Verizonin DBIR 2025 verrattuna sinun hallitukseesi: Mitä heiltä puuttuu

Kirjoittanut Phil Muncaster • 24 kesäkuu 2025

Tietoturvajohtajia kutsutaan yhä useammin hallituksen kokouksiin. Splunk-kysely Tammikuussa tehdyssä tutkimuksessa havaittiin, että 83 % osallistuu hallituksen kokouksiin jonkin verran tai useimmiten, kun taas vastaava osuus on suoraan vuorovaikutuksessa toimitusjohtajan kanssa. Silti alle kolmannes vastaajista sanoo, että hallituksessa on yksi tai useampi kyberasiantuntija. Tämä tarkoittaa, että tietoturvajohtajat saattavat puhua, vaikka heitä ei oikeasti kuunnella.

Verizonin tietomurtojen tutkintaraportti (DBIR) on erinomainen tilaisuus oikaista asiat. Se on täynnä arvokasta tietoa uhkakuvasta, jota voidaan käyttää lähtökohtana strategisille keskusteluille. Tietoturvajohtajat, jotka eivät puhu näistä tietomurtojen trendeistä johdon kokouksissa, saattavat jättää organisaationsa alttiiksi riskille.

Viestintäkatkos?

Tutkimukset kertovat, että monissa organisaatioissa tietoturvajohtajat eivät joko puhu hallituksen/yrityksen kieltä tai hallitus ei halua kuunnella – tai molempia. FTI Consultingin tutkimus paljastaa, että lähes kolmannes (31 %) johtajista ei täysin ymmärrä tietoturvajohtajan käyttämiä teknisiä käsitteitä ja että yli puolella (58 %) tietoturvajohtajista on vaikeuksia ilmaista tätä kieltä ylemmän johdon ymmärtämällä tavalla. Lisäksi kolmannes johtajista väittää, että heidän tietoturvajohtajansa epäröivät nostaa mahdollisia tietoturvaongelmia heidän tietoonsa.

Silti ongelma ulottuu molempiin suuntiin. Trend Micron tutkimus Vuonna 2024 tehdyssä tutkimuksessa väitetään, että neljä viidesosaa (79 %) maailmanlaajuisista tietoturvajohtajista on kokenut hallitustyöskentelyssä painetta vähätellä kyberriskien vakavuutta – usein siksi, että heitä pidetään "nalkuttavina" tai "liian negatiivisina". Kolmasosa sanoo, että heidät on sivuutettu suoralta kädeltä. Tämä voidaan yhdistää yleiseen syytökseen: että hallitukset pitävät kyberturvallisuutta edelleen IT-osaston eikä liiketoiminnan asiana. Vain puolet (54 %) Trendin haastattelemista tietoturvajohtajista sanoi olevansa vakuuttuneita siitä, että heidän hallituksensa ymmärtää täysin organisaation kyberriskit – luku, joka ei ole juurikaan muuttunut kolmessa vuodessa.

”Hallitus kuuntelee, kun kyberriski kuulostaa liiketoimintariskiltä – näin siirrytään palvelinhuoneesta johtokuntahuoneeseen. Tietoturvajohtajien on muutettava tekninen monimutkaisuus liiketoiminnan kannalta merkitykselliseksi”, neuvoo Mick Baccio, Splunk SURGen globaali tietoturvaneuvoja.

”Jotta heidän äänensä kuulluksi tulisi, heidän on kurottava umpeen tätä kuilua ja asetettava kyberturvallisuus liiketoiminnan mahdollistajaksi: yhdenmukaistettava tietoturvamittarit tulojen suojaamisen, määräysten noudattamisen ja asiakkaiden luottamuksen kanssa. Yhtä tärkeää on rakentaa epävirallisia suhteita hallituksen jäseniin, jotta heistä tulee luotettu neuvonantaja, ei vain vaatimustenmukaisuuden viestinviejä.”

