Verizons DBIR 2025 versus styret ditt: Hva de går glipp av

Av Phil Muncaster • 24 juni 2025

IT-sjefer blir i økende grad invitert til styremøter. Splunk-undersøkelse fra januar fant at 83 % deltar ganske ofte eller mesteparten av tiden, mens en tilsvarende andel samhandler direkte med administrerende direktør. Likevel sier færre enn en tredjedel av respondentene at styret inkluderer ett eller flere medlemmer med cyberekspertise. Det betyr at IT-sjefer kan snakke uten egentlig å bli hørt.

Verizons rapport om undersøkelser av datainnbrudd (DBIR) er en utmerket mulighet til å sette ting i orden. Den er fullpakket med verdifull innsikt i trusselbildet som kan brukes som et springbrett for strategiske samtaler. IT-sjefer som ikke snakker om disse trendene med datainnbrudd i ledermøter, kan gjøre organisasjonen sin sårbar.

Et kommunikasjonsbrudd?

Forskning viser oss at i mange organisasjoner snakker ikke IT-sjefer styrets/bedriftens språk, eller at styret ikke ønsker å lytte – eller begge deler. FTI Consulting-forskning avslører at nesten en tredjedel (31 %) av ledere ikke fullt ut forstår de tekniske konseptene som brukes av IT-sjefer, og at over halvparten (58 %) av IT-sjefene sliter med å formidle dette språket på en måte som toppledelsen kan forstå. En ytterligere tredjedel av lederne hevder at deres IT-sjefer er nølende med å ta opp potensielle sikkerhetsproblemer med dem.

Likevel går problemet begge veier. Trend Micro-studie fra 2024 hevder at fire femtedeler (79 %) av globale ITSO-er har følt press fra styrerommet for å bagatellisere alvorlighetsgraden av cyberrisikoer – ofte fordi de blir sett på som «plagsomme» eller «altfor negative». En tredjedel sier at de har blitt avfeiet blankt. Dette kan knyttes til en vanlig anklage: at styrer fortsatt anser cyber som en sak for IT-avdelingen og ikke virksomheten. Bare halvparten (54 %) av ITSO-ene Trend snakket med sa at de er sikre på at styret deres fullt ut forstår organisasjonens cyberrisikoer – et tall som knapt har endret seg på tre år.

«Styret lytter når cyberrisiko høres ut som forretningsrisiko – det er slik man beveger seg fra serverrommet til styrerommet. IT-sjefer må oversette teknisk kompleksitet til forretningsrelevans», råder Mick Baccio, global sikkerhetsrådgiver hos Splunk SURGe.

«For å bli hørt, må de bygge bro over dette gapet og ramme inn cybersikkerhet som en forretningsmessig muliggjører: samkjøre sikkerhetsmålinger til inntektsbeskyttelse, samsvar med regelverk og kundetillit. Like viktig er det å bygge uformelle relasjoner med styremedlemmer for å bli en betrodd rådgiver, ikke bare en samsvarsbud.»

Trender å følge med på ved DBIR-brudd

Forutsatt at IT-sjefer kan få styrets gehør, hva burde de være bekymret for? Verizons siste DBIR er basert på en analyse av over 22,000 12,195 sikkerhetshendelser, inkludert XNUMX XNUMX bekreftede datainnbrudd. Den fremhever flere bekymringsfulle trender, inkludert:

En årlig økning i «systeminnbrudd» fra 36 % til 53 % av datainnbrudd. Dette er mer sofistikerte angrep preget av skadelig programvare og hacking.
Funnet ovenfor er drevet av en økning i ransomware-angrep, som økte i antall med 37 % siden i fjor og er nå tilstede i 44 % av sikkerhetsbruddene, til tross for en nedgang i medianbeløpet som betales for løsepenger. SMB-er er uforholdsmessig hardt rammet.
40 % av ofrene for ransomware fikk bedrifts-e-postadresser stjålet av infotyveri.
Misbruk av legitimasjon (22 %), utnyttelse av sårbarheter (20 %) og phishing (19 %) var de viktigste angrepsvektorene for datainnbrudd.
Generativ AI er en økende risiko på to fronter: Syntetisk generert tekst i ondsinnede e-poster (f.eks. phishing) har doblet seg de siste to årene, mens 14 % av ansatte rutinemessig bruker GenAI-systemer på bedriftsenhetene sine. Et flertall (72 %) brukte en ikke-bedrifts-e-postadresse som kontoidentifikator, noe som antyder bruk av skygge-AI.
Menneskelig involvering i sikkerhetsbrudd er fortsatt høy, på rundt 60 %, spesielt misbruk av legitimasjon og sosial manipulering.
Det var en økning på 34 % i utnyttelse av sårbarheter som en angrepsvektor for brudd, spesielt nulldagsangrep rettet mot perimeterenheter og VPN-er. Bare halvparten (54 %) av sårbarhetene i perimeterenheter ble fullstendig utbedret, og det tok i median 32 dager å gjøre dette.
Andelen brudd som involverte tredjeparter doblet seg til 30 %.
BYOD er fortsatt en trussel: 46 % av systemene som ble kompromittert av infotyveri med stjålne bedriftspålogginger var personlige enheter.

