Årets Status for informasjonssikkerhetsrapport avslørte de utallige utfordringene og mulighetene som sikkerhetsledere har møtt de siste 12 månedene. Fra forsyningskjedehåndtering til håndtering av AI-risiko, tvinger det skiftende cybertrussellandskapet bedrifter til å revurdere og justere sikkerhetsprioriteringer.

Blant respondentene våre var over 160 sikkerhetseksperter som jobber i produksjons- og forsyningsbransjen i USA og Storbritannia. Svarene deres belyser de viktigste truslene mot informasjonssikkerhet som bransjen står overfor, tiltakene ledere har iverksatt for å håndtere cyberutfordringer, og deres prioriteringer for å bygge digital robusthet de neste 12 månedene.

Oppdag de 11 viktigste informasjonssikkerhetsstatistikkene alle ledere innen produksjon og forsyningssektoren bør kjenne til.

Viktig informasjonssikkerhetsstatistikk for produksjons- og forsyningsbransjen

Sofistikerte cybertrusler

  1. Fremveksten av cybertrusler «som en tjeneste», f.eks. løsepengevirus som en tjeneste og phishing som en tjeneste, er den største utfordringen innen informasjonssikkerhet (46 %) for produksjons- og forsyningsorganisasjoner.
  2. AI-phishing og AI-generert feilinformasjon og desinformasjon er de største nye trusselbekymringene for produksjons- og forsyningsorganisasjoner (40 %).
  3. 40 % av produksjons- og forsyningsbedrifter opplevde phishing-/vishing-hendelser de siste 12 månedene.

Organisatoriske utfordringer

  1. 36 % av produksjons- og forsyningsorganisasjoner sier at ansatte har brukt GenAI uten organisasjonens tillatelse eller veiledning.
  2. 43 % av produksjons- og forsyningsorganisasjoner sier at de tok i bruk AI-teknologi for raskt, og at de nå står overfor utfordringer med å skalere den ned eller implementere den mer ansvarlig.

Forsyningskjede

  1. 46 % av produksjons- og forsyningsorganisasjoner har blitt påvirket på grunn av en cybersikkerhets- eller informasjonssikkerhetshendelse forårsaket av en tredjepartsleverandør eller forsyningskjedepartner de siste 12 månedene.
  2. 40 % av produksjons- og forsyningsorganisasjoner krever at leverandører er ISO 27001 sertifisert; den samme prosentandelen krever at leverandører skal være GDPR kompatibel.

Prioriteringer for informasjonssikkerhet

  1. 90 % av produksjons- og forsyningsorganisasjoner er enige om at alle bedrifter bør ha noen som er ansvarlig for informasjonssikkerhet på styrenivå.
  2. Produksjons- og forsyningsorganisasjoner rangerte forbedring av hendelsesberedskap og gjenopprettingskapasitet som sin viktigste prioritet for informasjonssikkerhet (31 %).

AI-investering

  1. 70 % av produksjons- og forsyningsorganisasjoner planlegger å øke utgiftene sine til sikkerhetsapplikasjoner for kunstig intelligens og maskinlæring.
  2. 98 % av produksjons- og forsyningsorganisasjoner planlegger å investere i GenAI-trusseldeteksjon og -forsvar i løpet av de neste 12 månedene.

Cybertrussellandskapet

Selv om sofistikerte AI-drevne trusler representerer en stadig økende utfordring for organisasjoner, er det fortsatt produksjons- og forsyningsorganisasjoner som fokuserer på langvarige metoder for cyberangrep. 40 % av respondentene fra bransjen oppga at organisasjonen deres hadde opplevd phishing- eller vishetshendelser de siste 12 månedene.

Phishing i sin nyeste, AI-drevne form var også det vi tenkte mest på da vi ba respondentene om å oppgi sine største bekymringer knyttet til nye trusler. Respondentene rangerte AI-phishing og AI-generert feilinformasjon og desinformasjon som sine største bekymringer knyttet til nye trusler (begge 40 %).

På samme måte nevnte produksjons- og forsyningsorganisasjoner fremveksten av cybertrusler «som en tjeneste», som ransomware-som-en-tjeneste og phishing-som-en-tjeneste, som den største utfordringen innen informasjonssikkerhet (46 %) de står overfor for tiden. Respondentene rangerte denne utfordringen foran problemer som kompetansegapet innen informasjonssikkerhet og sikring av nye teknologier som AI, ML og blokkjede (begge 45 %).

Disse kriminalitet-som-en-tjeneste-operasjonene går ut på at ekspertgrupper innen kriminalitet fungerer som tjenesteleverandører på vegne av velgjørere, vanligvis i bytte mot betaling eller en del av en utbetaling. Nå som inngangsbarrieren for potensielle nettkriminelle er effektivt fjernet, er phishing- og ransomware-angrep mer tilgjengelige enn noensinne for ondsinnede aktører.

Mennesker og prosessutfordringer

Utfordringer rundt AI-håndtering strekker seg til hvordan ansatte og til og med ledergrupper bruker og implementerer teknologien.

Mer enn én av tre (36 %) av respondentene innen produksjon og forsyningsvirksomhet sa at ansatte har brukt generativ AI (GenAI) uten organisasjonens tillatelse eller veiledning. Dette ble rangert som den vanligste feilen innen informasjonssikkerhet begått av ansatte, tett fulgt av skygge-IT (35 %) og bruk av personlige enheter til arbeidsformål uten skikkelige sikkerhetstiltak (34 %).

