6 kuberveiligheidstendense wat ondernemings in 2024 sal beïnvloed

As 2023 maatskappye iets geleer het, is dit dat kuberrisiko's met dieselfde vlak van sigbaarheid, bestuur, beplanning en hulpbronne hanteer moet word as ander beduidende besigheidsrisiko's soos finansiële toestande, wetlike aanspreeklikhede of bedryfsontwrigtings.

Die opskrifte is oorspoel met stories van data-oortredings en kuberaanvalle wat veroorsaak word deur swak, onduidelike of selfs 'n volledige gebrek aan inligting en datasekuriteitbestuursprosesse. Die resultaat? Beduidende finansiële verliese, reputasieskade en stewige boetes van regulatoriese liggame vir die betrokke organisasie, hul verskaffers en, in sommige gevalle, selfs individue.

In reaksie op die toename in kuberbedreigings het regulasies wat kuberveiligheid en inligtingsekuriteitspraktyke reguleer vinnig uitgebrei. Net hierdie week, die EU het hul politieke ooreenkoms oor KI-regulering aangekondig, met ander regulasies soos die Wet op Kuberveerkragtigheid en Produksekuriteit en Telekommunikasie-infrastruktuur (PSTI) wetsontwerp wat by gevestigde regulasies soos GDPR en NIS aansluit. Die VSA het gesien hoe 'n Uitvoerende Bevel uitgereik is oor kuberveiligheid en SEC regulasies ingestel op oortreding openbaarmaking. Al hierdie maak dit duidelik dat organisasies in staat moet wees om inligting en datasekuriteit beste praktyke en effektiewe implementering oor alle aspekte van hul besigheid te demonstreer.

Gegewe waar ons nou is, wat presies hou 2024 vir maatskappye in? Ons het na ses sleuteltendense gekyk wat ons dink die inligting- en kubersekuriteitslandskap in 2024 sal oorheers en dit hieronder opgedeel.

Tendens 1: Toenemende regulering van KI en masjienleer (ML)

KI en masjienleer (ML) het vinnig noodsaaklik geword in besigheid, wat besluitneming optimaliseer, take outomatiseer en insigte verskaf wat menslike vermoëns oortref. Die voorkoms daarvan het wydverspreide besprekings ontketen oor die implikasies daarvan vir besighede, individue, privaatheid en digitale sekuriteit.

Gegewe hierdie stelsels se deurdringende en outonome aard, wat 'n aansienlike impak op verbruikers-, werknemers- en infrastruktuurwelsyn het, is daar 'n kritieke behoefte aan deurdagte regulering om tred te hou met hul ontwikkelende vermoëns. Die vraag na deursigtigheid, aanspreeklikheid, anti-bevooroordeelde maatreëls en foutkorreksiemeganismes in KI-besluitneming het deur die loop van 2023 gegroei. Soos KI na hoërisikogebiede uitbrei, sal hierdie neiging net verskerp.

Gevolglik sal 2024 'n landmerkjaar wees vir geformaliseerde KI-bestuur, wat robuuste wette, bedryfsraamwerke en korporatiewe beleide insluit. Wetgewers in die Amerikas, Europa en Asië is besig om voorstelle op te stel wat morele en wetlike verpligtinge op KI-verskaffers, ontwikkelaars en ondernemings oplê. Die EU het hul politieke ooreenkoms vir 'n KI-wet aangekondig net hierdie week. 

Terwyl internasionale groepe soos IEEE en ISO reeds omvattende, verenigde standaarde daarstel vir die veilige skep, evaluering en implementering van ML-stelsels oor verskeie industrieë en toepassings, wat waarskynlik in die Nuwe Jaar gepubliseer sal word.

