Vuosi vaatimustenmukaisuudessa: Viisi asiaa, jotka opimme vuonna 2025

Kirjoittanut Phil Muncaster • 9 joulukuu 2025

Viimeiset 12 kuukautta ovat jälleen kerran osoittaneet, että kyberturvallisuusmaailmassa on harvoin pulaa tapahtumista. Suuret tietoturvaloukkaukset maksoivat organisaatioille miljardeja puntia, kun uhkatoimijat hioivat taktiikoitaan ja kohdistivat armottomasti inhimillisiä heikkouksia. Tekoälyn käyttöönotto alkoi tosissaan monissa yrityksissä, laajentaen niiden hyökkäyspinta-alaa juuri samaan aikaan, kun tekoälyteknologiat antoivat vastustajille vauhtia. Ja koko ajan vaatimustenmukaisuustaakka kasvoi, kun sääntelyviranomaiset tekivät parhaansa vaatiakseen parannettua kyberturvallisuusresilienssiä kaikissa toimitusketjuissa.

Katsotaanpa viittä asiaa, jotka opimme vuonna 2025:

Uudet säännökset lisääntyvät

Määräajat vaatimustenmukaisuuden noudattamiseksi saapuivat nopeaan tahtiin viimeisten 12 kuukauden aikana. Ensimmäisenä tuli Digital Operational Resilience Act (DORA) – EU:n pyrkimys suojella alueen finanssipalvelusektoria. Ratkaisevasti DORA asettaa uusia riskienhallinta-, testaus- ja häiriötilanteisiin reagointivaatimuksia paitsi rahoitusalan toimijoille itselleen myös niiden IT- ja muille operatiivisille toimittajille. Se pyrkii yhdenmukaistamaan lakeja koko blokissa, mikä parantaa perusturvallisuutta asettamalla ylemmän johdon henkilökohtaisesti vastuuseen vaatimustenvastaisuuksista – mikä vaikuttaa arviolta 22 000 yritykseen alueella.

Kriittisenä infrastruktuurina ala oli jo pitkään kaivannut tällaista sääntelyä. IMF:n mukaan kyberongelmat ovat viimeisten kahden vuosikymmenen aikana aiheuttaneet 12 miljardin dollarin suorat tappiot maailmanlaajuisille rahoitusyrityksille. Kuuden kuukauden kuluttua kävi kuitenkin selväksi, että vaatimustenmukaisuus ei ollut kaikkea muuta kuin suoraviivaista. Tutkimus Kesällä julkaistussa tutkimuksessa havaittiin, että vain puolet vastanneista organisaatioista oli sisällyttänyt DORAn vaatimukset laajempiin selviytymisohjelmiinsa. Ja suurin osa ei ollut vielä saavuttanut DORAn selviytymiskykystandardeja.

Muualla vaatimustenmukaisuusrasite kasvoi tarkistuksin EU:n kyberturvallisuuslakiin (CSA), jolla sertifiointijärjestelmät pakollisiksi asetetaan hallinnoiduille tietoturvapalveluille. Hallitus hyväksyi kauan odotettu päivitys Yhdistyneen kuningaskunnan yleiseen tietosuoja-asetukseen (GDPR): Data (Use and Access) Act, jonka pitäisi auttaa vähentämään byrokratiaa, parantamaan turvallista tiedonjakoa ja helpottamaan tiedon vastuullista käyttöä.

Samaan aikaan, uusi NIST-kyberturvallisuuskehys kehittää standardia ajantasaisemmaksi ja tarkoituksenmukaisemmaksi – erityisesti tekoälykehityksen ja automatisoidun päätöksenteon yhteydessä.

Resilienssi keskiössä

Yksi asia, joka yhdistää monia edellä mainituista laeista ja sääntelyjärjestelmistä, on tavoite parantaa kyberturvallisuusriskiä. Otsikoihin nousevat vaaratilanteet, kuten suuret toimitusketjuongelmat häiriö useilla Euroopan lentokentillä ja viikkoja kestänyt kiristysohjelmakatkos Britannian suurin autonvalmistaja näytä meille, miksi sääntelyviranomaiset ovat menossa tähän suuntaan. WEF:n tänä vuonna tekemän tutkimuksen mukaan yli puolet (54 %) maailmanlaajuisista organisaatiot tunnistavat toimitusketjun haasteet suurimpana esteenä kyberresilienssin saavuttamiselle.