Men det er ikke bare ansatte som er for raske når det gjelder bruk av kunstig intelligens; denne tilnærmingen gjelder også for ledergrupper. 43 % av respondentene sa at organisasjonen deres tok i bruk kunstig intelligens-teknologi for raskt og nå står overfor utfordringer med å skalere den ned eller implementere den mer ansvarlig.

Med raske fremskritt innen KI-teknologi og både bedrifter og enkeltpersoner som haster med å høste fordelene, henger fortsatt sikkerhetsregler for bruk og regulatoriske retningslinjer etter. EUs KI-lov, som trer i kraft i etapper, krever imidlertid at KI-leverandører tar passende tiltak for å redusere og håndtere risikoen for KI-systemer. For organisasjoner som implementerer KI, ISO 42001 Standarden gir veiledning om beste praksis for å bygge et sikkert og etisk AI-styringssystem (AIMS) på tvers av utvikling, implementering, administrasjon og kontinuerlig forbedring av AI-systemer.

Sikring av forsyningskjeden

Nesten halvparten (46 %) av produksjons- og forsyningsorganisasjonene vi undersøkte sa at de hadde blitt påvirket på grunn av en cybersikkerhets- eller informasjonssikkerhetshendelse forårsaket av en tredjepartsleverandør eller forsyningskjedepartner i løpet av de siste 12 månedene. 15 % hadde blitt påvirket av flere hendelser. Disse organisasjonene opplevde konsekvenser som spenner fra datainnbrudd (43 %) til driftsavbrudd som krevde nødrespons (36 %). Én av tre (34 %) opplevde midlertidige systemavbrudd eller driftsforstyrrelser.

Ettersom hendelser rettet mot forsyningskjeden blir stadig vanligere, prioriterer produksjons- og forsyningsbedrifter sikkerhet i forsyningskjeden og leverandørene. Nesten fire av fem (79 %) av respondentene i produksjons- og forsyningsbransjen sa at organisasjonen deres har styrket risikostyringen overfor tredjeparter og leverandører de siste 12 månedene, og 19 % sa at de planlegger å gjøre det i løpet av de kommende 12 månedene. 55 % planlegger også å øke utgiftene sine til sikkerhet i forsyningskjeden og overfor tredjepartsleverandører de neste 12 månedene.

Bedrifter reagerer også ved å kreve at leverandører dokumenterer sin informasjonssikkerhet og cybersikkerhetsstatus. 40 % av respondentene innen produksjon og forsyningssektoren krever at leverandører er sertifisert i henhold til informasjonssikkerhetsstandarden. ISO 27001; samme prosentandel krever GDPR samsvar. AI-håndtering er også fortsatt en topprioritet innen sikkerhet i forsyningskjeden – 35 % av respondentene sa at organisasjonen deres krever at leverandører skal være ISO 42001 sertifisert.

Prioriteringer for informasjonssikkerhet

Ettersom bedrifter over hele verden kjemper mot det bevegelige målet som er cybertrussellandskapet, fokuserer produksjons- og forsyningsorganisasjoner på beredskap. Respondentene rangerte hendelsesberedskap og gjenopprettingskapasitet som sin viktigste prioritet for informasjonssikkerhet de neste 12 månedene (31 %).

Dette ble etterfulgt av styrking av forsvaret mot AI-genererte trusler som phishing og deepfakes (30 %) og forbedring av ansattes sikkerhetsbevissthet og -atferd (27 %), som begge samsvarer med de største utfordringene og bekymringene som ble nevnt av respondentene i rapporten. 90 % av respondentene innen produksjon og forsyningsvirksomhet var enige i at alle bedrifter bør ha noen som er ansvarlig for informasjonssikkerhet på styrenivå, noe som støtter behovet for organisasjonsomfattende bevissthet om informasjonssikkerhet.

AI-trusler og -muligheter

Produksjons- og forsyningsbedrifter bruker AI for sikkerhet samtidig som de forbereder seg på å forsvare seg mot teknologiens mer skumle bruksområder. 70 % av produksjons- og forsyningsbedriftene planlegger å øke utgiftene sine til AI- og maskinlæringssikkerhetsapplikasjoner, noe som styrker den eksisterende sikkerhetsstillingen og reduserer arbeidsmengden for ofte overbelastede sikkerhets- og samsvarsteam.

I tillegg planlegger 98 % av produksjons- og forsyningsorganisasjoner å investere i GenAI-trusseldeteksjon og -forsvar i løpet av de neste 12 månedene. Som nevnt ble forbedring av forsvaret mot AI-genererte trusler som deepfake og phishing rangert som respondentenes nest høyeste prioritet for informasjonssikkerhet. Her vil strategiske investeringer sette organisasjoner i en sterkere posisjon til å identifisere og forsvare seg mot disse truslene.

Ser fremover

Sikkerhetsledere i produksjons- og forsyningsbransjen navigerer et komplekst sett med utfordringer innen informasjonssikkerhet.

Svarene deres på årets rapport viser imidlertid at de jobber strategisk – de identifiserer trusler og muligheter knyttet til AI, strammer opp sikkerhetskravene i forsyningskjeden og jobber med å forbedre de ansattes bevissthet om informasjonssikkerhet, fra styrenivå til nyansatte. De bygger og implementerer AI-systemer sikrere og etisk, og investerer i forbedrede informasjonssikkerhetstiltak.

Ved proaktivt å integrere beste praksis for informasjonssikkerhet i hele organisasjonen, kan produksjons- og forsyningsorganisasjoner effektivisere arbeidet med samsvar, øke kundenes tillit og forbedre digital robusthet. Vi ser frem til å se hvordan bedrifter i sektoren har tilpasset seg det skiftende cyberlandskapet i neste års rapport.