Verizon se DBIR 2025 teenoor jou direksie: Wat hulle mis

Verizon se DBIR 2025 teenoor jou raad: Wat hulle mis

Deur Phil Muncaster • 24 Junie 2025

KISO's word toenemend na direksievergaderings genooi. Splunk-opname van Januarie het bevind dat 83% ietwat gereeld of meestal deelneem, terwyl 'n soortgelyke persentasie direk met die uitvoerende hoof interaksie het. Tog sê minder as 'n derde van die respondente dat die direksie een of meer lede met kuberkundigheid insluit. Dit beteken dat ITSO's dalk praat sonder om werklik gehoor te word.

Die Verizon Data Breach Investigations Report (DBIR) is 'n uitstekende geleentheid om die rekords reg te stel. Dit is propvol waardevolle insigte in die bedreigingslandskap wat as 'n springplank vir strategiese gesprekke gebruik kan word. Datalekbeamptes wat nie oor hierdie datalek-tendense in leierskapvergaderings praat nie, kan hul organisasie blootstel.

'n Kommunikasie-onderbreking?

Navorsing toon aan dat KISO's in baie organisasies óf nie die taal van die direksie/besigheid praat nie, óf die direksie nie wil luister nie – of albei. FTI Konsultasie-navorsing toon dat byna 'n derde (31%) van bestuurders nie die tegniese konsepte wat deur die KISO gebruik word, ten volle verstaan nie en dat meer as die helfte (58%) van KISO's sukkel om hierdie taal op 'n manier oor te dra wat senior leierskap kan verstaan. 'n Verdere derde van bestuurders beweer dat hul KISO's huiwerig is om potensiële sekuriteitskwessies onder hul aandag te bring.

Tog swaai die probleem albei kante toe. Trend Micro-studie Uit 2024 beweer dat vier-vyfdes (79%) van globale ITSO's druk in die direksie gevoel het om die erns van kuberrisiko's af te speel – dikwels omdat hulle as "knaend" of "te negatief" beskou word. 'n Derde sê hulle is sommer van die hand gewys. Dit kan gekoppel word aan 'n algemene beskuldiging: dat rade steeds kuber as 'n saak vir die IT-afdeling beskou en nie die besigheid nie. Slegs die helfte (54%) van die ITSO's met wie Trend gepraat het, het gesê hulle is vol vertroue dat hul direksie die organisasie se kuberrisiko's ten volle verstaan – 'n syfer wat skaars in drie jaar verander het.

“Die direksie luister wanneer kuberrisiko soos besigheidsrisiko klink – dis hoe jy van die bedienerkamer na die direksiekamer beweeg. KISO's moet tegniese kompleksiteit in besigheidsrelevansie vertaal,” adviseer Mick Baccio, globale sekuriteitsadviseur by Splunk SURGe.

“Om gehoor te word, moet hulle daardie gaping oorbrug en kuberveiligheid as 'n sakebemagtiger raam: sekuriteitsmaatstawwe in lyn bring met inkomstebeskerming, regulatoriese voldoening en kliëntevertroue. Net so belangrik is die bou van informele verhoudings met raadslede om 'n vertroude adviseur te word, nie net 'n voldoeningsboodskapper nie.”

DBIR-oortredingstendense om dop te hou

As ons aanvaar dat KISO's die aandag van hul direksie kan kry, waaroor moet hulle bekommerd wees? Verizon s'n nuutste DBIR is gebaseer op 'n ontleding van meer as 22,000 12,195 sekuriteitsvoorvalle, insluitend XNUMX XNUMX bevestigde datalekke. Dit beklemtoon verskeie kommerwekkende tendense, insluitend:

'n Jaarlikse styging in "stelselinbraak"-gebeurtenisse van 36% tot 53% van data-oortredings. Dit is meer gesofistikeerde aanvalle wat gekenmerk word deur wanware en inbraak.
Bogenoemde bevinding word gedryf deur 'n toename in losprysware-aanvalle, wat met 37% gestyg het sedert verlede jaar en nou teenwoordig is in 44% van die oortredings, ten spyte van 'n afname in die mediaan losprysbedrag wat betaal is. KMO's word onevenredig geraak.
40% van slagoffers van ransomware het korporatiewe e-posadresse gehad wat deur inligtingsdiewe gesteel is.
Misbruik van geloofsbriewe (22%), uitbuiting van kwesbaarhede (20%) en phishing (19%) was die hoofvektore vir data-oortredingsaanvalle.
Generatiewe KI is 'n groeiende risiko op twee fronte: sinteties gegenereerde teks in kwaadwillige e-posse (d.w.s. phishing) het oor die afgelope twee jaar verdubbel, terwyl 14% van werknemers gereeld toegang tot GenAI-stelsels op hul korporatiewe toestelle verkry. 'n Meerderheid (72%) het 'n nie-korporatiewe e-pos as hul rekeningidentifiseerder gebruik, wat dui op skadu-KI-gebruik.
Menslike betrokkenheid by oortredings bly hoog, teen ongeveer 60%, veral geloofsbriewemisbruik en sosiale manipulasie.
Daar was 'n toename van 34% in kwesbaarheidsuitbuiting as 'n aanvalsvektor vir deurbrake, veral nuldag-uitbuitings wat perimetertoestelle en VPN's teiken. Slegs die helfte (54%) van die kwesbaarhede van perimetertoestelle is volledig reggestel, en dit het 'n mediaan van 32 dae geneem om dit te doen.
Die persentasie oortredings waarby derde partye betrokke was, het verdubbel tot 30%.
BYOD bly 'n bedreiging: 46% van stelsels wat deur inligtingsdiewe gekompromitteer is met gesteelde korporatiewe aanmeldings, was persoonlike toestelle.

