WEF-verslag: Bedrog is nou uitvoerende hoofde se grootste kuberprobleem, maar dit is nie die enigste een nie.

Vyf jaar is 'n lang tyd in kuberveiligheid. Tog is dit hoe lank die Wêreld Ekonomiese Forum (WEF) al uitvoerende hoofde peil vir sy Globale kuberveiligheidsvooruitsig verslae. Die hoop is dat die gevolglike insig sakeleiers sal bemagtig om strategie aan te pas en 'n vinnig ontwikkelende bedreigingslandskap te navigeer. Vanjaar se aanbod plaas bedrog, KI en geopolitiek stewig bo-aan 'n groeiende lys van bekommernisse. En soos verlede jaar die geval was, is kuberveerkragtigheid die doelwit waarna almal streef.

Tog, soos ons in die IO (voorheen ISMS.online) bespreek het Stand van inligtingsekuriteitsverslag 2025, is daar dikwels 'n redelike gaping tussen die diagnose van die probleem en die doen van iets daaromtrent.

Wat WEF gevind het

WEF ondervra net meer as 800 C-vlak bestuurders vir vanjaar se verslag. Van die belangrikste bevindinge is die volgende:

Bedrog neem die boonste plek in

HUBs en ITSOs het effens verskil in terme van hul twee grootste bekommernisse. Terwyl ITSOs konsekwent gebly het van verlede jaar in die aanhaling (in volgorde) van losprysware en ontwrigting van die voorsieningsketting, het hul HUB-eweknieë kuberbedrog in die boonste plek geplaas, gevolg deur KI-kwesbaarhede. Met bedrog bedoel hulle ondernemingsgefokusde bedreigings soos phishing/smishing/vishing, faktuurbedrog (soos BEC), en binnebedrog, maar ook misdaadtipes wat meer algemeen geassosieer word met verbruikersverliese soos ID-diefstal en selfs beleggingsbedrog/kripto-swendelary.

Die IO-verslag lyk asof dit saamstem. Dit het aan die lig gebring dat 30% van die respondente die afgelope 12 maande phishing ervaar het, teenoor slegs 12% in 2024.

As 'n onlangse verslag Uit Microsoft se hoogtepunte blyk dat daar 'n gesofistikeerde en veerkragtige globale infrastruktuur in plek is om sekere tipes bedrog soos BEC te fasiliteer wat ondernemings raak. Maar selfs nominaal verbruikersgerigte veldtogte wat rondom dinge soos ID-diefstal gesentreer is, kan die korporatiewe wêreld raak.

As Check Point het aangevoer In 'n onlangse artikel, wanneer swendelaars persoonlike en toestelinligting, insluitend "lewendige" selfies, van individue kan insamel, kan hulle die inligting verder as ID-bedrog gebruik. Spesifiek kan dit geoperasionaliseer word om korporatiewe verifikasiestelsels te omseil en werknemers in IT-hulptoonbankwagwoordherstellings na te boots. En as individue groot bedrae in beleggingsbedrog verloor, kan hulle meer kwesbaar wees vir dwang/afpersing as kwaadwillige insiders.

KI verhoog kuberrisiko

KI is ook deur WEF-respondente uitgelig as 'n sleuteldrywer van kuberrisiko. Maar interessant genoeg, minder in terme van die vermoë om phishing, diep vervalsings en wanware aan te dryf (wat 28% betref het), en meer in terme van datalekkasies wat kan voortspruit uit die misbruik van GenKI (30%). Dit dui op kommer oor die groeiende gebruik van KI deur ondernemings wat die kuberaanvaloppervlak uitbrei. Trouens, 87% van die respondente glo dat KI-kwesbaarhede toeneem (teenoor 77% wat dieselfde sê oor bedrog en 65% wat die ontwrigting van die voorsieningsketting sê).

IO-data werp meer lig op die kwessie. 'n Derde (34%) van die respondente het vir ons gesê hulle is bekommerd oor skadu-KI, met 54% wat erken het dat hulle GenAI te vinnig aangeneem het en nou uitdagings in die gesig staar om dit meer verantwoordelik te implementeer. Risiko is geneig om in die skaduwees te floreer: wat organisasies nie kan sien nie, kan hulle nie bestuur nie.

