Executive Insights: Tietoturvan tila vuonna 2024
Sisällysluettelo:
Olen iloinen voidessani esitellä havainnot viimeisimmästämme Tietoturvan tilaraportti, toteutettu yhteistyössä riippumattoman markkinatutkimusyrityksen Censuswiden kanssa. Tänä vuonna laajensimme kyselyämme kattamaan vastaajia Isosta-Britanniasta, Yhdysvalloista ja Australiasta, mikä tarjoaa todella kattavan kuvan nykyisestä tietoturva- ja vaatimustenmukaisuusympäristöstä.
Minulle raportti korostaa tietoturvan keskeistä kehitystä. Keskellä nopeaa teknologista kehitystä ja globaalin liiketoimintaympäristön muutoksia, havainnot korostavat tietoturvan syvää vaikutusta liiketoiminnan kestävyyteen ja menestykseen.
Vahvien tietoturvakäytäntöjen rooli on muuttunut ennaltaehkäisevästä toimenpiteestä liiketoiminnan kasvun perustavanlaatuiseksi ajuriksi. Raportti paljastaa, että organisaatiot, jotka integroivat tietoturvan syvällisesti toimintatapoinsa, tehostavat puolustustaan kyberuhkia vastaan ja vahvistavat markkina-asemaansa, mikä lopulta saavuttaa merkittäviä kilpailuetuja ja taloudellisia etuja.
Tämän päivän riskimaiseman kartoittaminen
Kun mietin alan haasteita, on selvää, että nykypäivän IT-johtajat ovat astumassa tuntemattomille vesille. Pandemia ja sitä seuranneet taloudelliset epävarmuustekijät ovat nopeuttaneet digitaalista muutosta, mutta jokainen uusi investointi ja kumppanuus laajentaa digitaalista hyökkäyspintaamme.
Kun toimitusketjuista tulee yhä enenevässä määrin globaalin kaupan elinehto, niiden haavoittuvuus kyberhyökkäyksiä kohtaan kasvaa, ja kyberrikolliset usein kohdistavat kohteensa pienempiin toimittajiin soluttautuakseen suurempiin organisaatioihin. Tutkimuksemme osoittaa, että 64 % vastaajista näkee useammin toimitusketjun turvallisuusriskejä, ja 79 %:lla on ollut vähintään yksi tapaus viimeisen vuoden aikana.
Tämä todellisuus korostaa, miksi 38 % vastaajista piti toimittajan ja kolmannen osapuolen riskien hallintaa yrityksiensä suurimpana haasteena ja nousi ykkössijalle. Lisäksi IoT- ja BYOD-laitteiden hallinta ja suojaus (30 %) sijoittui viiden suurimman huolenaiheen joukkoon. Näillä sijoituksilla on huomattavaa liiketoiminta-arvoa, mutta tämä arvo voidaan realisoida vain, jos riskejä hallitaan asianmukaisesti.
Monimutkaisten kansainvälisten ja kotimaisten määräysten verkoston noudattaminen oli toiseksi suurin haaste, jonka mainitsi 33 % tietoturvajohtajista.
Tehokas riskienhallinta ja noudattaminen eivät tarkoita vain seuraamusten välttämistä. Ne ovat tärkeitä liiketoiminnan eheyden ja luotettavuuden varmistamisessa, kilpailuedun lisäämisessä ja liiketoiminnan arvon kasvattamisessa. Vaatimustenmukaisuusprosessien virtaviivaistaminen on välttämätöntä pysyäksesi edellä.
Kybernäyttelijöiden säälimätön uhka
Riskiympäristön voimistuessa kyberrikollisten säälimätön innovaatio muistuttaa meitä jatkuvasti haavoittuvuuksista, joita meidän on varottava. Haittaohjelmatartunnat olivat kuluneen vuoden aikana eniten raportoituja tapauksia erityisesti teknologia-alalla. Palveluna käytettävien haittaohjelmapakettien yleistyminen on helpottanut hyökkääjien toteuttaa monimutkaisia hyökkäyksiä, mikä on johtanut tietomurtoihin ja kiristysohjelmahyökkäyksiin. Tulokset vaihtelevat kryptovaluutan louhinnasta ja verkkoon pääsystä täydelliseen järjestelmän salaukseen ja arkaluontoisiin tietoihin tai valtuustietojen varkauksiin.
Näiden kasvavien riskien ohella sosiaalinen suunnittelu on edelleen kriittinen uhka, ja 32 prosenttia vastaajista raportoi tapauksista. Tekoälypohjaisten syväväärennösten kehittyneisyys on myös erityisen huolestuttava, koska ne yleistyvät yrityssähköpostien kompromissijärjestelmissä, ja yli 40 % yrityksistä ilmoittaa, että syväväärennökset vaikuttavat niihin, mikä on kasvua vuoden 0 raportin 2023 prosentista.
