka eivät aseta sitä etusijalle vuonna 2024, voivat jäädä jälkeen muista, sääntelyviranomaisista ja kuluttajista. Yksityisyys etusijalla ei ole enää valinnainen vaan perusta luottamukselle ja menestykselle digitaalitaloudessa.

Suuntaus 2: Tietojen, yksityisyyden ja tietojen sääntelyn maailmanlaajuinen harmonisointi

Viime vuonna odotimme kasvavaa vauhtia tietosuoja- ja tietomääräysten harmonisoinnissa yli rajojen. Tarkoituksena oli tehostaa vaatimustenmukaisuutta maailmanlaajuisesti toimiville yrityksille ja parantaa yhteentoimivuutta. Erilaisten oikeudellisten puitteiden yhteensovittamisen monimutkaisuus tarkoitti kuitenkin, että edistyminen tällä alalla oli odotettua vaimeampaa.

Joitakin alustavia toimenpiteitä otettiin säännösten yhdenmukaistamiseksi kansainvälisesti. EU:n ja Yhdysvaltojen välisen tietosuojakehyksen kaltaiset aloitteet keskityttiin transatlanttisten tietovirtojen mahdollistamiseen yhteisten standardien avulla. APEC jatkoi rajat ylittävän tietosuojasäännöstön kehittämistä Aasian ja Tyynenmeren lainkäyttöalueiden yhdistämiseksi. Tärkeimpien yksityisyyden suojaa koskevien järjestelmien välillä on kuitenkin edelleen merkittäviä eroja.

Euroopan unionin GDPR on edelleen maailman laajin tietosuojalaki. Pyrkimykset vaikuttaa muihin lainkäyttöalueisiin GDPR:n yhdenmukaistamiseksi ovat tuottaneet vaihtelevia tuloksia. Brasilian LGPD:n kaltaiset lait otettiin GDPR:stä, mutta muut alueet valitsivat räätälöidyt säädökset. Ja Intian ja Kiinan kaltaiset maat sääsivät Internetin itsemääräämisoikeutta koskevia lakeja, jotka vahvistivat digitaalista valvontaa.

Erilaiset kansalliset edut muodostavat ratkaisevan haasteen yhdenmukaistamiselle. Hallitukset pitävät usein yksityisyyttä koskevia lakeja suvereniteetin puolustajana ja ulkopuolisen vaikutuksen rajoittamisena. Tämä tekee poliittisesti vaikeaksi lähentyä vakiosääntöjen ympärillä. Kilpailevat prioriteetit yksityisyyden ja talouskasvun ympärillä estävät myös yksimielisyyden.

Vaikka merkittävää maailmanlaajuista harmonisointia on vaikea saavuttaa, organisaatiot voivat silti valmistautua tähän monimutkaiseen maisemaan. Tunnistettujen kansainvälisten standardien ja puitteiden noudattaminen auttaa varmistamaan perustason noudattamisen kaikilla lainkäyttöalueilla. Investointi mukautuviin tiedonhallintaohjelmiin mahdollistaa sopeutumisen uusiin vaatimuksiin. Lainsäädäntökehityksen seuranta kohdemarkkinoilla on olennaista pysyäksesi kehittyvän järjestelmän edellä.

Vaikka tie yhdenmukaistamiseen on pitkä, tietosuojan perusperiaatteiden mukauttaminen saattaa kehittyä ajan myötä. Mutta erilaisten säännösten noudattamisen hallinta jää todennäköisesti todeksi vuonna 2024.

Trendi 3: Salasanaton tulevaisuus edessä

Viime vuonna ennustimme salasanattoman todennuksen yleistyvän vuonna 2023 yritysten pyrkiessä parantamaan turvallisuutta ja käyttökokemusta. Tämä suuntaus toteutui suurelta osin odotetusti.

Suuret teknologiayritykset auttoivat nopeuttamaan salasanatonta tulevaisuutta korkean profiilin toteutuksilla. Microsoft julkisti salasanattoman kirjautumisen kaupallisille Azure Active Directory -käyttäjille, FIDO-standardien hyödyntäminen monitekijätodennuksessa. Apple otti käyttöön salasanat iOS 16:ssa ja macOS Venturassa turvallisena vaihtoehtona salasanoille. Google, Facebook ja muut laajensivat myös salasanattomia käyttöönottoja.

