Navigeer deur kuberkompleksiteit in 'n riskante wêreld: lesse geleer uit WEF
Kuberbedreigings het dalk effens gedaal op die lys van globale risiko's om oor die volgende 2-10 jaar dop te hou. Maar volgens die Wêreld Ekonomiese Forum (WEF) bly hulle 'n prominente bekommernis vir sakeleiers. As die NRO se nuutste Globale kuberveiligheidsvooruitsig waarsku, die bou van effektiewe veerkragtigheid teen sulke bedreigings word al moeiliker in die lig van toenemende kompleksiteit.
In die toekoms is die sleutel vir sekuriteits- en nakomingsprofessionals nie om die wiel weer uit te vind nie. Die beste manier van aksie is om die bedreigingslandskap te verstaan en wat die meeste in gevaar is binne die organisasie en beste praktykstappe te neem om daardie risiko deurlopend en aantoonbaar te versag.
Wat sê WEF?
WEF's Globale risikoverslag 2025 is gebaseer op die menings van 11,000 XNUMX sakeleiers en risikokenners in die akademie, sakewêreld, regering, internasionale organisasies en die burgerlike samelewing. Hulle rangskik “kuberspioenasie en oorlogvoering” (verwarrend genoeg ook aanvalle van nie-staatsakteurs) vyfde op die korttermynrisiko-lys. Dit is laer as verlede jaar vierde toe die kategorie as “kuberonsekerheid” genoem is. En in terme van langtermynrisiko oor die volgende dekade, sit dit in die negende, af van agtste.
Ons moet egter nie te veel in hierdie effense afgradering lees nie. Dit is ook opmerklik dat “ongunstige uitkomste van KI-tegnologieë” sesde op die langtermynrisikolys is. Hierdie "uitkomste" kan beslis beïnvloed word deur kwaadwillige kuberaktiwiteite soos data-/modelvergiftiging.
Meer interessant is die kubersekuriteit-spesifieke verslag wat in dieselfde week verlede maand deur WEF vrygestel is. Dit waarsku teen 'n toenemend komplekse kuberveiligheidslandskap wat gedryf word deur:
Eskalerende geopolitieke spanning
Dit beïnvloed byna 60% van organisasies wat reageer, met 'n derde van uitvoerende hoofde wat kuberspioenasie en verlies van sensitiewe inligting/IP as beduidende bekommernisse noem.
Groter integrasie van en afhanklikheid van meer komplekse voorsieningskettings
Meer as die helfte (54%) van organisasies noem dit as die belangrikste struikelblok tot die bereiking van veerkragtigheid.
Vinnige aanvaarding van opkomende tegnologieë, wat die aanvaloppervlak uitbrei
Twee-derdes (66%) van die respondente beweer KI sal kuberveiligheid in die volgende 12 maande beïnvloed, maar net 37% het prosesse in plek om die sekuriteit van KI-instrumente te assesseer voordat hulle dit gebruik.
’n Groeiende las vir regulatoriese nakoming
Sowat 78% van leiers in die private sektor sê kuber- en privaatheidsregulasies verminder risiko effektief, maar twee derdes van die respondente erken die kompleksiteit en groot aantal vereistes is 'n uitdaging.
Hierdie uitdagings word vererger deur 'n groeiende kuber-vaardighede gaping, wat risiko moeiliker maak om te bestuur, saam met meer gesofistikeerde kuberbedreigings. Sowat 72% van die respondente sê kuberrisiko’s het die afgelope jaar gestyg, met losprysware-aanvalle, voorsieningskettingbedreigings en kubergeaktiveerde bedrog wat onderskeidelik die top drie plekke beklee.
Die probleem met kuberveerkragtigheid
Daar word dikwels (tereg) gesê dat selfs die veiligste organisasie uiteindelik een of ander soort sekuriteitsbreuk sal ly. Daarom is die fokus vir CISO's vandag op kuberveerkragtigheid: die vermoë om hierdie gebeure te “antisipeer, weerstaan, herstel van en aan te pas” sodat sakebedrywighede kan voortgaan selfs na 'n ernstige inbraak. Dit behoort dus kommerwekkend te wees dat kuberveerkragtigheid in kleiner organisasies versleg.
