Et år i samsvar med regelverket: Fem ting vi lærte i 2025

De siste 12 månedene har nok en gang bevist at det sjelden er mangel på hendelser i nettsikkerhetslandskapet. Store sikkerhetsbrudd kostet organisasjoner milliarder av pund ettersom trusselaktører finslipte taktikkene sine og nådeløst angrep menneskelige svakheter. Adopsjonen av AI begynte for alvor blant mange bedrifter, og utvidet angrepsflaten deres akkurat da AI-drevne teknologier ga motstanderne et løft. Og hele tiden økte samsvarsbyrden, ettersom regulatorer gjorde sitt beste for å pålegge forbedret cyberrobusthet på tvers av forsyningskjeder.

La oss ta en titt på fem ting vi lærte i 2025:

Nye forskrifter sprer seg

Fristene for samsvar kom i rask rekkefølge de siste 12 månedene. Først kom Digital Operational Resilience Act (DORA) – en EU-innsats for å beskytte regionens finanssektor. Avgjørende er at DORA stiller nye krav til risikostyring, testing og hendelseshåndtering, ikke bare for finansaktørene selv, men også for deres IT- og andre driftsleverandører. har som mål å harmonisere lover over hele blokken, forbedrer grunnleggende sikkerhet ved å holde toppledere personlig ansvarlige for manglende overholdelse – noe som påvirker anslagsvis 22 000 selskaper i regionen.

Som kritisk infrastruktur var sektoren på etterskudd med regulering av denne typen. Cyberhendelser de siste to tiårene har forårsaket 12 milliarder dollar i direkte tap for globale finansselskaper, ifølge IMF. Likevel, seks måneder senere, ble det klart at etterlevelse langt fra var enkelt. En studie publisert i løpet av sommeren fant at bare halvparten av de responderende organisasjonene hadde innlemmet DORAs krav i sine bredere robusthetsprogrammer. Og et flertall hadde ennå ikke nådd DORAs standarder for robusthet.

Andre steder økte etterlevelsesbyrden med endringer til EUs cybersikkerhetslov (CSA) for å pålegge sertifiseringsordninger for administrerte sikkerhetstjenester. Regjeringen vedtok en lenge etterlengtet oppdatering til den britiske GDPR: Data (Use and Access) Act, som skal bidra til å redusere byråkrati, forbedre sikker datadeling og gjøre det enklere å bruke data ansvarlig.

I mellomtiden, en nytt NIST-rammeverk for nettsikkerhet vil utvikle standarden for å gjøre den mer aktuell og formålstjenlig – spesielt i sammenheng med AI-utvikling og automatisert beslutningstaking.

Motstandskraft står i sentrum

Én ting mange av de ovennevnte lovene og reguleringsregimene har til felles er målet om å forbedre cyberrobustheten. Oppsiktsvekkende hendelser, som store hendelser i forsyningskjeden avbrudd på flere europeiske flyplasser, og et ukelangt ransomware-avbrudd på Storbritannias største bilprodusent vis oss hvorfor regulatorene beveger seg i denne retningen. Ifølge en WEF-studie i år, over halvparten (54 %) av globale organisasjoner identifiserer utfordringer i forsyningskjeden som deres største hindring for å oppnå cyberrobusthet.

Dette er heller ikke bare et IT-problem. En Dragos/Marsh McLennan rapporterer fra august hevdet at OT-risiko kunne koste organisasjoner minst 330 milliarder dollar årlig.

Derfor oppfordrer organisasjoner som National Cyber ​​Security Centre (NCSC) til handling. byrået sa at halvparten (48 %) av hendelsene hendelseshåndteringsteamet deres responderte på i løpet av det siste året var «nasjonalt signifikante», mens antallet kategorisert som «svært signifikante» økte med 50 %. Ordet «motstandskraft» er nevnt 139 ganger i den siste årlige gjennomgangen til NCSC. Dessverre er grunnleggende sikkerhetsfunksjoner flater ut eller å komme på tvers av nøkkelkompetanser som opplæring av ansatte, risikostyring for leverandører og hendelsesrespons, ifølge regjeringens egne tall. Det er en del av grunnen til at det endelig introdusert lovforslaget om cybersikkerhet og robusthet i november.