Ons verwag ook dat dit die norm sal word om direksies te stig om toesig te hou oor verantwoordelike KI-praktyke, ouditontwikkelingsprosesse en modelrisiko's binne organisasies te bestuur. Naas ander aktiwiteite, soos; 

• Etiekkontrolelyste om datawetenskaplikes te help om verteenwoordigende datastelle en onbevooroordeelde algoritmes te skep 
• Deursigtigheidsklousules vir KI-modeluitruilings en diensintegrasies ingesluit by vennootkontrakte

Die doelwit om KI te reguleer is prysenswaardig: om te verseker dat KI-beïnvloed besluite billik is en dat maatskappye outomatisering pas nadat hulle risiko's ten volle verstaan ​​en versag het, is noodsaaklik. Hierdie regulasies kan egter bykomende kompleksiteite en vertragings instel vir KI-innoveerders en organisasies wat sulke tegnologie wil gebruik.

Terwyl beleidmakers en bedryfsleiers werk om KI se produktiewe potensiaal te benut, terwyl potensiële nadele voorkomend aangespreek word, moet ondernemings gereed wees om voldoening beide intern en aan hul kliënte te demonstreer. Dit dui op die koms van 'n nuwe fase in KI-ontwikkeling: vorder vinnig, dog met 'n verhoogde verantwoordelikheidsin.

Tendens 2: Toenemende kompleksiteit van Ransomware

Ransomware-aanvalle sal na verwagting selfs meer algemeen en gesofistikeerd word in 2024. Namate meer besighede hul bedrywighede digitaliseer en sensitiewe data in die wolk stoor, sal lospryswaregroepe waarskynlik hul fokus verskuif na wolkomgewings en rugsteundatawinkels om die hefboomwerking vir afpersing te maksimeer.

Een neiging aan die toeneem is "dubbele afpersing"-ransomware-aanvalle. In hierdie skemas enkripteer die aanvallers data en eksfiltreer sensitiewe inligting uit die slagoffer se stelsels, wat hulle dan dreig om aanlyn te publiseer of te verkoop as die losprys nie betaal word nie. Hierdie bykomende druk maak slagoffers meer geneig om te betaal. Aanvallers kan selfs die gesteelde data aan die hoogste bieër opveil.

Boonop is ransomware-groepe besig om ransomware-as-a-service (RaaS)-bedrywighede en wanware-geaffilieerde programme te vestig om hul impak te vergroot. Hierdie skemas bied maklik-om-te gebruik losprysware-nutsmiddelstelle vir kubermisdadigers met beperkte tegniese vaardighede vir 'n gedeelte van die winste. Dit desentraliseer verder en versprei die risiko oor meer aanvalle.

Gegewe die toenemende bedreigings, sal ons dalk in 2024 'n regulatoriese druk rondom losprysware-veerkragtigheid sien. Regulasies kan organisasies vereis om: 

• Het insidentreaksieplanne vir ransomware-scenario's
• Onderhou vanlyn rugsteun van data 
• Voer kuberveiligheidsbewustheidsopleiding uit
• Implementeer kuberversekeringspolisse

Diegene wat nie voldoen aan aangewese beste praktyke oor die voorkoming van en voorbereiding vir losprysware nie, kan boetes of ander optrede in die gesig staar. Sulke regulering bied egter ook uitdagings rondom implementering en toepassing oor verskeie sektore heen.

Ons sal waarskynlik ook meer fokus sien op internasionale vennootskappe, soos die International Counter Ransomware Initiative (CRI), om "die losprysware-besigheidsmodel te breek deur beleid, wetstoepassing en operasionele agentskappe wêreldwyd bymekaar te bring om losprysware te ontwrig terwyl veerkragtigheid teen kwaadwillige kuberakteurs opgebou word".

Tendens 3: Uitbreiding van IoT en verwante risiko's

Die Internet of Things-revolusie is stewig aan die gang. Gartner se voorspellings dat meer as 33 miljard IoT-toestelle vir ondernemings en motors teen 2024 aktief gebruik sal word.

Tog gee hierdie oorvloed van gekoppelde toestelle, terwyl dit doeltreffendheid lewer, hackers ook oorvloedige nuwe aanvalsvektore om te ontgin. Baie IoT-stelsels ontbreek steeds basiese sekuriteitsbepalings soos data-enkripsie wat vertroue in netwerkomtrekverdediging is om voldoende te wees. 