Geopolitiek is 'n belangrike beïnvloeder van veiligheidsstrategie

Byna twee derdes van die respondente het aan WEF gesê dat geopolities gemotiveerde kuberaanvalle 'n belangrike oorweging is wanneer hul kuberrisikobestuurstrategieë ontwerp word. Wisselvalligheid in hierdie gebied het byna alle (91%) groot organisasies gedwing om hul benadering tot sekuriteit aan te pas, het die verslag bevind. Dit stem ooreen met IO se mening, wat bevind het dat 88% van Amerikaanse en Britse firmas staatsgeborgde aanvalle vrees, en byna 'n kwart (23%) sê hul grootste bekommernis vir die jaar wat voorlê is 'n gebrek aan voorbereiding vir "geopolitiese eskalasie of oorlogstydse kuberoperasies". 'n Derde (32%) beweer dat die bestuur van geopolitieke risiko hul primêre motivering vir sterk inligtingsbeveiliging en nakoming is.

Meer kommerwekkend is dat 31% van die WEF-opname-respondente lae vertroue in hul nasie se vermoë om op groot kubervoorvalle te reageer, gerapporteer het, teenoor 26% verlede jaar. Die syfer styg tot 40% in Europa. Die regering moet die implementering van die maatreëls in sy Kuberveiligheid- en Veerkragtigheidswetsontwerp en Kuberaksieplan versnel.

Voorsieningskettings bly 'n hindernis vir veerkragtigheid

Voorsieningskettings bly 'n beduidende bron van kuberrisiko, en een wat steeds moeilik is om te bestuur. Twee derdes (65%) van die respondente het aan WEF gesê dat dit hul grootste uitdaging is om kuberveerkragtig te word, teenoor 54% verlede jaar en net bo die vinnig veranderende bedreigingslandskap (63%) en nalatenskapstelsels (49%).

Hulle is reg om bekommerd te wees. Sowat 61% van VK/VSA-organisasies het aan IO gesê dat hul besigheid beïnvloed is deur 'n sekuriteitsvoorval wat die afgelope jaar deur 'n derdeparty-verskaffer veroorsaak is. Baie het gesê dit het gelei tot kliënt-/werknemer-data-oortredings (38%), finansiële verlies (35%), operasionele ontwrigting (33%), personeelverlies/verlies aan vertroue (36%) en verhoogde vennootondersoek (24%).

Op pad na Veerkragtigheid

Teen hierdie agtergrond weet sake- en sekuriteitsleiers dat hulle nie 100% bestand teen inbreuke kan bly nie. Die fokus moet dus verskuif na veerkragtigheid: hoe om voorvalle te antisipeer, te weerstaan ​​en vinnig daarvan te herstel, en so na as moontlik aan "besigheid soos gewoonlik" te bly. JLR en M&S oortredings getoon het, is dit makliker gesê as gedaan.

Volgens die WEF is die grootste hindernisse vir kuberveerkragtigheid 'n vinnig ontwikkelende bedreigingslandskap en opkomende tegnologieë (61%); kwesbaarhede van derde partye (46%); en tekorte aan kubervaardighede en kundigheid (45%). Nalatenskap en befondsing is ook as sleutels genoem. So hoe kan organisasies hierdie uitdagings oorkom?

Interessant genoeg het die verslag bevind dat meer veerkragtige organisasies meer geneig was om:

• Hou raadslede persoonlik aanspreeklik in geval van oortredings
• Het 'n positiewe siening van kuberverwante regulasies
• Beskik oor voldoende vaardighede om hul kuberdoelwitte te bereik
• Evalueer die sekuriteit van KI-gereedskap voor ontplooiing
• Betrek sekuriteit by verkryging
• Simuleer voorvalle en beplan hersteloefeninge met vennote
• Evalueer die sekuriteitsvolwassenheid van verskaffers.

Baie van hierdie dinge word vereis deur beste praktykstandaarde soos ISO 27001 en ISO 42001. Laasgenoemde is veral geskik om organisasies te help sluit die bestuurskloof en bestuur risiko (insluitend data-lekkasie) oor 'n groeiende KI-aanvalsoppervlak.

Volgens IO het 80% van VK/VSA-organisasies standaarde soos hierdie nagekom om veerkragtigheid op 'n gestruktureerde, risikogebaseerde manier te bou. Teen die agtergrond van 'n wisselvallige sake- en bedreigingslandskap, is diegene wat dit nie doen nie, in 'n toenemende nadeel.