IT-beamptes behoort "risikorealisme"-gesprekke met hul rade te voer op grond van hierdie bevindinge, sê Baccio.

“As jou krisisplan by jou eie brandmuur stop, het jy nie ’n krisisplan nie.” Verizon se verslag is duidelik: die aanvalsoppervlak het uitgebrei, en aanvallers buit die menslike, tegniese en voorsieningskettinglae gelyktydig uit. Direkteure moet verder as net blokkies afmerk beweeg en vra: Waar is ons werklik die kwesbaarste?'” vertel hy aan ISMS.online.

“Risiko van derde partye en blootstelling aan randtoestelle moet as bedreigings vir besigheidskontinuïteit behandel word, nie net as IT-kwessies nie. Die raad moet gereelde scenariobeplanning rondom misbruik van geloofsbriewe, afpersing deur losprysware en datalekkasies deur insiders eis.”

Trend Micro se direkteur van kuberstrategie, Jonathan Lee, voer aan dat die verslag nog 'n "wekroep" vir direksies moet wees oor die noodsaaklikheid om sekuriteitstrategie met operasionele veerkragtigheid in lyn te bring.

“Ons hoef net na die onlangse hoëprofiel-voorvalle te kyk wat Britse kleinhandelaars raak om die verlore inkomste, verlore wins en verlore reputasie te sien wat op 'n aanval kan volg. In sommige gevalle kan die oortreding van die sekuriteitsnetwerk 'n eksistensiële bedreiging vir 'n organisasie inhou. In 'n openbare dienskonteks kan dit ook 'n werklike fisiese impak hê, soos die kliniese skade wat veroorsaak is na die NHS-voorsieningskettingaanval op Synnovis,” vertel hy aan ISMS.online.

“Om bloot te erken dat hierdie risiko's bestaan en dit by 'n risikoregister te voeg, is onvoldoende. Waarom wag vir 'n oortreding om jou organisasie te tref? Is dit nie beter om proaktief en voorbereid te wees nie, eerder as reaktief en onvoorbereid vir as die ergste gebeur?”

Oorbrug die gaping met voldoeningsprogramme

Beste praktykstandaarde soos ISO 27001 kan hier help deur rade en sekuriteitsleiers 'n gemeenskaplike taal en risikogebaseerde benadering te bied om kuberveerkragtigheid te verbeter.

“Voldoeningsraamwerke sal nie elke aanvaller keer nie, maar dit sal chaos in jou reaksie stop. Raamwerke soos ISO 27001 en SOC 2 bied 'n gemeenskaplike taal en struktuur om kuberveiligheidsbeheermaatreëls met besigheidsdoelwitte in lyn te bring,” sê Baccio van Splunk.

“Hulle bied herhaalbare, ouditeerbare bewyse van risikobestuur sonder om so voorskriftelik of stadig te wees soos regulatoriese stelsels soos NIS2. Die waarde lê nie net in die sertifisering nie, maar ook in die dissipline en duidelikheid wat dit tot kuberveiligheidstrategie en -verslagdoening bring.”

Trend Micro se Lee sê hierdie standaarde kan selfs 'n handige oprit bied na voldoening aan regulasies soos NIS2 en die komende Britse Kubersekuriteit- en Veerkragtigheidswetsontwerp.

“Benewens die versterking van verdediging teen aanvallers, toon so ’n benadering ook ’n verbintenis tot die handhawing van hoë sekuriteitsstandaarde vir jou voorsieningsketting en digitaal gekoppelde vennote,” sluit hy af.

“Deur hierdie voldoeningsprogramme te gebruik, kan ITSO's die gaping tussen kuberveiligheid en hul organisasies oorbrug en verseker dat sekuriteitsmaatreëls as 'n kernonderdeel van hul organisasie se sukses en veerkragtigheid beskou word.”

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Lees meer van Phil Muncaster

cyber Security 18 November 2025

Wanneer dit by OT kom, is sigbaarheid die fondament van effektiewe sekuriteit

IT haal dikwels die opskrifte, veral nou dat ons 'n nuwe era van KI-aangedrewe alles betree. Maar dit is operasionele tegnologie (OT) wat steeds...

Phil Muncaster

cyber Security 11 November 2025

wat die Deloitte Australië-sage sê oor die risiko's van die bestuur van KI-banier

Wat die Deloitte Australia Saga sê oor die risiko's van die bestuur van KI

Generatiewe KI (GenAI) het die hoogtes van bedryfshype bereik sedert dit laat in 2022 op die toneel uitgebars het. Nou betree dit wat Gartner noem...

Phil Muncaster

cyber Security 6 November 2025

Die NCSC sê “Dis tyd om op te tree”, maar hoe?

Dit is ongewoon om 'n ope brief van 'n sakeleier aan die begin van 'n regering se kuberveiligheidsverslag te sien. Veral iemand wie se maatskappy j...

Phil Muncaster