Kuluttajien reaktiot ovat olleet suurelta osin positiivisia, sillä salasanattomat järjestelmät poistavat tunnistetietojen ulkoamisen aiheuttaman kitkan. Laajemman liiketoiminnan käyttöönoton kannalta näihin järjestelmiin liittyy kuitenkin usein tehostettuja henkilöllisyyden todentamisvaatimuksia, jotka tasapainottavat turvallisuuden ja käytettävyyden.

Ennustemme salasanattoman todennuksen integroimisesta nolla luottamusarkkitehtuuri ja identiteetin pääsyn hallinta pitää paikkansa. Organisaatioiden pyrkiessä vahvistamaan käyttäjien identiteetit verkoissa, laitteissa ja ympäristöissä, nollaluottamusperiaatteet auttavat suojaamaan pääsyä. Työkalut, kuten kertakirjautuminen ja mukautuva monivaiheinen todennus, auttavat hallitsemaan kirjautumisia ja estämään tunnistetietojen uudelleenkäytön.

Salasanat kuitenkin säilyvät monissa järjestelmissä. Vanhat sovellukset ja palvelut, joista puuttuu nykyaikainen todennusominaisuus, muodostavat esteitä siirtymiselle täysin ilman salasanaa. Ja vanhan infrastruktuurin kunnostuskustannukset voivat hidastaa käyttöönottoa. Joten vaikka vauhti kohti salasanatonta jatkuu, salasanan kuolema ei ehkä ole vielä täysin täällä.

Tulevana vuonna odotamme lisää salasanattomien järjestelmien integrointia kerroksellisella identiteetinhallinnan suojauksella. Tietojenkalasteluriskeistä huolissaan olevat organisaatiot voisivat ensin kokeilla salasanattomia käyttöönottoja vähäriskisillä alueilla. Ja käyttäjien koulutus on välttämätöntä, sillä salasanaton merkitsee muutosta vuosikymmeniä vanhassa kirjautumiskäyttäytymisessä. Mutta järkevästi käytettynä salasanattomat ja nollaluottamusstrategiat voivat viedä identiteetinhallinnan uudelle tasolle.

Trendi 4: Toimitusketjun ongelma jatkuu

Viime vuonna ennustimme toimitusketjun kyberhyökkäysten voimistuvan, kun uhkatoimijat etsivät uusia soluttautumiskohtia. Valitettavasti tämä ennuste toteutui täysin, ja merkittävät tapaukset osoittavat toimitusketjun jatkuvan haavoittuvuuden.

Useat korkean profiilin yritykset joutuivat kehittyneiden toimitusketjuhyökkäysten uhriksi vuonna 2023, mukaan lukien BA, Boots ja BBC, joita rikottiin palkkayhtiöiden MOVEit-nimisen tiedostonsiirtotyökalun ansiosta. Tekniikkajätti Okta joutui myös yli 5,000 XNUMX työntekijän tietoturvaloukkaukseen kolmannen osapuolen terveydenhuollon tarjoajan kautta. Ja ransomware-jengit kohdistavat yhä enemmän hallinnoituihin palveluntarjoajiin päästäkseen asiakkaisiinsa loppupäässä.

Nämä tapaukset korostavat riskejä, jotka liittyvät heikkojen lenkkien huomiotta jättämiseen ja kumppaneihin liialliseen luottamiseen. Vastauksena yritykset kaksinkertaistivat toimitusketjun kyberstrategioiden käytön ja ottivat käyttöön ISO 27001:n ja NIST:n kaltaiset puitteet luodakseen kattavat tietoturvakontrollit ja -prosessit, jotka ottavat huomioon kolmansien osapuolten vuorovaikutuksen. tähän sisältyy toimittajien säännöllisten tietoturvatarkastusten toteuttaminen, pilviturvallisuuden priorisointi palveluntarjoajan ympäristöjen lukitsemiseksi ja hallittujen palveluntarjoajien painostaminen osoittamaan kybervalmius asiakkaille.

