Vaatimustenmukaisuuden vuosi: viisi tärkeintä trendiä vuodelta 2024

Turvallisuus- ja vaatimustenmukaisuustiimeille on kulunut jälleen vuosi täynnä tapahtumia. Buffetaamia ransomware hyökkäykset, toimitusketju ja avoin lähdekoodi uhkat, infovarastajat, maailmanlaajuiset IT-katkot, ja paljon muuta, monet kamppailivat pitääkseen päänsä veden yläpuolella. Teknologian innovaatioiden, erityisesti tekoälyn (AI) kiihtyessä, myös sääntelijöillä oli kiireinen vuosi. Kuitenkin, kun lainsäädännölliset valtuudet kasautuivat, jonkin verran turvallisuutta ammattilaiset myönsivät että monet uudet säännöt ovat liian vaikeita ymmärtää ja liian aikaa vieviä toteuttaa. 

Tämä on huolestuttava trendi, joka todennäköisesti jatkuu osaamispulan pureessa. Mutta valoa tunnelin päässä on, jos turvallisuustiimit löytävät tavan optimoida vaatimustenmukaisuusponnistelunsa parhaiden käytäntöjen, kuten ISO 27001:n, avulla. Nämä ovat viisi asiaa, jotka opimme vuodesta 2024 lähtien. 

Australia on vihdoin vakavissaan kyberturvallisuuden suhteen 

Siitä on kulunut kauan, mutta Australia sai vihdoin ensimmäisen itsenäisen kyberturvallisuuslainsäädäntönsä. Kyberturvallisuuslaki on kirjoitettaessa edelleen tiensä parlamenttiin, ja se on kunnianhimoinen uusi laki, joka lupaa panna täytäntöön seitsemän keskeistä aloitetta, jotka on esitetty Albanian hallituksen uudessa Kyberturvallisuusstrategia. Se määrää ransomware-maksujen raportoinnin ja uusien älylaitteiden standardien sekä kannustaa muun muassa tiedon jakamiseen viranomaisten kanssa. 

Asiantuntijat sanovat että australialaiset organisaatiot voivat päästä todennäköisten uusien vaatimusten edelle tarkistamalla nykyiset turvallisuuskäytäntönsä, selvittämällä, missä on puutteita tai parantamisen arvoisia alueita, ja noudattamalla turvallisuutta suunnitteluun perustuvaa ajattelutapaa. Jotain täytyy varmasti muuttaa Down Underin alla. Vuoden 483 toisella puoliskolla tehtiin 2023 tietomurtoilmoitusta, mikä on 19 % enemmän kuin vuoden ensimmäisellä puoliskolla, ja suurin osa (67 %) oli haitallisia hyökkäyksiä. 

Tekoälyuhkat lisääntyvät, kun uudet säännöt tulevat voimaan 

Yksi ISMS.onlinen otsikkotilastoista Tietoturvan tilaraportti 2024 on, että 30 % vastaajista koki hyökkäyksiä, joissa käytettiin syvää väärennöksiä. Tämä jättää sen sosiaalisen manipuloinnin ja haittaohjelmatartunnan taakse ja on osoitus teknologian innovaatioiden hämmästyttävästä kiihtymisestä viimeisen vuoden aikana. Kuten aina, sääntelijät ovat kilpaileneet saadakseen kiinni tähän ja muihin yrityksiä, kuluttajia ja yhteiskuntaa koskeviin tekoälyuhkiin.  

EU on yllättäen omaksumassa sääntelyn johtoasemaa tekoälylaki, mikä vaikuttaa Yhdistyneen kuningaskunnan yrityksiin, jotka haluavat myydä sisämarkkinoille. Se työllistää riskiin perustuva lähestymistapa joka luokittelee tekoälyjärjestelmät neljään luokkaan niiden mahdollisen haitan perusteella. Suuren riskin luokkaan kuuluvat vaativat eniten työtä ja vaativat organisaatioilta perusteellisen riskinarvioinnin, inhimillisten valvontamekanismien käyttöönottoa ja varmistaa, että tekoälyjärjestelmät ovat turvallisia, luotettavia ja läpinäkyviä. Muualla, Euroopan neuvoston tekoälyä koskeva puitesopimus on laajapohjainen, kansallisvaltiotason yleissopimus suunniteltu korjaamaan kaikki oikeudelliset aukot, jotka johtuvat nopeasta tekoälyteknologian kehityksestä. Nähtäväksi jää, onko sillä haluttu vaikutus.  

Yhdysvallat on omaksumassa vähemmän käytännönläheistä lähestymistapaa sääntelyyn, mikä todennäköisesti jatkuu uuden Trumpin hallinnon myötä. Mutta tämä sääntelyreikä on täytetään valtion tasolla. Organisaatioiden tulisi pitää ISO 42001 -standardia hyödyllisenä oppaana tekoälyn turvalliseen käyttöön. Uudet ohjeasiakirjat NIST:ltä (vastakkaisista uhkauksista) ja NCSC (tekoälyn kehittämiseen) pitäisi myös auttaa. 

IoT-valmistajat ovat tiukan tarkastelun alla 

Internet of Things (IoT) -järjestelmät etenevät kaikkeen kuntobändeistä älykkäisiin tehtaisiin. Mutta ne muodostavat myös potentiaalisesti merkittävän turvallisuusriskin, koska valmistajilla ei ole tähän mennessä ollut muodollisia säännöksiä parhaiden käytäntöjen vähimmäisstandardien noudattamiseksi. Se on nyt muuttunut uusien Yhdistyneen kuningaskunnan ja EU-tason lakien myötä. Iso-Britannia oli ensimmäisenä iskussa Product Security and Telecommunications Infrastructure (PSTI) laki. Se määrää jokaiselle laitteelle yksilölliset ja vahvat salasanat sekä valmistajan haavoittuvuuksien paljastamis- ja tietoturvapäivitysohjelmat, joiden on oltava käynnissä tietyn ajan.  