Eikä tämä ole vain IT-ongelma. Dragos/Marsh McLennan raportti elokuusta lähtien väitti, että toimintahäiriöiden riski voi maksaa organisaatioille vähintään 330 miljardia dollaria vuodessa.

Siksi organisaatiot, kuten National Cyber Security Centre (NCSC), kehottavat toimiin. virasto sanoi puolet (48 %) niistä tapauksista, joihin sen tapaustenhallintatiimi vastasi kuluneen vuoden aikana, olivat "kansallisesti merkittäviä", kun taas "erittäin merkittäviksi" luokiteltujen tapausten määrä nousi 50 %. Sana "sietokyky" mainitaan 139 kertaa NCSC:n viimeisimmässä vuosikatsauksessa. Valitettavasti perusturvallisuusvalmiudet ovat litistyneet tai hallituksen omien lukujen mukaan keskeisten osaamisalueiden, kuten henkilöstön koulutuksen, toimittajien riskienhallinnan ja tapaustenhallinnan, välillä. Tämä on osasyy siihen, miksi se esitteli vihdoin kyberturvallisuus- ja sietokykylakiesityksen marraskuussa.

Runsaat tietomurrot iskevät asiakkaisiin kovasti

Liian monissa suurissa organisaatioissa tietoturva on edelleen siiloutunut IT-osaston sisällä sen sijaan, että sitä pidettäisiin kasvun mahdollistajana. Toiveena on, että edellä mainittujen kaltaiset säännökset alkavat muuttaa johtokunnan jäsenten mielipiteitä. Samaan aikaan tietoturvajohtajilla on yhä enemmän todisteita rahoituspyyntöjensä tueksi, kun suuret kyberhyökkäykset jatkoivat osumista kotimaihin.

Edellä mainittu Heathrow'n lentokentän häiriö on tästä hyvä esimerkki. Se johtui kiristysohjelmamurrosta lähtöselvitysohjelmistoja toimittavalla Collins Aerospacella, mikä johti viikkojen mittaisiin viivästyksiin joillakin Euroopan lentoasemilla. ransomware hyökkäykset Ison-Britannian pääkadulla jälleenmyyjät M&S ja Co-op Group aiheuttivat yrityksille satojen miljoonien suorat kustannukset ja menetetyt myynnit, ja ne ovat saattaneet tuhota kovalla työllä ansaitun asiakasuskollisuuden.

Jos hallitukset ja ylempi johto eivät yhdistä kyberuhkien sietokykyä, liiketoiminnan suorituskykyä ja pitkän aikavälin brändiarvoa, kilpailijat tekevät sen varmasti. Sophosin tänä vuonna tekemän tutkimuksen mukaan Britannia on jonkinlainen globaali poikkeus. Noin 70 prosentilla kiristysohjelmien uhreista tiedot oli salattu, mikä on paljon enemmän kuin maailmanlaajuinen keskiarvo 50 prosenttia ja Yhdistyneen kuningaskunnan uhrien vuonna 2024 ilmoittama 46 prosentin luku.

Uhkamaisema kehittyy

Silti asiat eivät ole helpottuneet. Tyypillinen yritysten hyökkäyspinta-ala kasvaa jatkuvasti digitaalisiin palveluihin, pilviekosysteemeihin ja tekoälyyn tehtyjen investointien ansiosta. Mutta budjetit ja osaaminen ovat vähissä. Ja uhkatoimijat jatkavat innovointia ja kehittymistä.

Tänä vuonna näimme kasvavaa mieltymystä etäkäyttötyökalujen käyttö (RAT) ja etävalvonta- ja -hallintajärjestelmiä (RMM) hyökkäyksissä. Usein nämä muodostivat seuraavan vaiheen monitasoisessa hyökkäyksessä, jossa alustava pääsy saatiin kohdistamalla haavoittuvuuksia IT-tukipalveluihin ja/tai työntekijöihin visiointitekniikoilla. jatkuu myös ollakseen suosittu. Ja avoimen lähdekoodin ekosysteemin heikkouksia tutkitaan yhä useammin ja tehokkaammin. Ensimmäinen laatuaan npm-mato näytti kuinka pitkälle uhkatoimijat ovat valmiita menemään saadakseen haluamansa.