Mange brudd rammer kundene hardt

I altfor mange store organisasjoner er sikkerhet fortsatt isolert innenfor IT-avdelingen, i stedet for å bli sett på som en vekstfremmende faktor. Håpet er at forskrifter som de som er nevnt ovenfor vil begynne å endre hjerter og meninger i styrerommet. I mellomtiden har IT-sjefer et økende antall bevis som støtter sine forespørsler om finansiering, ettersom store cyberhendelser fortsatte å ramme folk.

Den nevnte forstyrrelsen på Heathrow lufthavn er et godt eksempel. Dette kom etter et ransomware-brudd hos innsjekkingsprogramvareleverandøren Collins Aerospace, noe som resulterte i forsinkelser som varte i flere uker på noen europeiske flyplasser. ransomware angrep på britiske hovedgater forhandlere M&S og Co-op Group kostet firmaene hundrevis av millioner i direkte kostnader og tapt salg, og kan ha ødelagt hardt vunnet kundelojalitet.

Hvis styrer og toppledere ikke finner balansen mellom cyberrobusthet, forretningsytelse og langsiktig merkevareverdi, vil konkurrentene deres garantert gjøre det. En Sophos-studie i år fant at Storbritannia er noe av et globalt unntak. Rundt 70 % av ofrene for løsepengevirus fikk dataene sine kryptert, mye høyere enn det globale gjennomsnittet på 50 %, og tallet 46 % som ble rapportert av britiske ofre i 2024.

Trussellandskapet utvikler seg

Likevel blir ikke ting noe enklere. Den typiske angrepsflaten for bedrifter fortsetter å vokse takket være investeringer i digitale tjenester, skyøkosystemer og AI. Men budsjetter og ferdigheter er mangelvare. Og trusselaktører fortsetter å innovere og utvikle seg.

I år så vi en økende preferanse for bruk av verktøy for fjerntilgang (RAT-er) og fjernovervåkings- og administrasjonssystemer (RMM) i angrep. Ofte dannet disse neste trinn i et flerlagsangrep der initial tilgang ble oppnådd ved å målrette IT-brukerstøtte og/eller ansatte med visjingteknikker. Utnyttelse av sårbarheter fortsetter også å være populær. Og svakhetene ved åpen kildekode-økosystemet blir undersøkt med økende hyppighet og innvirkning. En nyhet i sitt slag npm-ormen viste hvor langt trusselaktørene er villige til å gå for å få det de vil ha.

Organisasjoner må også tilpasse seg en ny virkelighet: økonomisk motiverte nettkriminelle og statlige aktører er ikke lenger gjensidig utelukkende enheter. Linjene blir uskarpe og risikoene utvikler seg i tempo.

Nye AI-risikoer dukker opp

Med dette som bakteppe er AI både en mulighet og en risiko for sikkerhets- og samsvarsteam. På den ene siden kommer det innovative nye løsninger på markedet hver uke for å forbedre deteksjon og respons, penntesting og sårbarhetsforskning, blant annet. Ved å automatisere flere oppgaver kan team også gjøre mer med færre ressurser, noe som er spesielt nyttig midt i en pågående kompetansemangel.

Men AI er også en risiko. Deloitte Australia oppdagetHallusinasjoner kan ta en betydelig toll på bedrifters omdømme. AI kan også brukes til skumle formål, som utnyttelse av sårbarheter, sosial manipulering, utvikling av skadelig programvare og mer. NCSC advarte i år. Og sårbarheter i eksisterende store språkmodeller (LLM-er) og plattformer som DeepSeek representerer forretningsrisikoer som må håndteres bedre.

Det er godt å se at myndighetene tar ledelsen når det gjelder sikkerhet og risikostyring knyttet til AI. ny praksiskodeks kunne hjelpe britiske firmaer med å utnytte kraften i teknologien samtidig som de bygger prosjekter på et fastere grunnlag. Og en regjeringens initiativ Å opprette en ny sektor for AI-sikring er en lovende idé.

Men det er fortsatt en vei å gå. I mellomtiden kan standarder som ISO 27001 og ISO 42001 hjelpe IT- og sikkerhetsteam med å styre organisasjonene sine i riktig retning. Risiko er uunngåelig, og den fortsetter å utvikle seg. De som er best posisjonert til å håndtere den på en systematisk, men smidig måte, vil starte 2026 sterkest.

For å finne ut mer om det nåværende trusselbildet, les vår Status for informasjonssikkerhet 2025 rapportere.