Rapport om informasjonssikkerhet: 11 viktige statistikker og trender for finansbransjen

IOs tredje årlige Status for informasjonssikkerhetsrapport avslørte de viktigste utfordringene sikkerhetsledere står overfor i 2025, fra AI-drevne angrep til samsvarsproblemer. Fagfolk fra en rekke bransjer delte hvordan de sikrer forsyningskjeden, håndterer strenge regulatoriske krav og takler AI-drevne trusler.

Respondentene våre inkluderte over 130 sikkerhetseksperter som jobber i finansbransjen i USA og Storbritannia. Svarene deres kaster lys over de største utfordringene innen informasjonssikkerhet finansindustrien har møtt de siste 12 månedene, tiltak ledere har iverksatt for å bygge organisatorisk robusthet, og deres prioriteringer for året som kommer.

Oppdag de 11 viktigste statistikkene for finansnæringen fra årets rapport.

Viktig informasjonssikkerhetsstatistikk for finansbransjen

Forsyningskjede

1. 51 % av finansorganisasjoner har blitt påvirket på grunn av en cybersikkerhets- eller informasjonssikkerhetshendelse forårsaket av en tredjepartsleverandør eller forsyningskjedepartner de siste 12 månedene.
2. 88 % av finansorganisasjoner har styrket risikostyringen overfor tredjeparter og leverandører de siste 12 månedene.

Cyberhendelser

3. 43 % av finansorganisasjoner opplevde phishing/vishing-hendelser de siste 12 månedene.
4. 98 % av finansorganisasjoner sier at de har tillit til organisasjonens respons på hendelser.

Prioriteringer og utfordringer

5. Finansorganisasjoner rangerte forbedring av ansattes sikkerhetsbevissthet og -atferd som sin viktigste prioritet for informasjonssikkerhet (31 %).
6. AI-phishing er den største nye trusselen for finansorganisasjoner (48 %).
7. Å sikre nye teknologier som AI, maskinlæring og blokkjede er den største utfordringen innen informasjonssikkerhet (47 %) for finansorganisasjoner.

Ledelsessaker

8. 87 % av respondentene fra finansbransjen er enige i at organisasjonen deres har en tydelig og godt kommunisert strategi for informasjonssikkerhet
9. 87 % er enige i at alle bedrifter bør ha noen som er ansvarlig for informasjonssikkerhet på styrenivå

Compliance Management

10. 46 % av finansorganisasjoner sier at det å forbedre evnen til å ta i bruk nye teknologier på en sikker måte (f.eks. skyen, AI) er deres viktigste motivasjon for å sikre sterk informasjonssikkerhet og samsvar med regler.
11. 36 % av finansorganisasjonene mottok bøter på mellom 251 001 og 1 000 000 pund for datainnbrudd eller brudd på personvernregler de siste 12 månedene.

Supply Chain Security

Over halvparten (51 %) av finansorganisasjonene vi undersøkte sa at de hadde blitt påvirket på grunn av en cybersikkerhets- eller informasjonssikkerhetshendelse forårsaket av en tredjepartsleverandør eller forsyningskjedepartner i løpet av de siste 12 månedene. Mer enn én av fem (21 %) sa at de hadde blitt påvirket flere ganger. Konsekvensene for organisasjonene som ble rammet av disse hendelsene varierte fra økonomisk tap (38 %) til omdømmeskade, inkludert tap av kundetillit (begge 27 %).

Høyprofilerte cyberhendelser som angrepene på Jaguar Land Rover (JLR) i september og detaljhandelsgiganten Marks & Spencer (M&S) i april fremheve kaoset som sårbarheter i forsyningskjeden kan forårsake.

JLR-hendelsen er anslått å ha kostet 1.9 milliarder pund i tap og rammet totalt 5,000 bedrifter, med leverandører som har opplevd forsinkede betalinger og forstyrrelser i kontantstrømmen. I mellomtiden førte ransomware-angrepet på M&S til at bedriften stengte nettbestillinger fullstendig. I begge tilfeller varte forstyrrelsene i over en måned.

Med slike hendelser som blir stadig vanligere, prioriterer finansorganisasjoner tydeligvis sikkerhet i forsyningskjeden. 88 % av respondentene i rapporten sier at organisasjonen deres har styrket risikostyringen overfor tredjeparter og leverandører de siste 12 månedene, mens 12 % sier at de planlegger å gjøre det i løpet av det kommende året. 58 % planlegger også å øke utgiftene sine til sikkerhet i forsyningskjeden og overfor tredjepartsleverandører de neste 12 månedene.

