WEF-raportti: Petos on nyt toimitusjohtajien suurin kyberhuolenaihe, mutta ei ainoa

Viisi vuotta on pitkä aika kyberturvallisuudessa. Silti Maailman talousfoorumi (WEF) on tehnyt toimitusjohtajille kyselytutkimuksia jo tuon ajan. Globaali kyberturvallisuusnäkymä raportteja. Toiveena on, että tuloksena oleva näkemys antaa yritysjohtajille valmiudet mukauttaa strategiaa ja navigoida nopeasti kehittyvässä uhkamaisemassa. Tämän vuoden tarjous asettaa petokset, tekoälyn ja geopolitiikan vahvasti kasvavan huolenaihelistan kärkeen. Ja kuten viime vuonna, kyberturvallisuus on tavoite, johon kaikki pyrkivät.

Kuten kuitenkin keskustelimme IO:ssa (entinen ISMS.online) Tietoturvan tilaraportti 2025ongelman diagnosoinnin ja sille tehtävien toimien välillä on usein melkoinen kuilu.

Mitä WEF löysi

WEF-kyselyssä hieman yli 800 yritysjohtajaa tämän vuoden raporttia varten. Keskeisimpiä havaintoja ovat seuraavat:

Petos nousee kärkeen

Toimitusjohtajat ja tietohallintojohtajat erosivat hieman kahden tärkeimmän huolenaiheensa suhteen. Vaikka tietohallintojohtajat mainitsivat (järjestyksessä) kiristyshaittaohjelmat ja toimitusketjun häiriöt samalla tavalla kuin viime vuonna, heidän toimitusjohtajakollegansa sijoittivat kyberturvallisuuteen perustuvat petokset kärkeen, ja niitä seurasivat tekoälyyn perustuvat haavoittuvuudet. Petoksella he tarkoittavat yrityskeskeisiä uhkia, kuten tietojenkalastelua/smishing-huijauksia/vishing-huijauksia, laskupetoksia (kuten BEC) ja sisäpiiripetoksia, mutta myös rikostyyppejä, jotka yleisemmin yhdistetään kuluttajien tappioihin, kuten identiteettivarkauksia ja jopa sijoituspetoksia/kryptovaluuttahuijauksia.

IO-raportti näyttää olevan samaa mieltä. Se paljasti, että 30 % vastaajista oli kokenut tietojenkalastelua edellisen 12 kuukauden aikana, kun vuonna 2024 luku oli vain 12 %.

Kuten viime raportti Microsoftin mukaan käytössä on hienostunut ja joustava maailmanlaajuinen infrastruktuuri, joka helpottaa tietyntyyppisiä petoksia, kuten BEC:tä, jotka vaikuttavat yrityksiin. Mutta jopa nimellisesti kuluttajiin keskittyvät kampanjat, jotka keskittyvät esimerkiksi identiteettivarkauksiin, voivat vaikuttaa yritysmaailmaan.

As Check Point väitti Äskettäisessä kirjoituksessa huijarit voisivat kerätä henkilökohtaisia ​​ja laitetietoja, mukaan lukien "eläväisyysselfieitä", käyttää tietoja muuhunkin kuin henkilöllisyystodistuspetoksiin. Tarkemmin sanottuna tietoja voitaisiin käyttää yritysten todennusjärjestelmien ohittamiseen ja työntekijöiden henkilöllisyyden käyttämiseen IT-tukipalvelun salasanan nollauksissa. Ja jos yksityishenkilöt menettävät suuria summia sijoitushuijauksissa, he saattavat olla alttiimpia pakottamiselle/kiristykselle haitallisina sisäpiiriläisinä.

Tekoäly tehostaa kyberriskejä

Myös WEF:n vastaajat korostivat tekoälyä keskeisenä kyberriskin ajurina. Mielenkiintoista kyllä, tekoälyn merkitys korostui vähemmän sen kyvyssä mahdollistaa tietojenkalastelua, syvähuijauksia ja haittaohjelmia (mikä koski 28 %) ja enemmän tietovuotoja, jotka voivat johtua GenAI:n väärinkäytöstä (30 %). Tämä viittaa huoleen tekoälyn kasvavasta käytöstä yrityksissä, mikä laajentaa kyberhyökkäysten pinta-alaa. Itse asiassa 87 % vastaajista uskoo tekoälyn haavoittuvuuksien lisääntyvän (verrattuna 77 %:iin, jotka sanovat samaa petoksista, ja 65 %:iin, jotka sanovat samaa petoksista).

Io-data valaisee asiaa tarkemmin. Kolmasosa (34 %) vastaajista kertoi meille olevansa huolissaan varjotekoälystä, ja 54 % myönsi ottaneet GenAI:n käyttöön liian nopeasti ja kohtaavansa nyt haasteita sen vastuullisemmassa toteuttamisessa. Riski kukoistaa usein varjoissa: mitä organisaatiot eivät näe, sitä ne eivät voi hallita.

