Viisi kyberturvallisuus- ja vaatimustenmukaisuustrendiä vuonna 2025

Kuluneet 12 kuukautta ovat jälleen kerran opettaneet meille, että vaikka teknologia jatkaa edistymistä toisinaan häikäisevällä nopeudella, monet turvallisuuden ja vaatimustenmukaisuuden makrotrendit pysyvät ennallaan. Todennäköisesti siis ensi vuoden aikana. Tekoäly ja deepfake-innovaatiot jatkavat taitojen parantamista ja tarjoavat uusia mahdollisuuksia uhkatoimijoille, mutta tietoverkkorikollisuuden demokratisoituminen, valtion toimijoiden aiheuttama kasvava uhka ja lisääntynyt paine kriittisen infrastruktuurin (CNI) tarjoajiin pysyvät himmenemättä.

Tulemme näkemään, että uudet lait alkavat syntyä hallituksille, ja toiset alkavat muotoutua, etenkin Isossa-Britanniassa. Ja näemme verkoston puolustajien kääntyvän nollaluottamukseen useammin, kun toimitusketjun riskikierteet kiertyvät. Tässä on meidän valintamme viidestä tärkeimmästä trendistä, joihin kannattaa kiinnittää huomiota vuonna 2025.

1. Tekoäly ja syvät väärennösuhat ovat suuria

National Cyber ​​Security Center (NCSC) varoitti aiemmin tänä vuonna että tekoäly "lisäisi lähes varmasti kyberhyökkäysten määrää ja tehostaisi niiden vaikutusta seuraavien kahden vuoden aikana". Eikä ole juurikaan syytä epäillä tätä arviota. Generatiivinen tekoäly (GenAI) alentaa erityisesti aloittelevien tietojenkalastelutoimijoiden markkinoille pääsyn esteitä ja nopeuttaa hyökkäyksiä nopeuttamalla ja helpottamalla arvokkaiden omaisuuserien ja haavoittuvien laitteiden tunnistamista hyväksikäyttöä varten.

GenAI lisää myös syvää väärennösuhkaa, mikä yritysympäristössä voi aiheuttaa ongelmia Know Your Customer -tarkisteille, jotka perustuvat biometrisiin tietoihin (kasvot, ääni), joita voidaan nyt huijata erittäin tarkasti. Saatamme myös nähdä enemmän BEC-tyylisiä yrityksiä huijata henkilöstöä tekemään suuria yrityssiirtoja käyttämällä puhetta tai videoita, joiden väitetään esiintyvän toimitusjohtajana tai vastaavana.

Uhkatoimijat pyrkivät käyttämään väärin laillisia palveluita, kuten ChatGPT:tä, ohittaakseen sisäänrakennetut turvakaiteet ja mahdollisesti myydäkseen tällaisen pääsyn palveluna. Suhteellisen pieni määrä LLM-kehittäjiä voisi kannustaa useampia kyberrikollisia etsimään tällaisia ​​ja muita haavoittuvuuksia.

Tekoäly auttaa kuitenkin myös kyberturvallisuusyhteisöä, sillä turvallisuusoperaatioiden (SecOps) analyytikot voivat työskennellä nopeammin ja tuottavammin GenAI-avustajien ansiosta. GenAI:n kyky luoda synteettistä sisältöä auttaa tiimejä kouluttamaan tietoturvatyökalujaan ja käyttäjiään tehokkaammin, kun taas sen kyky etsiä epätavallisia malleja suuria tietojoukkoja auttaa edelleen uhkien havaitsemisessa ja reagoinnissa. Itse asiassa 61% maailmanlaajuisesti organisaatiot uskovat nyt Tekoälyn on oltava välttämätön tehokkaalle ja ennakoivalle uhkien torjumiselle.

2. CNI kasvavan paineen alla

CNI-palveluntarjoajat ovat aina olleet suosittuja hyökkäyskohteita. Mutta rohkaisevat valtion toimijat, hyvin resursoidut kyberrikolliset ja yhä haurastuttava geopoliittinen ympäristö ovat erityisiä huolenaiheita lähestyessämme vuotta 2025. Organisaatiot, jotka eivät ole onnistuneet toteuttamaan NIS 2:n ja sen brittiläisen vastineen määräämiä parhaita käytäntöjä, voivat olla suuressa vaarassa.

Odota näkeväsi enemmän monivuotisia, erittäin kehittyneitä kampanjoita, kuten Volt Typhoon ja lunnasohjelmien ja hacktivistiryhmien opportunistiset hyökkäykset, jotka haluavat tehdä rahaa ja/tai mainetta itselleen. Historiallinen aliinvestointi Yhdistyneessä kuningaskunnassa on johtanut joihinkin järkyttäviin paljastuksiin Yhdistyneen kuningaskunnan huonosta turvallisuusasennosta tykkää Sellafieldistä ja Thames Water. Nämä eivät varmasti jää viimeisiksi.