Besigheidskritiese operasionele tegnologie (OT)-infrastruktuur wat voorheen in fabrieke geïsoleer is, is nou gekoppel aan IT-bestuurstelsels, wat brose industriële beheermaatreëls aan digitale bedreigings blootstel. Daar bestaan ​​min firmware-opdaterings om kwesbaarhede in verspreide IoT-toestelle te herstel, van kameras tot kliniekinfusiepompe.

Veral vervaardiging, nutsdienste en gesondheidsorg moet IT-sekuriteit nou heroriënteer rondom die beveiliging van 'n groeiende aanvalsoppervlak gepeper met onseker toestelle. Aktiwiteite soos: 

• Segmentering van netwerke
• Monitor verkeer aktief vir afwykings
• Vereis toegangskontroles
• Implementering van veilige data-oordragprotokolle 

Alles help om die risiko's wat interkonneksie meebring, te versag.

Ons verwag om meer organisasies te sien aansluit by raamwerke soos ISO 27001 in die aanpak van IoT-risiko, aangesien dit 'n gestruktureerde beoordeling van inligtingsekuriteitsrisiko's en beskermingskontroles vereis wat ingestel is op 'n organisasie se spesifieke konteks. Hierdie nul-trust-benadering pas by die uitdagings van IoT.

2023 het reeds pogings gesien om die inligtingsekuriteit en privaatheid vir IoT-toestelle aan te pak met wetgewing soos: 

• Die EU-wet op kuberveerkragtigheid
• US Cybersecurity Maturity Model Sertifisering (CMMC) 
• Die Amerikaanse Wet op Gekonsolideerde Bewilligings 
• Britse produksekuriteit en telekommunikasie-infrastruktuurwetsontwerp 

Ons verwag dat gestandaardiseerde sekuriteitsregulasies soos hierdie sal toeneem en dat die toepassing strenger sal word in 2024, tesame met industrie-alliansies om sterker IoT-beskerming te bevorder, veral vir nasionale infrastruktuur. 

Ongeag van regulering en afdwinging, verwag ons van maatskappye om vinnig te beweeg om verdediging te moderniseer, aangesien slim infrastruktuur toegangspunte vir teëstanders vermenigvuldig en die risiko vir sakebedrywighede en sukses te beduidend word om te ignoreer.

Tendens 4: Die belangrikheid van Zero Trust-argitekture

Bedryfsontleders verwag dat geen trustraamwerke teen 2025 formele voldoeningsvereistes binne finansies, regering en gesondheidsorgsektore word nie, aangesien aanvalle konvensionele verdedigingsswakhede blootlê.

Werksmagte is besig om te desentraliseer, infrastruktuur beweeg na die wolk, en gebruikers benodig enige plek toegang, wat die aannames verhoog dat duidelike sekuriteitsgrense selfs meer bestaan. Tog maak baie ondernemings steeds staat op bekende dog poreuse verdediging soos VPN’s, firewalls en bevoorregte netwerkregte om kritieke data te beskerm.

In plaas daarvan is volwasse kuberveiligheidsprogramme reeds nul-trust-argitekture aan te neem wat implisiete vertroue opskort terwyl elke gebruiker en stelsel wat toegang probeer, streng valideer, en ons verwag dat die aanvaarding van die benadering aansienlik sal toeneem gedurende 2024. 

dit model verifieer identiteit deur streng multi-faktor verifikasie voordat die minste voorreg toestemmings verleen word. In plaas van algemene netwerktoegang, beperk mikro-segmenteringsbeleide streng konnektiwiteit tot gemagtigde hulpbronne. Van kardinale belang, nul vertroue vereis deurlopende monitering van gebruikersaktiwiteit en stelsellogboeke met analise om abnormale gedrag te identifiseer wat bedreigings aandui. 