Geopolitiikka on keskeinen turvallisuusstrategiaan vaikuttava tekijä

Lähes kaksi kolmasosaa vastaajista kertoi WEF:lle, että geopoliittisesti motivoituneet kyberhyökkäykset ovat keskeinen näkökohta kyberriskienhallintastrategioita suunniteltaessa. Raportin mukaan tämän alan epävakaus on pakottanut lähes kaikki (91 %) suuret organisaatiot mukauttamaan lähestymistapaansa tietoturvaan. Tämä vastaa IO:n näkemystä, jonka mukaan 88 % yhdysvaltalaisista ja brittiläisistä yrityksistä pelkää valtioiden tukemia hyökkäyksiä, ja lähes neljännes (23 %) sanoo, että heidän suurin huolenaiheensa tulevana vuonna on valmistautumisen puute "geopoliittiseen eskaloitumiseen tai sodanaikaisiin kyberoperaatioihin". Kolmasosa (32 %) väittää, että geopoliittisen riskin hallinta on heidän ensisijainen motivaationsa vahvaan tietoturvaan ja vaatimustenmukaisuuteen.

Vielä huolestuttavampaa on, että 31 % WEF:n kyselyyn vastanneista ilmoitti luottavansa maansa kykyyn reagoida vakaviin kyberongelmiin, kun viime vuonna vastaava luku oli 26 %. Euroopassa luku nousee 40 prosenttiin. Hallituksen on nopeutettava kyberturvallisuus- ja sietokykylakiesityksen sekä kybertoimintasuunnitelman toimenpiteiden täytäntöönpanoa.

Toimitusketjut ovat edelleen este sietokyvylle

Toimitusketjut ovat edelleen merkittävä kyberriskin lähde, ja sitä on edelleen vaikea hallita. Kaksi kolmasosaa (65 %) vastaajista kertoi WEF:lle, että heidän suurin haasteensa on tulla kyberturvalliseksi. Lukema nousi viime vuoden 54 prosentista ja on hieman nopeamman uhkakuvan (63 %) ja vanhojen järjestelmien (49 %) yläpuolella.

He ovat oikeutetusti huolissaan. Noin 61 % Yhdistyneen kuningaskunnan ja Yhdysvaltojen organisaatioista kertoi IO:lle, että kolmannen osapuolen toimittajan aiheuttama tietoturvahäiriö on vaikuttanut heidän liiketoimintaansa viimeisen vuoden aikana. Monet sanoivat sen johtaneen asiakkaiden/työntekijöiden tietomurtoihin (38 %), taloudellisiin menetyksiin (35 %), toiminnan häiriöihin (33 %), asiakasvaihtuvuuteen/luottamuksen menetykseen (36 %) ja lisääntyneeseen kumppanien valvontaan (24 %).

Kohti selviytymiskykyä

Tätä taustaa vasten yritys- ja tietoturvajohtajat tietävät, etteivät he voi pysyä 100-prosenttisesti suojattuina tietomurroilta. Siksi painopisteen on siirryttävä resilienssiin: siihen, miten ennakoida, kestää ja toipua nopeasti tapahtumista, pitäen yllä mahdollisimman lähellä normaalia toimintaa. JLR ja M&S rikkomukset ovat osoittaneet, että tämä on helpommin sanottu kuin tehty.

WEF:n mukaan suurimmat esteet kyberuhkien sietokyvylle ovat nopeasti kehittyvä uhkakuva ja uudet teknologiat (61 %), kolmansien osapuolten haavoittuvuudet (46 %) sekä kyberosaamisen ja -asiantuntemuksen puute (45 %). Myös perintö ja rahoitus mainittiin keskeisiksi tekijöiksi. Miten organisaatiot voivat siis voittaa nämä haasteet?

Mielenkiintoista kyllä, raportissa havaittiin, että joustavammat organisaatiot todennäköisemmin:

• Pidä hallituksen jäsenet henkilökohtaisesti vastuussa rikkomustapauksissa
• Suhtaudu myönteisesti kyberturvallisuuteen liittyviin määräyksiin
• Ovat riittävät taidot kyberturvallisuustavoitteidensa saavuttamiseksi
• Arvioi tekoälytyökalujen tietoturva ennen käyttöönottoa
• Ota turvallisuus mukaan hankintaan
• Simuloi tapahtumia ja suunnittele toipumisharjoituksia kumppaneiden kanssa
• Arvioi toimittajien tietoturvakypsyyttä.

Monet näistä asioista ovat parhaiden käytäntöjen standardien, kuten ISO 27001 ja ISO 42001, määräämiä. Jälkimmäinen sopii erityisen hyvin organisaatioiden auttamiseen kuroa umpeen hallintokuilua ja hallita riskejä (mukaan lukien tietovuotoja) laajenevalla tekoälyhyökkäyspinnalla.

IO:n mukaan 80 % Yhdistyneen kuningaskunnan ja Yhdysvaltojen organisaatioista on omaksunut tällaisten standardien mukaisen toiminnan rakentaakseen selviytymiskykyä jäsennellyllä ja riskiperusteisella tavalla. Epävakaan liiketoiminta- ja uhkatilanteen vuoksi ne, jotka eivät noudata näitä standardeja, ovat yhä epäedullisemmassa asemassa.