Cyberhendelser, utfordringer og prioriteringer

Ansatte blir ofte målrettet av trusselaktører som inngangsporter til en organisasjons nettverk – og utover. Mange vellykkede angrep i forsyningskjeden er forårsaket av angripere som kompromitterer ansattes legitimasjon, enten det er til en ansatt som jobber i målorganisasjonen eller en leverandør.

Det er derfor ingen overraskelse at finansorganisasjoner rangerte forbedring av ansattes sikkerhetsbevissthet og -atferd som sin viktigste prioritet for informasjonssikkerhet (31 %) for det neste året. Dette er med god grunn – nesten to av fem (43 %) av respondentene sa at de hadde opplevd en phishing- eller vishetshendelse de siste 12 månedene.

Den raske utviklingen av kunstig intelligens (KI) og maskinlæringsteknologi (ML) har også skapt nye utfordringer for bedrifter. Finansorganisasjoner rangerte KI-phishing som sin største nye trusselbekymring (48 %) for de neste 12 månedene, ettersom trusselaktører utnytter teknologien til stadig mer overbevisende effekt.

Implementering av kunstig intelligens er en annen utfordring bransjen står overfor. Mer enn halvparten (53 %) av finansorganisasjonene sa at virksomheten deres hadde implementert kunstig intelligens-teknologi for raskt og nå står overfor utfordringer med å skalere den ned eller implementere den mer ansvarlig. I tråd med dette rangerte respondentene sikring av nye teknologier som kunstig intelligens, maskinlæring og blokkjede som sin største utfordring innen informasjonssikkerhet (47 %).

Etter hvert som bedrifter ønsker å implementere strengere og mer etiske AI-systemer, er det viktig å ha en strategisk tilnærming til AI-styring. Standarder som ISO 42001 kan gi retningslinjer og mekanismer for organisasjoner. ISO 42001 gir spesifikt et rammeverk for ansvarlig design, utvikling og implementering av et AI-styringssystem (AIMS). Organisasjoner kan bruke dette rammeverket til å sikre samsvar med regelverk som EUs AI-lov og proaktivt håndtere AI-risiko.

Involvering av toppledere

Informasjonssikkerhet har historisk sett blitt sett på som utelukkende IT-avdelingenes ansvarsområde, men dette synet er i rask endring. Tross alt er informasjonssikkerhet en organisasjonsomfattende bekymring som krever engasjement og bevissthet fra ansatte, enten de er i ledergruppen eller nyansatte.

Sikkerhetsledere presser nå på for tilsyn og involvering på styrenivå. Nesten 9 av 10 (87 %) av respondentene i finansbransjen er enige i at alle bedrifter bør ha noen som er ansvarlig for informasjonssikkerhet på styrenivå. Det samme antallet er enige i at organisasjonen deres har en tydelig og godt kommunisert informasjonssikkerhetsstrategi, noe som tyder på at organisasjoner der styrer har tilsyn og forståelse av informasjonssikkerhetsprioriteringer drar nytte av klare forbedringer på strategisk nivå.

Motivasjoner for samsvar

Over én av tre (36 %) av finansorganisasjoner mottok bøter på mellom 251 001 og 1 000 000 pund for datainnbrudd eller brudd på personvernregler de siste 12 månedene; litt under en fjerdedel (24 %) sa at de ikke hadde mottatt noen bot. I tillegg til økende cybertrusler, sliter også bedrifter med strenge regulatoriske krav og årvåkne regulatorer.

Finansorganisasjoner bruker imidlertid i økende grad samsvar som en katalysator for å åpne for innovasjon og vekst. Respondenter fra finansbransjen rangerte det å forbedre sin evne til å ta i bruk nye teknologier som sky og AI på en sikker måte som sin største motivasjon (46 %) for å sikre sterk informasjonssikkerhet og samsvar. Respondentene rangerte også den forbedrede kvaliteten på forretningsbeslutninger som følge av sikre og pålitelige data som den beste avkastningen på samsvar innen informasjonssikkerhet (42 %) de siste 12 månedene.

Proaktivitet er nøkkelen

Selv om sikkerhetsledere i finansbransjen står overfor en rekke utfordringer innen informasjonssikkerhet, fra den voksende AI-angrepsflaten til sikkerhet i forsyningskjeden, avslører rapporten at de også tar viktige skritt for å ligge i forkant. De jobber med å forbedre opplæring og bevissthet om informasjonssikkerhet blant ansatte, investerer i sikkerhet i forsyningskjeden og styrker risikostyring i forsyningskjeden, og implementerer AI-systemer sikrere og mer etisk.

Ved proaktivt å integrere beste praksis for informasjonssikkerhet i hele organisasjonen, kan bedrifter forenkle arbeidet med samsvar, øke kundenes tillit og styrke digital robusthet. Vi ser frem til å se hvordan finansorganisasjoner har styrket sikkerheten sin i neste års rapport.