'n Jaar in nakoming: Vyf sleuteltendense vanaf 2024

Deur Phil Muncaster • 10 Desember 2024

Dit was nog 'n jaar vol insidente vir sekuriteit- en nakomingspanne. Gebuffet deur ransomware aanvalle, voorsieningsketting en oopbron dreigemente, infostelers, wêreldwye IT-onderbrekings, en nog baie meer, baie het gesukkel om kop bo water te hou. Aangesien tegnologie-innovasie, veral in kunsmatige intelligensie (KI), vinnig versnel het, het reguleerders ook 'n besige jaar gehad. Namate wetgewende mandate egter opgehoop het, is daar 'n mate van sekuriteit voordele erken dat baie nuwe reëls te moeilik is om te verstaan en te tydrowend is om te implementeer.

Dit is 'n kommerwekkende neiging wat waarskynlik sal voortduur namate vaardigheidstekorte byt. Maar daar is lig aan die einde van die tonnel, as sekuriteitspanne 'n manier kan vind om hul voldoeningspogings te optimaliseer deur beste praktykstandaarde soos ISO 27001. Met dit in gedagte, is dit die vyf dinge wat ons van 2024 geleer het.

Australië raak uiteindelik ernstig oor kuberveiligheid

Dit was lanklaas, maar Australië het uiteindelik sy eerste stuk selfstandige kuberveiligheidswetgewing gekry. Die Wet op Kuberveiligheid is steeds deur die parlement besig om te skryf, en is 'n ambisieuse nuwe wet wat beloof om sewe sleutelinisiatiewe te implementeer wat in die Albanese regering se nuwe Kuberveiligheidstrategie. Dit sal die rapportering van losprysware-betalings en nuwe standaarde vir slimtoerusting opdrag gee, asook onder meer die deel van inligting met die owerhede aanmoedig.

Kenners sê dat Australiese organisasies voor die waarskynlike nuwe vereistes kan kom deur hul huidige sekuriteitspraktyke te hersien, te bepaal waar daar enige leemtes of areas vir verbetering is, en 'n sekuriteit-deur-ontwerp ingesteldheid te volg. Iets moet beslis Down Under verander. Daar was 483 kennisgewings oor databreuk in die tweede helfte van 2023, 19% meer as die eerste deel van die jaar, met die meeste (67%) wat deur kwaadwillige aanvalle veroorsaak is.

KI-bedreigings is volop namate nuwe reëls in werking tree

Een van die hoofopskrifte van die ISMS.online Stand van inligtingsekuriteitsverslag 2024 is dat 30% van die respondente aanvalle ervaar het met diepvals. Dit plaas dit net agter sosiale ingenieurswese en wanware-infeksie en is 'n bewys van die verstommende versnelling van tegnologie-innovasie die afgelope jaar. Soos altyd, het reguleerders gejaag om hierdie en ander KI-bedreigings vir besighede, verbruikers en die samelewing in te haal.

Die EU neem nie verbasend die voortou op regulering met sy KI Wet, wat Britse firmas wat in die interne mark wil verkoop, sal beïnvloed. Dit gebruik 'n risiko-gebaseerde benadering wat KI-stelsels in vier kategorieë klassifiseer op grond van hul potensiële skade. Diegene in die hoërisiko-kategorie sal die meeste werk benodig, en vereis dat organisasies deeglike risiko-assesserings doen, menslike toesigmeganismes implementeer, en verseker dat die KI-stelsels veilig, betroubaar en deursigtig is. Elders, die Raad van Europa se raamwerkkonvensie oor kunsmatige intelligensie is 'n breë-gebaseerde, nasiestaat-vlak konvensie ontwerp om enige wetlike leemtes aan te spreek wat voortspruit uit vinnige KI tegnologiese vooruitgang. Dit moet nog gesien word of dit die gewenste impak het.

Die VSA volg 'n minder praktiese benadering tot regulering, iets wat waarskynlik sal voortgaan met 'n nuwe Trump-administrasie. Maar hierdie regulatoriese gat is word op staatsvlak gevul. Organisasies moet na ISO 42001 kyk as 'n nuttige gids om KI veilig te gebruik. Nuwe riglyne van NIST (op teenstrydige dreigemente) en die NCSC (vir KI-ontwikkeling) behoort ook te help.

IoT-vervaardigers kom onder intensiewe ondersoek

Internet of Things (IoT) stelsels maak hul weg na alles van fiksheidsbande tot slim fabrieke. Maar hulle verteenwoordig ook 'n potensieel beduidende sekuriteitsrisiko, aangesien vervaardigers tot dusver geen formele regulasies gehad het om minimum standaarde van beste praktyk te mandaat nie. Dit het nou verander, met nuwe Britse en EU-vlak wette. Die VK was eerste aan die slag met sy Wet op Produksekuriteit en Telekommunikasie-infrastruktuur (PSTI). Dit vereis unieke en sterk wagwoorde vir elke toestel, en vervaardiger se kwesbaarheid openbaarmaking en sekuriteitsopdateringprogramme, wat vir 'n sekere tyd moet loop.

Alhoewel dit beskeie is, behoort dit te help om IoT-sekuriteitstandaarde in die verbruikersruimte te verbeter en kan dit mettertyd verbeter word. Die EU s'n Wet op kuberveerkragtigheid (CRA) is baie meer ambisieus en sal vereis word vir enige vervaardigers of kleinhandelaars wat hoop om verbruikers IoT-produkte op die vasteland te verkoop. Dit het 'n groter omvang en vereis 'n langer lys sekuriteitsvereistes. Britse firmas met een oog op Europa behoort aan die PSTI se vereistes te voldoen deur op die CRA te fokus.