Vaikka toimitusketjun turvallisuus on myönteistä, se on edelleen työn alla monissa organisaatioissa. Kulttuurimuutokset vievät aikaa, sillä syvälle juurtunutta luottamusta kumppaneiden välillä ei voida purkaa yhdessä yössä. Mutta uhat kehittyvät edelleen, mikä tarkoittaa, että toimitusketjun valppaus ei voi heiketä.

Tulevaisuudessa odotamme kolmannen osapuolen riskinhallintaohjelmien (TPRM) yleistyvän kaikilla toimialoilla. Kyberturvallisuus vaikuttaa yhä enemmän hankintapäätöksiin. Ja myyjien valvontaa kiristetään auditoinneilla ja pakollisilla tiedoilla. Vaikka toimitusketjun ongelma ei katoa vuonna 2024, yritykset ovat uudistaneet tarve puuttua näihin jatkuviin uhkiin.

Trend 5: Esineiden internet (IoT) -riskimaisema

Odotimme viime vuonna, että IoT-laitteiden yleistyminen laajentaisi organisaatioiden hyökkäyspintaa. Tämä ennuste toteutui, sillä suojaamaton IoT nousi akilleen kantapäänä vuoden 2023 kybertapahtumiin.

Hyökkääjät kohdistavat jatkuvasti haavoittuvia IoT-laitteita päästäkseen verkkoon. IoT-järjestelmien Log4j-haavoittuvuuksia hyödynnettiin salauskaivostyöntekijöiden käyttöönotossa. Suojaamattomat terveydenhuollon IoT-laitteet vaarantuivat potilastietojen varastamiseksi. DDoS-hyökkäykset hyödynsivät huonosti suojattuja IoT-kameroita ja reitittimiä hukuttaakseen uhrit.

Vastauksena kauan odotetut IoT-tietoturvamääräykset saivat vetoa maailmanlaajuisesti tänä vuonna. EU:n kyberresiliencelaki määrää IoT:n perusturvastandardit vuodesta 2024 alkaen. Yhdysvallat, Iso-Britannia ja muut vastaavat säännökset sulkeakseen IoT-haavoittuvuuksia. Näillä laeilla pyritään hillitsemään vaatimustenvastaisten laitteiden leviämistä.

Yrityspuolella IT-tiimit ryntäsivät inventoimaan yhdistettyjä omaisuutta, päivittämään IoT-laitteiden laiteohjelmistoa ja valvomaan liikennettä IoT-ympäristöissä. IoT-verkkojen segmentointi auttoi rajoittamaan sivusuuntaista liikettä soluttautumisen jälkeen. Mutta monille tuntematon ja hallitsematon IoT-asteikko teki oikea-aikaisesta korjaamisesta vaikeaa.

Samalla kun sääntelyviranomaiset ja yritykset pyrkivät hallitsemaan riskejä, IoT-integraatio lisääntyy edelleen nopeasti. Gartner ennustaa, että IoT-laitteita tulee olemaan yli 30 miljardia vuoteen 2025 mennessä, kun niitä vuonna 11.4 on 2021 miljardia. Tämä IoT-maailman valtava laajeneminen haastaa jopa järeimmät laiteturvajärjestelmät.

Odotamme vuonna 2024 IoT-tietoturvan hallinnasta olevan oma painopistealue. Organisaatiot omaksuvat IoT:n näkyvyyden ja pääsevät käsiksi työkaluihin hallitakseen laitteiden leviämistä. Yhä useammat yritykset etsivät alustoja, jotka yksinkertaistavat omaisuuden hallintaa ja uhkien havaitsemista monimutkaisissa IoT-ekosysteemeissä. Mutta tämän jatkuvasti laajenevan hyökkäyspinnan rajoittaminen vaatii voimakkaita ja koordinoituja ponnisteluja.

Trendi 6: Hallitse kyberturvallisuustaitojen puutetta luovasti

Viime vuonna ennustimme luovia lähestymistapoja, jotka auttavat hallitsemaan kyberturvallisuuden osaamispulaa, joka rajoittaa tietoturvatiimejä. 