Organisaatioiden on myös sopeuduttava uuteen todellisuuteen: taloudellisesti motivoituneet kyberrikolliset ja valtiolliset toimijat eivät enää ole toisensa poissulkevia toimijoita. Viivat hämärtyvät ja riskit kehittyvät vauhdilla.

Uusia tekoälyriskejä ilmaantuu

Tätä taustaa vasten tekoäly on sekä mahdollisuus että riski tietoturva- ja vaatimustenmukaisuustiimeille. Toisaalta markkinoille tulee joka viikko innovatiivisia uusia ratkaisuja, jotka parantavat muun muassa havaitsemista ja reagointia, kynätestausta ja haavoittuvuustutkimusta. Automatisoimalla useampia tehtäviä tiimit voivat myös tehdä enemmän vähemmillä resursseilla, mikä on erityisen hyödyllistä jatkuvan osaajapulan keskellä.

Mutta tekoäly on myös riski. Deloitte Australia löysihallusinaatiot voivat vahingoittaa merkittävästi yritysten mainetta. Tekoälyä voidaan käyttää myös ilkeisiin tarkoituksiin, kuten haavoittuvuuksien hyödyntämiseen, sosiaaliseen manipulointiin, haittaohjelmien kehittämiseen ja muuhun. NCSC varoitti tänä vuonna. Ja haavoittuvuuksia olemassa olevat suuret kielimallit (LLM:t) ja alustat, kuten DeepSeek edustavat liiketoimintariskejä, joita on hallittava paremmin.

On hyvä nähdä hallituksen ottavan johtoaseman tekoälyn turvallisuuden ja riskienhallinnan suhteen. uusi käytännesääntö voisi auttaa brittiläisiä yrityksiä valjastamaan teknologian voiman ja samalla rakentamaan projekteja vankemmalle pohjalle. Ja hallituksen aloite Uuden tekoälyn varmistussektorin luominen on lupaava ajatus.

Mutta matkaa on vielä jäljellä. Sillä välin standardit, kuten ISO 27001 ja ISO 42001, voivat auttaa IT- ja tietoturvatiimejä ohjaamaan organisaatioitaan oikeaan suuntaan. Riski on väistämätön, ja se kehittyy jatkuvasti. Ne, jotka ovat parhaimmassa asemassa hallitsemaan sitä systemaattisella mutta ketterällä tavalla, aloittavat vuoden 2026 vahvimpana.

Saadaksesi lisätietoja tämänhetkisistä uhkakuvista, lue artikkelistamme Tietoturvan tila 2025 raportoida.

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Lue lisää Phil Muncasterilta

tietoverkkoturvallisuus 20 tammikuu 2026

tekoälyn hallintokuilun kurominen umpeen ISO 42001 -blogin avulla

Tekoälyn hallintoaukon kurominen umpeen ISO 42001 -standardin avulla

Isossa-Britanniassa on tekoälyn hallintaongelma. Tämä ei ehkä olisi ollut ongelma muutama vuosi sitten, kun projektit olivat useimmissa organisaatioissa hajanaisia. Mutta tänään...

Phil Muncaster

tietoverkkoturvallisuus 6 tammikuu 2026

Viisi tietoturva- ja vaatimustenmukaisuustrendiä, joihin kannattaa kiinnittää huomiota vuonna 2026

Miltä tulevat 12 kuukautta näyttävät kyberturvallisuuden ja vaatimustenmukaisuuden ammattilaisille? Olemme perehtyneet uutisiin, omaksuneet alan ennusteita...

Phil Muncaster

tietoverkkoturvallisuus 11 joulukuu 2025

Onko agenttien tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

Onko agenttisen tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

ChatGPT:n lanseerauksesta on ehkä kolme vuotta, jolloin se käynnisti uuden teknologiavarustelukilpailun, mutta nyt kaikkien katseet ovat agenttisessa tekoälyssä. Kannustajien mukaan se...

Phil Muncaster