Kun kyberuhat kehittyvät entistä kehittyneemmiksi, on tärkeää ylläpitää valppautta ja päivittää jatkuvasti tietoturvastrategioitasi. Näihin uhkiin puuttuminen voi johtaa vakaviin seurauksiin, kuten merkittäviin tietojen menettämiseen, palvelukatkoihin sekä taloudellisiin ja brändivahinkoihin.
Tietosuojan kriittinen rooli
Tieto on edelleen organisaation arvokkain hyödyke. Tämä arvo on syy Säännökset, kuten GDPR, ovat asettaneet niin korkeat standardit tietojen suojaamiseen ja käsittelyyn. Tästä syystä uhkatoimijat ovat erittäin motivoituneita pääsemään käsiksi näihin tietoihin – olipa kyseessä sitten petos, kiristys tai strategiset tarkoitukset.
Kumppanien tietomurtoja on raportoitu eniten, ja 41 % vastaajista mainitsi tällaiset tapaukset viimeisen 12 kuukauden aikana. Tämä korostaa toimittajien aiheuttamia jatkuvia riskejä, koska nämä tiedot ovat usein huonommin suojattuja. Erityisesti nämä rikkomukset ovat yleisempiä teknologia-alalla, 55 prosenttia, kuin vähittäiskauppiaissa, 27 prosenttia.
Taloustiedot olivat toiseksi vaarantunein tyyppi, 39 %, seuraavaksi omaisuus, 34 %, asiakas, 33, ja tuotetiedot, 32 %. Yllättäen vain 27 % vastaajista ilmoitti, että henkilökohtaiset tunnistetiedot (PII) ovat vaarantuneet, vaikka ne olivat yleinen kiristysohjelmahyökkäysten kohde. Tämä tietotyyppi on erityisen vaarassa energia- ja yleishyödyllisillä aloilla, 38 % ja 35 % vähittäiskaupassa.
Raportissa korostettiin, että työntekijöiden koulutuksen ja tietoisuuden parantaminen vaikuttaa myönteisesti. Henkilökohtaisten laitteiden jatkuva käyttö työssä ilman asianmukaisia turvatoimia on kuitenkin edelleen merkittävä riski. Organisaatioiden on jatkettava työntekijöiden kouluttamista ja tiukkojen suojauskäytäntöjen noudattamista näiden uhkien vähentämiseksi.
Tekoälyn kaksoisrooli kyberturvallisuudessa
Tekoäly on sekä haaste että mahdollisuus kyberturvallisuuden alalla. 76 % tietoturva-ammattilaisista uskoo, että tekoäly ja koneoppimisteknologia (ML) parantavat tietoturvaa, ja 64 % suunnittelee lisäävänsä budjettiaan vastaavasti. Nämä työkalut voivat todellakin auttaa kuromaan umpeen taitojen puutteita, automatisoimaan uhkien havaitsemista ja parantamaan vasteaikoja muutamia etuja mainitakseni.
Generatiivista tekoälyä (GenAI) koskevasta hypetystä huolimatta vain 26 % vastaajista ilmoitti ottaneensa käyttöön uusia teknologioita, kuten tekoälyä, ML:ää ja lohkoketjua turvallisuussyistä viimeisen vuoden aikana. Tämä on yllättävää, koska kyberturvallisuuden tekoälysovellukset ulottuvat paljon GenAI:ta pidemmälle, ja ML:ää on käytetty roskapostin suodatuksessa ja muilla alueilla vuosia. Haluttomuus uusiin hankkeisiin saattaa selittää, miksi vain 11 % pitää nousevien teknologioiden hallintaa ja turvaamista merkittävänä haasteena.
Vielä harvempi vastaajista, 7 prosenttia, on huolissaan tekoälyn tietosuojaloukkauksista, joista on tulossa nouseva ongelma organisaatioiden integroiessa GenAI:n toimintoihinsa. Korkean profiilin tapaukset, kuten Samsungin työntekijöiden vahingossa arkaluonteisten tietojen jakaminen GenAI-kehotteiden kautta, korostavat riskejä. Forrester ennustaa merkittäviä tietomurtoja ja viranomaissakkoja GenAI-käyttäjille vuonna 2024, korostaa näiden työkalujen luoman turvattoman koodin uhkaa. Iso-Britannian National Cyber Security Center (NCSC) on myös varoittanut, että GenAI voi pahentaa kiristysohjelmien uhkia helpottamalla valvontaa ja sosiaalista suunnittelua.