Vaikka se on vaatimaton, sen pitäisi auttaa parantamaan IoT-tietoturvastandardeja kuluttajatilassa, ja sitä voidaan parantaa ajan myötä. Kuitenkin EU:n Cyber ​​Resilience Act (CRA) on paljon kunnianhimoisempi, ja sitä vaaditaan kaikilta valmistajilta tai jälleenmyyjiltä, ​​jotka haluavat myydä IoT-tuotteita mantereella. Sillä on laajempi soveltamisala ja se velvoittaa pidemmän luettelon turvavaatimuksista. Yhdistyneen kuningaskunnan yritysten, jotka keskittyvät Eurooppaan, tulisi täyttää PSTI:n vaatimukset keskittymällä luottoluokituslaitokseen. 

Yhdistyneen kuningaskunnan uusi kyberturvallisuuslainsäädäntö on tulossa 

Yhdistyneessä kuningaskunnassa uusi työväenpuolueen hallitus ei haaskannut tänä vuonna aikaa ottaakseen käyttöön uusia kyberturvallisuuteen liittyviä lakeja, joiden tarkoituksena on lisätä maan sietokykyä kehittyviä uhkia vastaan. Pääasiallinen on Kyberturvallisuutta ja kestävyyttä koskeva lakiesitys, joka päivittää NIS-säännöt. Erityisesti se lisää nykyisen NIS-järjestelmän soveltamisalaa "suojatakseen enemmän digitaalisia palveluita ja toimitusketjuja", ottaa käyttöön pakollisen kiristyshaittaohjelmien raportoinnin ja antaa enemmän valtuuksia sääntelyviranomaisille – vaikka kuinka tarkalleen on epäselvää. Hallitus julkisti myös Digital Information and Smart Data Bill, joka on pohjimmiltaan uusi versio säilytetystä Data Protection and Digital Information Billistä, jonka tarkoituksena on päivittää Yhdistyneen kuningaskunnan GDPR-järjestelmä. Compliance-tiimit seuraavat tarkasti kaikkea uutta tietoa ehdotetuista laeista ensi vuonna. 

Edellisen hallinnon viimeiset kuukaudet jättivät myös Yhdistyneen kuningaskunnan yrityksille paljon pureskeltavaa, mukaan lukien ehdotus uudet käytännesäännöt kyberhallintoon ja uusia sääntöjä suunniteltu parantamaan datakeskusten turvallisuutta. 

Kriittisten infrastruktuurien tarjoajilla on paljon tekemistä 

EU:ssa kaksi uutta lainsäädäntöä asettavat tiukkoja vaatimuksia kriittisen infrastruktuurin tarjoajille. Kauan odotettu määräaika NIS 2 -toteutus ohi lokakuussa. Se tuo valtavan määrän ylimääräisiä eurooppalaisia ​​organisaatioita soveltamisalaan, määrää uudet perusturvavaatimukset ja lisää ylimmän johdon vastuuta tapahtumien varalta. Jälleen kerran, Yhdistyneen kuningaskunnan yritysten, jotka käyvät kauppaa Euroopan kanssa, on noudatettava ja he osaavat käyttää parhaiten käytännön standardeja, kuten ISO 27001, auttaakseen heitä tekemään niin. 

Samaan aikaan Digital Operational Resilience Act (DORA) tulee voimaan uuden vuoden alussa: 17. tammikuuta 2025. Se velvoittaa myös uudet tiukat säännöt, tällä kertaa rahoituspalveluyrityksille ja niiden IT-toimittajille. Uudelleen, ISO 27001 voi auttaa luomalla perustavaa laatua olevat prosessit, joita tarvitaan vaatimusten noudattamiseksi sellaisilla aloilla kuin häiriötilanteet, riskienhallinta, toimitusketjun riskienhallinta ja sietokykytestaus. 

Auttava käsi 

Kun yritysten hyökkäyspinnat laajenevat, uhkatoimijat kiertävät edelleen ja sääntelyviranomaiset vaativat yhä enemmän, turvallisuus- ja vaatimustenmukaisuustiimit uhkaavat ylikuormitua työtaakasta. Vaikuttaa siltä, ​​että sillä on huolestuttava vaikutus. Puolet (50 %) Yhdistyneen kuningaskunnan yrityksistä ilmoittaa kokeneensa jonkinlaisen tietoturvaloukkauksen tai -hyökkäyksen viimeisten 12 kuukauden aikana – luku on noussut 70 prosenttiin keskisuurista yrityksistä ja 74 prosenttiin suurista yrityksistä. Tämä on huomattavasti enemmän kuin vuonna 32 vastaava luku 59 %, 69 % ja 2023 %. 

Parhaiden käytäntöjen standardit ja puitteet eivät ole ihmelääke. He voivat kuitenkin tehdä suuren osan raskaasta nostosta, koska monilla edellä mainitun lainsäädännön vaatimuksilla on samat taustalla olevat tavoitteet. Tärkeintä on löytää palveluntarjoaja, joka pystyy nopeuttamaan ja virtaviivaistamaan tätä vaatimustenmukaisuustaakkaa jatkuvien osaamispuutteiden keskellä. Onneksi näitä työkaluja on olemassa.