DBIR-tietomurtojen trendit, joita kannattaa seurata

Olettaen, että tietoturvajohtajat saavat hallituksensa huomion, mistä heidän pitäisi olla huolissaan? Verizonin... viimeisin DBIR perustuu yli 22,000 12,195 tietoturvahäiriön analyysiin, mukaan lukien XNUMX XNUMX vahvistettua tietomurtoa. Se korostaa useita huolenaiheita, kuten:

"Järjestelmämurtojen" vuosittainen nousu 36 prosentista 53 prosenttiin tietomurroista. Nämä ovat kehittyneempiä hyökkäyksiä, joille on ominaista haittaohjelmat ja hakkerointi.
Yllä oleva löydös johtuu kiristyshaittaohjelmahyökkäysten lisääntymisestä, joiden määrä on kasvanut 37 % viime vuodesta ja jotka ovat nyt osa 44 %:a tietomurroista, vaikka maksettujen lunnasrahojen mediaani on laskenut. Pienet ja keskisuuret yritykset kärsivät suhteettomasti.
40 prosentilla kiristyshaittaohjelmien uhreista oli yritysten sähköpostiosoitteita, jotka tietovarkaat olivat varastaneet.
Tunnistetietojen väärinkäyttö (22 %), haavoittuvuuksien hyödyntäminen (20 %) ja tietojenkalastelu (19 %) olivat tärkeimmät tietomurtohyökkäysten vektorit.
Generatiivinen tekoäly on kasvava riski kahdesta syystä: synteettisesti luodun tekstin määrä haitallisissa sähköposteissa (eli tietojenkalasteluviesteissä) on kaksinkertaistunut kahden viime vuoden aikana, ja 14 % työntekijöistä käyttää rutiininomaisesti GenAI-järjestelmiä yrityksen laitteilla. Suurin osa (72 %) käytti tilitunnuksenaan muuta kuin yrityksen sähköpostiosoitetta, mikä viittaa varjo-tekoälyn käyttöön.
Ihmisten osallistuminen tietomurtoihin on edelleen korkeaa, noin 60 %, ja merkittävimpiä niistä ovat tunnistetietojen väärinkäyttö ja sosiaalinen manipulointi.
Haavoittuvuuksien hyödyntäminen tietomurtohyökkäysten vektorina kasvoi 34 %, erityisesti nollapäivähyökkäyksissä, jotka kohdistuivat perimetrilaitteisiin ja VPN-verkkoihin. Vain puolet (54 %) perimetrilaitteiden haavoittuvuuksista korjattiin täysin, ja korjaaminen kesti keskimäärin 32 päivää.
Kolmansia osapuolia koskevien tietomurtojen osuus kaksinkertaistui 30 prosenttiin.
BYOD on edelleen uhka: 46 % järjestelmistä, joihin tietovarkaat ja joilla yrityskäyttäjät varastivat kirjautumistietoja, oli henkilökohtaisia laitteita.

Baccion mukaan tietoturvajohtajien tulisi käydä näiden havaintojen pohjalta "riskirealistisia" keskusteluja hallitustensa kanssa.

"Jos kriisisuunnitelmasi rajoittuu omaan palomuuriisi, sinulla ei ole kriisisuunnitelmaa." Verizonin raportti on selkeä: hyökkäyspinta-ala on laajentunut, ja hyökkääjät hyödyntävät samanaikaisesti inhimillistä, teknistä ja toimitusketjun tasoa. Johtajien on siirryttävä pelkän rastittamisen ulkopuolelle ja kysyttävä itseltään: Missä olemme todella haavoittuvimpia?', hän kertoo ISMS.online-sivustolle.

”Kolmansien osapuolten riskejä ja reunalaitteiden altistumista on käsiteltävä liiketoiminnan jatkuvuusuhkinä, ei pelkästään IT-ongelmina. Hallituksen tulisi vaatia säännöllistä skenaariosuunnittelua tunnistetietojen väärinkäytön, kiristysohjelmien avulla tapahtuvan kiristyksen ja sisäpiiriläisten aiheuttamien tietovuotojen varalta.”

Trend Micron kyberstrategiajohtaja Jonathan Lee väittää, että raportin pitäisi olla jälleen yksi "herätyshuuto" hallituksille tarpeesta yhdenmukaistaa tietoturvastrategia operatiivisen sietokyvyn kanssa.