Bestuurders wat nul-vertroue-beginsels van beste kuberveiligheid-praktyke na noodsaaklike stoot, sluit in hibriede wolkaanneming, afgeleë arbeidsmaggroei en verouderde omtrekbeskerming wat onvoldoende teen gesofistikeerde aanvallers bewys is. Bedryfsdoeltreffendheid verbeter ook deur 'n organisasie se sekuriteitsposisie te verskuif na dinamiese, kontekstuele toegangsbesluite eerder as statiese netwerkvoorregte.

Vroeë her-argitekering van sekuriteitstelsels stel organisasies in staat om hul verdediging te versterk en innovasie te bevorder. Die implementering van raamwerke soos ISO 27001 kan 'n gestruktureerde benadering tot die aanvaarding van nul-trustbeginsels bied, wat 'n omvattende stel beleide en prosedures bied wat ooreenstem met die hoogste inligtingsekuriteitbestuurstandaarde. Dit help om 'n sistematiese en konsekwente implementering van nultrust-argitekture te verseker, wat 'n organisasie se sekuriteitsposisie teen ontwikkelende bedreigings verder versterk.

Tendens 5: 'n Meer globale benadering tot regulasies en voldoeningsvereistes

Namate kuberaanvalle in impak en frekwensie toeneem, sal kwesbare databestuursgapings oor nywerhede en geografiese grense heen in 2024 reguleerders se kruishaar betree vir sterker vantrelings. 

Namate kuberaanvalle met oorgrens-impakte toeneem, besef regerings wêreldwyd die beperkings van gefragmenteerde regulasies tussen jurisdiksies. Terwyl baie lande privaatheidswette en sektorspesifieke kuberveiligheidsbeleide plaaslik geïmplementeer het, veroorsaak divergensie hoofbrekens vir multinasionale organisasies. Die vaartbelyning van vereistes deur internasionale samewerking sal 'n prioriteit word vir die aanpassing van kuberveiligheidstoesig wêreldwyd in plaas van deur onsamehangende regulasies in 2024.

Oorvleuelende regulasies kweek oortolligheid rondom praktyke soos ouditering, opleiding of sub-verwerker assesserings. Innovasie vertraag namate ingenieurspanne die taak het om vae regsterminologie te interpreteer. En begrotings blaas op namate tegniese hulpbronne na voldoeningsverslae afwyk.

In reaksie verwag ons om te sien dat samewerkende groepe soos die Internasionale Organisasie vir Standaardisering (ISO) en Global Privacy Assembly (GPA) in 2024 selfs nouer met besighede en regerings saamwerk om die basislyn-kubersekuriteitsverwagtinge wêreldwyd te harmoniseer. risiko bestuur, data-etiek en insidentreaksie. Vereenvoudiging kom ook van verenigde versekeringsraamwerke soos ISO 27001 en NIST se kuberveiligheidsraamwerk, wat honderde ondernemings reeds aangewend het om kuberprogramme te struktureer.

Ons het reeds bewegings na globalisering van regulasies in 2023 gesien databrûe soos die EU-VS en die VSA-VK-ooreenkomste, wat 'n integrale deel is van die breër neiging om 'n meer gekoördineerde en geharmoniseerde benadering tot databeskerming en privaatheid in 'n globale konteks te ontwikkel. Hulle help om verskillende regstelsels in lyn te bring, internasionale datavloei te fasiliteer en standaarde te stel wat globale databeskermingspraktyke kan beïnvloed.

Deur aan te sluit by leierskapgroepe oor die industrie, die implementering van gestruktureerde raamwerke wêreldwyd en die monitering van wetsvoorstelle sal maatskappye help om voor te berei om vordering te toon. Nie-nakoming is nie meer 'n opsie om kritieke bates te bestuur nie, aangesien inligting besigheid soos gewoonlik herdefinieer.

Tendens 6: Groter regulering van voorsieningskettingsekuriteit

Verhoogde regulasies en sekuriteitstandaarde vir derdepartyverskaffers sal in 2024 die hoofrol inneem, aangesien organisasies erken dat uitgebreide digitale voorsieningskettings een van die belangrikste kuberrisiko's vir organisasies inhou.