Nuwe Britse kuberveiligheidswetgewing is in aantog

In die Verenigde Koninkryk het die nuwe Arbeidsregering vanjaar geen tyd gemors om kennisgewings van nuwe kuberveiligheidsverwante wette uit te voer wat ontwerp is om die nasie se veerkragtigheid teen ontwikkelende bedreigings 'n hupstoot te gee nie. Die belangrikste een is die Wetsontwerp op kuberveiligheid en veerkragtigheid, wat die NIS-regulasies sal bywerk. Spesifiek, dit sal die omvang van die huidige NIS-regime vergroot “om meer digitale dienste en voorsieningskettings te beskerm”, verpligte ransomware-verslaggewing in te stel, en meer magte aan reguleerders gee – hoewel presies hoe onduidelik is. Die regering het ook 'n wetsontwerp op digitale inligting en slim data aangekondig, wat in wese 'n nuwe weergawe is van die ingemaakte wetsontwerp op databeskerming en digitale inligting, wat bedoel is om die VK se GDPR-regime op te dateer. Voldoeningspanne sal volgende jaar enige nuwe inligting oor die voorgestelde wette noukeurig volg.

Die laaste maande van die vorige administrasie het ook baie vir Britse ondernemings gelaat om aan te kou, insluitend 'n voorgestelde nuwe praktykkode vir kuberbestuur en nuwe regulasies ontwerp om die sekuriteitsposisie van datasentrums te verbeter.

Verskaffers van kritieke infrastruktuur het baie om hulle besig te hou

In die EU stel twee nuwe stukke wetgewing streng eise aan verskaffers van kritieke infrastruktuur. Die langverwagte sperdatum vir NIS 2 implementering in Oktober geslaag. Dit sal 'n groot aantal ekstra Europese organisasies in die bestek bring, 'n nuwe stel basislynsekuriteitsvereistes opdrag gee en 'n nuwe vlak van aanspreeklikheid vir voorvalle op senior bestuur plaas. Weereens sal Britse firmas wat met Europa handel dryf, daaraan moet voldoen, en hulle kan die beste gebruik oefen standaarde soos ISO 27001 om hulle te help om dit te doen.

Intussen sal die Wet op Digitale Operasionele Veerkragtigheid (DORA) vroeg in die nuwe jaar in werking tree: 17 Januarie 2025. Dit vereis ook 'n streng nuwe stel reëls, hierdie keer vir finansiëledienstefirmas en hul IT-verskaffers. Weereens, ISO 27001 kan help deur die grondliggende prosesse daar te stel wat nodig is om te voldoen aan vereistes op gebiede soos insidentreaksie, risikobestuur, voorsieningskettingrisikobestuur en veerkragtigheidstoetsing.

'N Helpende Hand

Namate korporatiewe aanvalsoppervlaktes uitbrei, dreig akteurs steeds sirkel en reguleerders word meer veeleisend, dreig sekuriteit- en voldoeningspanne om oorweldig te word met die werklading. Dit lyk of dit 'n kommerwekkende impak het. Die helfte (50%) van Britse besighede rapporteer dat hulle die afgelope 12 maande een of ander vorm van sekuriteitsbreuk of -aanval ervaar het – wat tot 70% van medium besighede en 74% van groot besighede styg. Dit is aansienlik hoër vanaf onderskeie syfers van 32%, 59% en 69% in 2023.

Beste praktykstandaarde en raamwerke is nie 'n wondermiddel nie. Hulle kan egter baie van die swaar opheffing doen, aangesien baie van die vereistes in die wetgewing hierbo aangehaal dieselfde onderliggende doelwitte deel. Die sleutel is om 'n verskaffer te vind wat in staat is om hierdie nakomingslas te versnel en te stroomlyn te midde van aanhoudende vaardigheidsgapings. Gelukkig bestaan hierdie instrumente wel.

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Lees meer van Phil Muncaster

cyber Security 20 Januarie 2026

Die gaping in KI-bestuur met ISO 42001-blog oorbrug

Die KI-bestuurskloof met ISO 42001 oorbrug

Die VK het 'n probleem met KI-bestuur. Dit was dalk nie 'n paar jaar gelede 'n probleem nie, toe projekte in die meeste organisasies stuksgewys was. Maar vandag...

Phil Muncaster

cyber Security 6 Januarie 2026

vyf sekuriteits- en voldoeningstendense om in 2026 voor op te let

Vyf Sekuriteits- en Nakomingstendense om in 2026 voor op te let

Hoe kan die komende 12 maande lyk vir kuberveiligheid- en voldoeningsprofessionele persone? Ons het die nuus fynkam, die voorspellings van die bedryf geabsorbeer...

Phil Muncaster

cyber Security 11 Desember 2025

Is 'n agentiese KI-sekuriteitsbreuk onvermydelik in 2026 banier

Is 'n Agentic KI-sekuriteitsbreuk onvermydelik in 2026?

Dit mag dalk drie jaar wees sedert die bekendstelling van ChatGPT 'n nuwe tegnologie-wapenwedloop afgeskop het, maar alle oë is nou op agent-KI. Boosters beweer dat dit...

Phil Muncaster