'n Jaar in Nakoming: Vyf Dinge wat Ons in 2025 Geleer het

Deur Phil Muncaster • 9 Desember 2025

Die afgelope 12 maande het weereens bewys dat die kuberveiligheidslandskap selde 'n tekort aan voorvalle het. Groot sekuriteitsbreuke het organisasies miljarde ponde gekos namate bedreigingsakteurs hul taktiek geslyp en menslike swakhede genadeloos geteiken het. KI-aanvaarding het ernstig begin onder baie ondernemings en hul aanvalsoppervlak uitgebrei net soos KI-aangedrewe tegnologieë teenstanders 'n hupstoot gegee het. En al die tyd het die nakomingslas gegroei, namate reguleerders hul bes gedoen het om verbeterde kuberveerkragtigheid oor voorsieningskettings te verplig.

Kom ons kyk na vyf dinge wat ons in 2025 geleer het:

Nuwe Regulasies Vermeerder

Nakomingsdatums het die afgelope 12 maande vinnig agtereenvolgens aangebreek. Eerstens was die Wet op Digitale Operasionele Veerkragtigheid (DORA) – 'n EU-poging om die streek se finansiëledienstesektor te beskerm. Van kritieke belang is dat DORA nuwe vereistes vir risikobestuur, toetsing en voorvalreaksie plaas, nie net op finansiële spelers self nie, maar ook op hul IT- en ander operasionele verskaffers. het ten doel om te harmoniseer wette regoor die blok, wat basiese sekuriteit verbeter deur senior bestuurders persoonlik aanspreeklik te hou vir nie-nakoming – wat na raming 22 000 maatskappye in die streek beïnvloed.

As kritieke infrastruktuur was die sektor agterstallig met regulering van hierdie aard. Kubervoorvalle oor die afgelope twee dekades het volgens die IMF $12 miljard in direkte verliese vir globale finansiële firmas veroorsaak. Tog het dit ses maande later duidelik geword dat nakoming allesbehalwe eenvoudig was. 'n studie wat oor die somer gepubliseer is, het bevind dat slegs die helfte van die respondente DORA se vereistes in hul breër veerkragtigheidsprogramme opgeneem het. En 'n meerderheid het nog nie DORA se standaarde vir veerkragtigheid bereik nie.

Elders het die nakomingslas toegeneem met wysigings tot die EU se Wet op Kuberveiligheid (CSA) om sertifiseringskemas vir bestuurde sekuriteitsdienste te verplig. Die regering het 'n lankal agterstallige opdatering tot die VK GDPR: die Wet op Data (Gebruik en Toegang), wat behoort te help om burokrasie te verminder, veilige datadeling te verbeter en dit makliker te maak om data verantwoordelik te gebruik.

Intussen het 'n nuwe NIST Kubersekuriteitsraamwerk sal die standaard ontwikkel om dit meer aktueel en geskik vir die doel te maak – veral in die konteks van KI-ontwikkeling en outomatiese besluitneming.

Veerkragtigheid neem die middelpunt in

Een ding wat baie van die bogenoemde wette en regulatoriese stelsels in gemeen het, is die doel om kuberveerkragtigheid te verbeter. Opskrif-grypende voorvalle soos groot voorsieningsketting-insidente ontwrigting by verskeie Europese lughawens, en 'n weke lange ransomware-onderbreking by Brittanje se grootste motorvervaardiger wys ons hoekom die reguleerders in hierdie rigting beweeg. Volgens 'n WEF-studie vanjaar, meer as die helfte (54%) van wêreldwye organisasies identifiseer uitdagings in die voorsieningsketting as hul grootste hindernis vir die bereiking van kuberveerkragtigheid.

Dit is ook nie net 'n IT-kwessie nie. 'n Dragos/Marsh McLennan verslag vanaf Augustus beweer dat OT-risiko organisasies jaarliks minstens $330 miljard kan kos.

Daarom dring organisasies soos die Nasionale Sentrum vir Kuberveiligheid (NCSC) aan op aksie. Die agentskap het gesê die helfte (48%) van die voorvalle waarop die Voorvalbestuurspan oor die afgelope jaar gereageer het, was "nasionaal beduidend", terwyl die aantal wat as "hoogs beduidend" gekategoriseer is, met 50% gestyg het. Die woord "veerkragtigheid" word 139 keer in die jongste NCSC-jaarlikse oorsig genoem. Ongelukkig is basiese sekuriteitsvermoëns is platlynend of om sleutelbekwaamhede soos personeelopleiding, verskaffersrisikobestuur en voorvalreaksie te oorkom, volgens die regering se eie syfers. Dis deel van die rede waarom dit het uiteindelik die Wet op Kuberveiligheid en Veerkragtigheid bekendgestel in November.

Oortredings Galore tref kliënte hard

In te veel groot organisasies word sekuriteit steeds binne die IT-afdeling afgesonder, eerder as om as 'n groeifaktor gesien te word. Die hoop is dat regulasies soos dié hierbo genoem, die harte en denke in die direksiekamer sal begin verander. Intussen het IT-ondersteuners 'n groeiende hoeveelheid bewyse om hul versoeke om befondsing te ondersteun, aangesien groot kubervoorvalle steeds hulself tref.