Sääntelyympäristö kuitenkin kehittyy. The EU:n tekoälylaki velvoittaa kaikki tekoälyn tarjoajat vastuuseen, joka ottaa käyttöön vaatimustenmukaisuuden arvioinnit korkean riskin tekoälyjärjestelmille. Yhdysvallat luottaa presidentin toimeenpanomääräyksiin, ja mahdolliset liittovaltion lait ovat tulossa. Iso-Britannia on myös ilmoittanut aikovansa säännellä tekoälyn käyttöä. Standardit, kuten ISO 42001, ovat ratkaisevan tärkeitä organisaatiot voivat antaa takeita sääntelijöille.
Vaikka tällä hetkellä vain 13 % vastaajista käyttää tietoturvaa ja vaatimustenmukaisuutta edistääkseen uusien teknologioiden turvallista käyttöönottoa, tämän luvun odotetaan nousevan sääntelytoimien lisääntyessä ja teknologian käytön yleistyessä.
Compliancen liiketoiminnan arvo
Historiallisesti kokoushuoneet ovat pitäneet vaatimusten noudattamista välttämättömänä pahana - keinona välttää rankaisevia sakkoja ja huonoa julkisuutta. Tutkimuksemme paljastaa kuitenkin merkittävän muutoksen tässä käsityksessä. Yhdistyneessä kuningaskunnassa sakot ovat lisääntyneet: 26 prosenttia vastaajista on saanut 250–500 21 punnan sakkoja (2023 prosentista vuonna 35) ja 100 prosentille 250–18 XNUMX punnan sakkoja (XNUMX prosentista). Vaikka sakot ovat tekijä, ne ovat vain osa noudattamistarinasta.
Sääntöjen noudattamisen motivaatiot ulottuvat paljon pidemmälle kuin rangaistusten välttäminen. Vastaajista 34 % pitää vaatimusten noudattamista ratkaisevan tärkeänä kilpailuedun säilyttämisen kannalta, ja yhtä suuren prosenttiosuuden taustalla on asiakkaiden kasvava kysyntä vankille turvatoimille. Yritysten (30 %) ja asiakastietojen (29 %) suojaaminen on myös keskeinen motivaattori, kun taas 27 % pitää vaatimusten noudattamista välttämättömänä uusille markkinoille ja toimitusketjuille pääsyssä.
Panostaminen vaatimustenmukaisuusohjelmiin tuottaa konkreettisia etuja, ja 34 % vastaajista ilmoitti parantuneensa maineensa turvallisina ja luotettavina kokonaisuuksina. 30 % on saavuttanut kustannussäästöjä vähentämällä kyberturvallisuushäiriöitä ja 29 % on saavuttanut ajansäästöjä tehokkaampien tietoturvaprosessien ansiosta. Vaatimustenmukaisuus houkuttelee myös sijoittajia, jotka etsivät matalan riskin yrityksiä (28 %) ja auttaa virtaviivaistamaan tietoturvainfrastruktuuria (28 %), mikä tekee sen hallinnasta helpompaa ja halvempaa. Lisäksi 26 % on parantanut liiketoiminnan päätöksentekoa turvallisten ja luotettavien tietojen avulla, kun taas vain 19 % priorisoi noudattamista sakkojen välttämiseksi.
Eduista huolimatta haasteita on edelleen. Lähes puolet (46 %) vastaajista ilmoitti, että ISO 27001:n noudattaminen kesti kuudesta 12 kuukauteen. Lisäksi 11 prosenttia sanoi, että se kesti 12–18 kuukautta, ja 5 prosenttia väittää, että se kesti yli puolitoista vuotta.
Tämä aikajana osoittaa, että tarvitaan virtaviivaisempia prosesseja ja luotettavia noudattamiskumppaneita. Hyödyntämällä kokeneita kumppaneita organisaatiot voivat nopeuttaa vaatimusten noudattamista, vähentää niihin liittyviä kustannuksia ja ylläpitää vankkoja turvatoimia.
Mitä seuraavaksi tietoturvan suhteen?
On selvää, että organisaatiot jatkavat lukemattomien uhkien ja sääntelyvaatimusten navigointia samalla kun ne ajavat merkittäviä muutosaloitteita, ei vähiten tekoälyn nousevaa roolia. Parhaiden käytäntöjen puitteiden ja standardien noudattaminen ei tarkoita vain säännösten vaatimusten täyttämistä, vaan myös kestävän ja luotettavan liiketoiminnan rakentamista.
ISMS.onlinessa, sitoutumisemme on tukea asiakkaitamme tällä matkalla auttamalla heitä virtaviivaistamaan vaatimustenmukaisuusprosesseja ja turvaamaan digitaalisen tulevaisuutensa. Tulevaisuudessa olen varma, että vankkojen tietoturvakäytäntöjen integrointi on ratkaisevan tärkeää kestävän kasvun ja menestyksen kannalta.
Haluan kiittää kaikkia vastaajia, jotka osallistuivat tähän korvaamattomaan tutkimukseen. Jos haluat lukea koko raportin, voit tehdä sen täältä: https://www.isms.online/state-of-infosec-24/