Deurbrake van kunsmatige intelligensie kan opslae kry, maar minder glansryke dreigemente soos sagteware-voorsieningskettingaanvalle gaan voort om ondernemings van binne af te erodeer. Die ernstige skade van insidente soos SolarWinds en Log4j het die bestuursbewustheid van derdeparty-risiko's gekataliseer – maar omvattende sigbaarheid en beheer oor verskafferomgewings bly vir die meeste ontwykend.

Op pad na 2024 sal verskaffers gereedskap en standaarde prioritiseer wat help om verskafferrisiko oor vennootskappe heen te bestuur. Omvattende sagteware-brief van materiaal (SBOM's) wat komponentbestanddele in gekoopte platforms katalogiseer, sal 'n mandaat word vir federale kontrakteurs as deel van president Biden se kuber-uitvoerende bevel. SBOM's verhoog deursigtigheid vir kopers rondom bekende kwesbaarhede of onderhoudsgapings oor hul tegnologiestapel.

Meer nywerhede sal inisiatiewe in die motorsektor navolg wat veilige verskafferontwikkelingstandaarde sertifiseer gebaseer op toetsprosesse soos OWASP-maatstawwe. Streng kode-oorsigte, die minste bevoorregte toegang en selfbeskerming (RASP) is ander verskaffers se betroubaarheidsmaatreëls wat aangeneem word.

Soos vennootskappe tussen kleinhandelaars, gesondheidsorgstelsels en finansiële dienste ontwikkel, sal gedeelde aanspreeklikheid vir kuberrisikobestuur in meer kontrakte gekodifiseer word. Bepalings sal sigbaarheidvereistes in vennote se aanvalsoppervlaktes, oortredingkennisgewings en toegangsbeleide aanspreek. Organisasies wat nie gereed is vir kuberveiligheid nie, kan sien dat verskaffersvooruitsigte afneem in 'n klimaat wat op veerkragtigheid gefokus is.

Uiteindelik moet verskaffers en kopers in ooreenstemming bring dat, hoewel vennootskappe digitale transformasie en doeltreffendheid moontlik maak, dit ook aanvalsgrense uitbrei. Om hierdie kruisings proaktief te beveilig deur middel van standaarde, ywer en kontraktuele versekering word noodsaaklik namate derde partye in bedrywighede ingebed raak. Daar is geen omtrek wanneer jou netwerk almal se netwerk is nie.

Beplan kuberveerkragtigheid vir 'n onsekere toekoms

Soos 2023 bewys het, maak die omvang en impak van kuberaanvalle proaktiewe sekuriteit 'n ononderhandelbare belegging vir organisasies eerder as 'n geïsoleerde IT-uitgawe. 

Ten minste vereis kubergereedheid in 2024 'n hernude fokus op bestuur van hoërisiko-KI-stelsels, veerkragtigheidsplanne vir onvermydelike indringing, en sigbaarheid in verskafferkontroles. Dit vereis die beveiliging van eksponensieel groter aanvalsoppervlaktes aangesien rekenaars tradisionele omtreke verlaat. Dit noodsaak die monitering van vroeë beleidskuiwe van reguleerders wat nie meer vermybare nalatigheid met betrekking tot databeskerming of voorvalreaksie sal duld nie.

Maar die belangrikste is dat korporatiewe direksies 'n kultuur moet aanvoer wat verbind is tot data-integriteit, etiese tegnologiepraktyke en kollektiewe verantwoordelikheid. Beperking van kuberrisiko's maak staat op sakeleiers wat 'n voorbeeld stel deur personeel, begroting en die aandag toe te wy wat sekuriteit verdien wanneer hulle met kliëntewelsyn en lewensbestaan ​​toevertrou word.

Die bedreigings is kompleks, maar oorkombaar vir diegene wat besef dat kuberveerkragtigheid op koördinasie eerder as isolasie staatmaak. Ervare besighede sal voorberei vir onstuimige tye deur proaktief vennootskappe, interne kapasiteit en betroubare stelsels te bou wat gereed is om veilig die dividende van digitale innovasie te pluk.