Volgens WEF het die persentasie SMB-respondente wat beweer onvoldoende veerkragtigheid beweer van 5% in 2022 tot 35% in 2025. Daarenteen het die syfer feitlik gehalveer van 13% tot 7% oor dieselfde tydperk vir groot organisasies. Volgens die verslag het 71% van kuberleiers by die WEF Jaarvergadering oor Kuberveiligheid 2024 beweer dat klein organisasies ’n “kritieke kantelpunt” bereik het waar hulle hulself nie meer effektief teen die groeiende kompleksiteit van kuberrisiko’s kan beveilig nie.
Dit maak saak vir organisasies van alle groottes, want selfs die grootste onderneming kan 'n menigte kleinsakevennote in sy voorsieningsketting hê. Die WEF-verslag beklemtoon 'n "gebrek aan sigbaarheid en toesig" van verskaffers se sekuriteitsposisie as 'n leidende risiko. Verskaffers in hierdie konteks kan alles beteken van 'n oopbronbydraer tot 'n professionele diensvennoot of MSP.
Alhoewel 63% van die respondente op die verslag "'n komplekse en ontwikkelende bedreigingslandskap" genoem het as hul belangrikste uitdaging om kuberveerkragtig te word, is die eerste - dikwels onoorkomelike - struikelblok vir CISO's en hul direksies om 'n ekonomiese saak te bou vir meer belegging in kuber. Of soos WEF dit stel: "die behoefte vir leiers om kuberrisiko's en hul ekonomiese impak te kwantifiseer om beleggings in lyn te bring met kernbesigheidsdoelwitte."
Aan die slag
Regulasie is die olifant in die kamer hier. Alhoewel goed ontwerpte wetgewing 'n waardevolle fokus vir sekuriteitspanne kan bied in hul pogings om risiko te bestuur, het die huidige regulatoriese landskap uiters uitdagend geword om te navigeer. Driekwart (76%) van CISO's by die voorheen aangehaalde WEF-jaarvergadering het blykbaar berig dat "fragmentering van regulasies oor jurisdiksies heen 'n groot invloed op hul organisasies se vermoë het om voldoening te handhaaf". Dit klink saam met die ISMS.online Stand van inligtingsekuriteitsverslag 2024, wat onthul dat 65% van die respondente vind dat die vinnige pas van regulatoriese verandering dit moeiliker maak om aan inligtingsekuriteit se beste praktyke te voldoen.
Dit is waar standaarde en sertifisering kan help deur die fondamente te lewer waarop regulatoriese nakomingsprogramme gebou kan word. Aangesien baie van hierdie regulasies die implementering van dieselfde onderliggende beste praktyke vereis, kan dit ook tyd, geld en moeite bespaar. Dit is hoekom 59% van die respondente op die ISMS.online-studie beweer hulle beplan om besteding aan hierdie programme oor die komende jaar te verhoog.
Malachi Walker, sekuriteitsadviseur by DomainTools, voer aan dat hierdie benadering nie net regulatoriese nakomingspogings sal help nie, maar ook mededingende voordeel kan bevorder in die vorm van geskiktheid vir meer kontrakte, sekuriteitspandoeltreffendheid en verhoogde kliëntevertroue.
"Beste praktykstandaarde soos NIST CSF, SOC 2 en ISO 27001 sluit hierdie gaping deur uitvoerbare en spesifieke stappe te gee wat organisasies kan volg om hul kuberveerkragtigheid te verhoog," sê hy aan ISMS.online.
“Elke organisasie, ongeag die grootte, kan toegangskontroles tot sensitiewe data beperk, 'n voorvalreaksieplan ontwikkel en inoefen, en uiteensit in watter areas binne hul organisasie die kwesbaarste is. As hulle nakoming benader met hierdie drie stappe in gedagte, sal voldoening en kuberveiligheid meer haalbaar word.”
Soos WEF in sy verslag opmerk: “Die tyd om op te tree is nou”.