Die voorgenoemde ontwrigting by Heathrow-lughawe is 'n goeie voorbeeld. Dit het gekom na 'n ransomware-oortreding by die inboeksagtewareverskaffer Collins Aerospace, wat gelei het tot wekelange vertragings by sommige Europese lughawens. ransomware aanvalle op Britse hoofstraat kleinhandelaars M&S en die Co-op Groep het die firmas honderde miljoene in direkte koste en verlore verkope gekos, en het moontlik moeisaam verworwe kliëntelojaliteit vernietig.

As direksies en senior bestuurders nie die kolletjies tussen kuberveerkragtigheid, sakeprestasie en langtermyn handelsmerkwaarde verbind nie, sal hul mededingers dit beslis doen. 'n Sophos-studie vanjaar het bevind dat Brittanje ietwat van 'n globale uitskieter is. Sowat 70% van ransomware-slagoffers het hul data geïnkripteer, baie hoër as die globale gemiddelde van 50%, en die 46%-syfer wat deur Britse slagoffers in 2024 aangemeld is.

Die bedreigingslandskap ontwikkel

Tog word dinge nie makliker nie. Die tipiese korporatiewe aanvalsoppervlak bly groei danksy beleggings in digitale dienste, wolk-ekosisteme en KI. Maar begrotings en vaardighede is skaars. En bedreigingsakteurs bly innoveer en ontwikkel.

Vanjaar het ons 'n groeiende voorkeur gesien vir gebruik van afstandtoegang-instrumente (RAT's) en afstandmonitering- en bestuurstelsels (RMM) in aanvalle. Dikwels het dit die volgende fase van 'n veelvuldige aanval gevorm waarin aanvanklike toegang verkry is deur IT-hulptoonbanke en/of werknemers met visvangtegnieke te teiken. Kwetsbaarheidsuitbuiting gaan ook voort om gewild te wees. En die swakpunte van die oopbron-ekosisteem word met toenemende frekwensie en impak ondersoek. 'n Eerste van sy soort npm-wurm het gewys hoe ver bedreigingsakteurs bereid is om te gaan om te kry wat hulle wil hê.

Organisasies moet ook aanpas by 'n nuwe werklikheid: finansieel gemotiveerde kubermisdadigers en staatsakteurs is nie meer onderling uitsluitende entiteite nie. Lyne vervaag en risiko's ontwikkel teen 'n vinnige tempo.

Nuwe KI-risiko's ontstaan

Teen hierdie agtergrond is KI beide 'n geleentheid en 'n risiko vir sekuriteits- en voldoeningspanne. Aan die een kant is daar elke week innoverende nuwe oplossings wat op die mark kom om opsporing en reaksie, pentoetsing en kwesbaarheidsnavorsing, onder andere, te verbeter. Deur meer take te outomatiseer, kan spanne ook meer doen met minder hulpbronne, wat veral nuttig is te midde van 'n voortdurende vaardigheidstekort.

Maar KI is ook 'n risiko. Deloitte Australië ontdekHallusinasies kan 'n beduidende reputasieskade op maatskappye eis. KI kan ook vir bose doeleindes gebruik word, soos die uitbuiting van kwesbaarhede, sosiale manipulasie, die ontwikkeling van wanware en meer. die NCSC het vanjaar gewaarsku. En kwesbaarhede in bestaande groot taalmodelle (LLM's) en platforms soos DeepSeek verteenwoordig besigheidsrisiko's wat beter bestuur moet word.

Dit is goed om te sien dat die regering die leiding neem met KI-veiligheid en risikobestuur. nuwe praktykkode kan Britse firmas help om die krag van die tegnologie te benut terwyl hulle projekte op stewiger fondamente bou. En 'n regeringsinisiatief Om 'n nuwe KI-versekeringssektor te skep, is 'n belowende idee.

Maar daar is nog 'n pad om te gaan. Intussen kan standaarde soos ISO 27001 en ISO 42001 IT- en sekuriteitspanne help om hul organisasies in die regte rigting te stuur. Risiko is onvermydelik, en dit ontwikkel steeds. Diegene wat die beste geplaas is om dit op 'n sistematiese maar rats manier te bestuur, sal 2026 die sterkste begin.

Om meer uit te vind oor die huidige bedreigingslandskap, lees ons Staat van inligtingsekuriteit 2025 meld.

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Lees meer van Phil Muncaster

cyber Security 20 Januarie 2026

Die gaping in KI-bestuur met ISO 42001-blog oorbrug

Die KI-bestuurskloof met ISO 42001 oorbrug

Die VK het 'n probleem met KI-bestuur. Dit was dalk nie 'n paar jaar gelede 'n probleem nie, toe projekte in die meeste organisasies stuksgewys was. Maar vandag...

Phil Muncaster

cyber Security 6 Januarie 2026

vyf sekuriteits- en voldoeningstendense om in 2026 voor op te let

Vyf Sekuriteits- en Nakomingstendense om in 2026 voor op te let

Hoe kan die komende 12 maande lyk vir kuberveiligheid- en voldoeningsprofessionele persone? Ons het die nuus fynkam, die voorspellings van die bedryf geabsorbeer...

Phil Muncaster

cyber Security 11 Desember 2025

Is 'n agentiese KI-sekuriteitsbreuk onvermydelik in 2026 banier

Is 'n Agentic KI-sekuriteitsbreuk onvermydelik in 2026?

Dit mag dalk drie jaar wees sedert die bekendstelling van ChatGPT 'n nuwe tegnologie-wapenwedloop afgeskop het, maar alle oë is nou op agent-KI. Boosters beweer dat dit...

Phil Muncaster