”Meidän tarvitsee vain tarkastella viimeaikaisia korkean profiilin tapauksia, jotka ovat vaikuttaneet Yhdistyneen kuningaskunnan vähittäiskauppiaisiin, nähdäksemme menetetyt tulot, voitot ja maineen, jotka voivat seurata hyökkäyksestä. Joissakin tapauksissa tietomurto voi olla organisaatiolle eksistentiaalinen uhka. Julkisen palvelun yhteydessä tällä voi olla myös reaalimaailman fyysisiä vaikutuksia, kuten kliininen vahinko, joka aiheutui NHS:n toimitusketjun hyökkäyksestä Synnovisiin”, hän kertoo ISMS.online-sivustolle.

”Pelkkä näiden riskien olemassaolon tunnustaminen ja niiden lisääminen riskirekisteriin ei riitä. Miksi odottaa, että tietomurto iskee organisaatioosi? Eikö ole parempi olla ennakoiva ja valmistautunut kuin reagoiva ja valmistautumaton, jos pahin tapahtuu?”

Kuilun kurominen umpeen vaatimustenmukaisuusohjelmien avulla

Parhaat käytäntöstandardit, kuten ISO 27001, voivat auttaa tässä tarjoamalla hallituksille ja turvallisuusjohtajille yhteisen kielen ja riskiperusteisen lähestymistavan kyberuhkien sietokyvyn parantamiseksi.

”Vaatimustenmukaisuuskehykset eivät pysäytä kaikkia hyökkääjiä, mutta ne estävät kaaoksen vastatoimissasi. Kehykset, kuten ISO 27001 ja SOC 2, tarjoavat yhteisen kielen ja rakenteen kyberturvallisuuskontrollien yhdenmukaistamiseksi liiketoiminnan tavoitteiden kanssa”, sanoo Splunkin Baccio.

”Ne tarjoavat toistettavissa olevaa ja auditoitavaa näyttöä riskienhallinnasta olematta yhtä määräileviä tai hitaita kuin sääntelyjärjestelmät, kuten NIS2. Arvo ei ole pelkästään sertifioinnissa, vaan myös kurinalaisuudessa ja selkeydessä, jota se tuo kyberturvallisuusstrategiaan ja -raportointiin.”

Trend Micron Leen mukaan nämä standardit voivat jopa tarjota kätevän tavan noudattaa määräyksiä, kuten NIS2 ja tuleva Ison-Britannian kyberturvallisuus- ja sietokykylaki.

”Hyökkääjiä vastaan suojautuvien ominaisuuksien vahvistamisen lisäksi tällainen lähestymistapa osoittaa myös sitoutumista toimitusketjun ja digitaalisesti yhteenliitettyjen kumppaneiden korkeiden turvallisuusstandardien ylläpitämiseen”, hän päättelee.

”Näiden vaatimustenmukaisuusohjelmien avulla tietoturvajohtajat voivat kuroa umpeen kuilua kyberturvallisuuden ja organisaatioidensa välillä varmistaen, että turvatoimenpiteitä pidetään organisaation menestyksen ja sietokyvyn keskeisenä osana.”

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Lue lisää Phil Muncasterilta

tietoverkkoturvallisuus 6 tammikuu 2026

Viisi tietoturva- ja vaatimustenmukaisuustrendiä, joihin kannattaa kiinnittää huomiota vuonna 2026

Miltä tulevat 12 kuukautta näyttävät kyberturvallisuuden ja vaatimustenmukaisuuden ammattilaisille? Olemme perehtyneet uutisiin, omaksuneet alan ennusteita...

Phil Muncaster

tietoverkkoturvallisuus 11 joulukuu 2025

Onko agenttien tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

Onko agenttisen tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

ChatGPT:n lanseerauksesta on ehkä kolme vuotta, jolloin se käynnisti uuden teknologiavarustelukilpailun, mutta nyt kaikkien katseet ovat agenttisessa tekoälyssä. Kannustajien mukaan se...

Phil Muncaster

Tietoturva 9 joulukuu 2025

vuosi vaatimustenmukaisuuden parissa viisi asiaa, jotka opimme vuonna 2025 banner

Vuosi vaatimustenmukaisuudessa: Viisi asiaa, jotka opimme vuonna 2025

Viimeiset 12 kuukautta ovat jälleen kerran osoittaneet, että kyberturvallisuuskentässä on harvoin pulaa häiriöistä. Suuret tietoturvaloukkaukset maksavat organisaatioille ...

Phil Muncaster