3. Yhdistynyt kuningaskunta noudattaa kyberturvallisuuslakeja

Yhdistyneessä kuningaskunnassa tapahtuu paljon säädöstenmukaisuuden näkökulmasta vuonna 2025 kaksi suurta lainsäädäntöä lakikirjojen lähellä. Cyber ​​Security and Resilience Bill päivittää verkko- ja tietojärjestelmäsäännöt 2018 (NIS-asetukset). Vaikka se on vähemmän kunnianhimoinen kuin EU:n pyrkimykset tehdä niin, NIS 2:n pitäisi ottaa käyttöön kipeästi kaivattuja määräyksiä. Näitä ovat lain soveltamisalan laajentaminen useammille sektoreille, toimitusketjun turvallisuuden parantaminen ja tapahtumien raportoinnin velvoittaminen erityisesti kiristysohjelmien osalta. Hallitus haluaa myös vahvistaa sääntelyvaltaa, mukaan lukien kykyä tutkia ennakoivasti haavoittuvuuksia ja periä maksuja säännellyiltä organisaatioilta.

Samaan aikaan Digital Information and Smart Data Bill on käytännössä päivitys edellisen hallituksen lakiin Data Protection and Digital Information (DPDI) laki ja lupaa GDPR:n päivityksen. Se toivoo vähentävänsä yritysten noudattamisesta aiheutuvia kustannuksia, virtaviivaistavan tietojen jakamista ja nopeuttavan innovaatioita digitaalisessa identiteetissä. Toisen ehdotetun lain mukaisesti se vahvistaa tietovaltuutetun toimiston (ICO) valtuuksia, mikä puolestaan ​​voi lisätä painetta säännösten noudattamisesta vastaavaan henkilöstöön.

4. C-suite ottaa Cyberin hallintaan

Tämä on kestänyt kauan. Kuitenkin uudet vaatimukset SEC:n kyberturvallisuustiedotussäännöt ja NIS 2:ssa asettaa johtokunnille enemmän vastuuta kyberriskien ymmärtämiseksi. EU-direktiivin tapauksessa ylimmän johdon tulee allekirjoittaa kyberriskien hallintatoimenpiteet, valvoa niiden täytäntöönpanoa ja osallistua turvallisuusalan erityiskoulutukseen. Sääntelyviranomaiset pitävät heitä myös henkilökohtaisesti vastuussa törkeästä huolimattomuudesta ja tahallisesta laiminlyönnistä. SEC puolestaan ​​vaatii nyt pörssiyhtiöitä ilmoittamaan vuosittain kyberriskien hallintastrategiastaan ​​ja hallinnostaan ​​sekä kuvailemaan hallituksen valvontaa uhista johtuvista kyberriskeistä.

Vastaavia toimenpiteitä vastuullisuuden ja avoimuuden lisäämiseksi ylimmän johdon tasolla tullaan antamaan vuonna 2025 yhä useampia uusia lakeja, mukaan lukien EU:n lainsäädäntö. Digital Operational Resilience Act (DORA). Siinä määrätään, että hallitukset "määrittelevät, hyväksyvät, valvovat ja vastaavat kaikkien ICT-riskienhallintakehykseen liittyvien järjestelyjen täytäntöönpanosta." Nämä liikkeet saattavat lisätä CISO:n roolin valvontaa, mutta niiden pitäisi ainakin helpottaa hallituksen kuulemista kyberriskiasioissa.

5. Kansallisvaltioiden ja tietoverkkorikollisuuden linjat hämärtyvät edelleen

Kasvavan geopoliittisen riskin taustalla yksi pitkäaikainen trendi, jonka tulemme näkemään entistä selvemmin vuonna 2025, on kansallisvaltion ja kyberrikollisuuden risteytyminen. Microsoft ilmoitti tämän vuosittaisessa tiedotteessa Digitaalinen puolustusraportti äskettäin varoitettu siitä, että valtion toimijat (esim. Iran ja Pohjois-Korea) eivät ole yhä taloudellisesti motivoituneempia, vaan jotkut (esim. Venäjä) käyttävät tietoverkkorikollisuuden TTP:itä ja jopa ulkoistavat joitakin toimintoja rikollisryhmille. Saatamme myös nähdä hacktivistiryhmien siirtyvän edelleen DDoS-hyökkäyksiä pidemmälle ja ottamaan pommia vihollisen havaittuihin "kohteisiin" lännessä lunnasohjelmilla, tietojen kiristämällä ja tuhoisilla hyökkäyksillä. NCSC on jo varoittanut.

CNI-yritykset voisivat olla ensimmäisinä tulilinjalla, koska häiritsevällä hyökkäyksellä olisi suuri vaikutus väestöön. Kuten mainittiin, ne ovat usein myös yksi huonoimmin suojatuista kohteista, ja niillä on alhainen sietokyky katkoksia vastaan, mikä tekee niistä ihanteellisen ehdokkaan kiristysohjelmille.

Tämä kaikki tarkoittaa, että kyberturvallisuuden ja vaatimustenmukaisuuden ammattilaiset ovat kiireisempiä kuin koskaan vuonna 2025. Onneksi parhaiden käytäntöjen standardit, kuten ISO 27001, auttavat edelleen luomaan vankan perustan selviytyä näistä ja monista muista vuonna 2025 tulevista haasteista. Mutta se voi olla kuoppainen matka.