IT-sjefer bør ha samtaler om «risikorealisme» med styrene sine på bakgrunn av disse funnene, sier Baccio.

«Hvis kriseplanen din stopper ved din egen brannmur, har du ikke en kriseplan.» Verizons rapport er tydelig: angrepsflaten har utvidet seg, og angripere utnytter de menneskelige, tekniske og forsyningskjedelagene samtidig. Lederne må gå lenger enn å krysse av i bokser og spørre: Hvor er vi egentlig mest sårbare?» forteller han ISMS.online.

«Risiko fra tredjeparter og eksponering for enheter på kanten av nettverket må behandles som trusler mot forretningskontinuitet, ikke bare IT-problemer. Styret bør kreve regelmessig scenarioplanlegging rundt misbruk av legitimasjon, utpressing av løsepengevirus og innsidedrevne datalekkasjer.»

Trend Micros direktør for cyberstrategi, Jonathan Lee, argumenterer for at rapporten bør være nok en «vekker» for styrer om behovet for å samkjøre sikkerhetsstrategi med operasjonell robusthet.

«Vi trenger bare å se på de nylige høyprofilerte hendelsene som rammer britiske detaljister for å se tapte inntekter, tapt fortjeneste og tapt omdømme som kan følge et angrep. I noen tilfeller kan et sikkerhetsbrudd være en eksistensiell trussel mot en organisasjon. I en offentlig tjenestekontekst kan dette også ha en reell fysisk innvirkning, for eksempel den kliniske skaden som ble forårsaket etter NHS-forsyningskjedeangrepet på Synnovis», forteller han til ISMS.online.

«Det er ikke nok å bare erkjenne at disse risikoene eksisterer og legge dem til i et risikoregister. Hvorfor vente på at et sikkerhetsbrudd skal ramme organisasjonen din? Er det ikke bedre å være proaktiv og forberedt, i stedet for reaktiv og uforberedt på om det verste skjer?»

Bygge bro over gapet med samsvarsprogrammer

Beste praksisstandarder som ISO 27001 kan hjelpe her ved å gi styrer og sikkerhetsledere et felles språk og en risikobasert tilnærming for å forbedre cyberrobusthet.

«Samsvarsrammeverk vil ikke stoppe alle angripere, men de vil stoppe kaos i responsen din. Rammeverk som ISO 27001 og SOC 2 gir et felles språk og en felles struktur for å samkjøre nettsikkerhetskontroller med forretningsmål», sier Baccio fra Splunk.

«De tilbyr repeterbare, reviderbare bevis på risikostyring uten å være like forskrivende eller trege som regulatoriske regimer som NIS2. Verdien ligger ikke bare i sertifiseringen, men i disiplinen og klarheten den gir til strategi og rapportering innen cybersikkerhet.»

Lee fra Trend Micro sier at disse standardene til og med kan gi en praktisk innkjørsel til samsvar med forskrifter som NIS2 og den kommende britiske lovforslaget om cybersikkerhet og robusthet.

«I tillegg til å styrke forsvaret mot angripere, viser en slik tilnærming også en forpliktelse til å opprettholde høye sikkerhetsstandarder for forsyningskjeden og digitalt sammenkoblede partnere», avslutter han.

«Ved å bruke disse samsvarsprogrammene kan IT-sjefer bygge bro mellom cybersikkerhet og organisasjonene sine, og sørge for at sikkerhetstiltak blir sett på som en sentral del av organisasjonens suksess og robusthet.»

Phil Muncaster

Phil Muncaster har vært IT-journalist i 20 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Les mer fra Phil Muncaster

Cyber sikkerhet 3 desember 2025

Hva lovforslaget om cybersikkerhet og robusthet betyr for kritisk infrastruktur

Det har vært lenge underveis. Lovforslaget om cybersikkerhet og robusthet (CSRB) har blitt utsatt helt tilbake til kongens tale i 2024, og har nå endelig...

Phil Muncaster

Cyber sikkerhet 18 november 2025