Koska kyberrooleissa oli jatkuvasti liian vähän henkilökuntaa, yritykset todellakin ryhtyivät luovasti hankkimaan kykyjä ja rekrytoimaan viereisiltä aloilta, kuten IT, vaatimustenmukaisuus ja suunnittelu päästäkseen hyödyntämättömiin kykyryhmiin. Oppisopimusohjelmat auttoivat muovaamaan kiinnostuneita hakijoita, joilla ei ollut välitöntä kokemusta. Pehmeämpien taitojen korostaminen kyberrooleissa rohkaisi laajentamaan hakijoiden määrää.

Ulkoistaminen kasvoi myös prosessien optimoimiseksi ja sisäisten kyberresurssien vapauttamiseksi. MSSP:t ottivat ulkoistetun valvonnan ja reagoinnin kireitä turvallisuusoperaatiokeskuksia varten. Pilvipalveluntarjoajat tarjosivat hallittuja tietoturvapalveluita infrastruktuurin rasituksen vähentämiseksi. Ja konsultit tarjosivat erikoisasiantuntemusta tiedonpuutteiden täyttämiseksi.

Ulkoistamiseen liittyy kuitenkin mahdollisia riskejä, kuten suurissa kolmannen osapuolen rikkomuksissa havaitaan, jos sitä ei hallita tarkasti. Ja yritykset tarvitsivat edelleen apua kyberturvallisuuden ylimmän johdon saamiseen; aukkoa ei voitu täyttää ulkoistamalla.

Vuoteen 2024 mennessä kybertyövoiman hallinta on edelleen välttämätöntä. Koulutusohjelmat, luova rekrytointi ja parempi resurssien käyttö ulkoistamisen kautta todennäköisesti laajenevat. Kehittyneistä kybertaidoista on kuitenkin edelleen akuutti pula. Alan riippuvuus ylikuormitetuista mutta välttämättömistä turvallisuushenkilöstöistä jatkuu myös lähitulevaisuudessa. Jatkuva luovuus ja investoinnit ovat menestymisen edellytyksiä.

Tärkeimmät huomiot: Tie vahvempaan kyberturvallisuuteen

Jos vuosi 2023 on opettanut yrityksille jotain, tehokas tieto ja kyberturvallisuus ovat nyt välttämättömiä liiketoiminnan menestykselle. 

Tietyt trendit, kuten toimitusketjuhyökkäykset ja IoT:n hajautuminen, kiihtyivät selvästi ennustetulla tavalla. Mutta muut osa-alueet, kuten salasanaton adoptio ja globaali sääntely, etenivät odotettua hitaammin. Kaikki tämä korostaa, että kyberturvallisuus vaatii ketteryyttä ja valppautta. Omahyväisyys on vaarallista, kun uhat muuttuvat niin helposti. 

Pysyäkseen edellä, organisaatioiden on seurattava trendejä jatkuvasti, ei vain vuosittain. Heidän tulee pilotoida uusia ratkaisuja varoen, vaikka lupaus olisi suuri. Investointi mukautuviin perusteisiin, kuten tietoturvakehykseen, riskiperusteiseen tietoturvaan ja työvoiman kehittämiseen, mahdollistaa kääntymisen uusiin haasteisiin.

Vuotta 2024 odotellessamme on odotettavissa lisää epävakautta geopoliittisista jännitteistä, jotka johtavat valtion tukemiin hyökkäyksiin, kvanttilaskentaan ja tekoälyyn, joka tuo uusia teknologisia riskejä. Yhteistyö tulee olemaan kriittistä julkisen ja yksityisen sektorin kumppanuuksista toimittajaekosysteemien kumppanuuteen, joka nostaa perustason kestävyyttä toisiinsa linkitetyissä toimitusketjuissa. Kyberriski on tullut jäädäkseen, mutta yhteisillä toimillamme voidaan luoda luotettavampi digitaalinen ekosysteemi, joka tasapainottaa edistymisen ja suojan.