WEF-rapport: Svindel er nå administrerende direktørers største cyberbekymring, men det er ikke den eneste

Av Phil Muncaster • 3 februar 2026

Fem år er lang tid innen cybersikkerhet. Likevel er det så lenge Verdens økonomiske forum (WEF) har spurt administrerende direktører om sine Global Cybersecurity Outlook rapporter. Håpet er at den resulterende innsikten vil gi bedriftsledere mulighet til å justere strategi og navigere i et raskt utviklende trussellandskap. Årets tilbud plasserer svindel, kunstig intelligens og geopolitikk øverst på en voksende liste over bekymringer. Og som tilfellet var i fjor, er cyberrobusthet målet alle streber etter.

Likevel, som vi diskuterte i IO (tidligere ISMS.online) Status for informasjonssikkerhetsrapport 2025, det er ofte et ganske langt gap mellom å diagnostisere problemet og å gjøre noe med det.

Hva WEF fant

WEF-undersøkelse litt over 800 ledere på toppnivå for årets rapport. Blant de viktigste funnene er følgende:

Svindel tar topplasseringen

Administrerende direktører og IT-sjefer skilte seg litt ut når det gjaldt de to største bekymringene. Mens IT-sjefer var konsistente fra i fjor når det gjaldt å nevne (i rekkefølge) løsepengevirus og forstyrrelser i forsyningskjeden, plasserte deres administrerende direktør-kolleger cyberaktivert svindel på topp, etterfulgt av AI-sårbarheter. Med svindel mener de bedriftsfokuserte trusler som phishing/smishing/vishing, fakturasvindel (som BEC) og innsidesvindel, men også typer kriminalitet som oftere er forbundet med forbrukertap, som ID-tyveri og til og med investeringssvindel/kryptosvindel.

IO-rapporten ser ut til å være enig. Den avslørte at 30 % av respondentene opplevde phishing i løpet av de siste 12 månedene, opp fra bare 12 % i 2024.

Som en siste rapport Fra Microsofts høydepunkter finnes det en sofistikert og robust global infrastruktur på plass for å legge til rette for visse typer svindel, som BEC, som påvirker bedrifter. Men selv nominelt forbrukerfokuserte kampanjer sentrert rundt ting som ID-tyveri kan påvirke næringslivet.

As Check Point argumenterte I en nylig artikkel kan svindlere, når de er i stand til å høste personlig informasjon og enhetsinformasjon, inkludert «liveness»-selfier, fra enkeltpersoner, bruke informasjonen utover ID-svindel. Mer spesifikt kan den operasjonaliseres for å omgå bedriftsautentiseringssystemer og utgi seg for å være ansatte i IT-hjelpesenterets passordtilbakestilling. Og hvis enkeltpersoner taper store summer i investeringssvindel, kan de være mer sårbare for tvang/utpressing som ondsinnede innsidere.

AI overbelaster cyberrisikoen

AI ble også fremhevet av WEF-respondentene som en sentral driver for cyberrisiko. Men interessant nok, mindre med tanke på dens evne til å drive phishing, deepfakes og skadelig programvare (som gjaldt 28 %), og mer med tanke på datalekkasjer som kan oppstå ved misbruk av GenAI (30 %). Dette peker på en bekymring for den økende bruken av AI i bedrifter, som utvider overflaten for cyberangrep. Faktisk mener 87 % av respondentene at AI-sårbarheter øker (mot 77 % som sier det samme om svindel og 65 % som sier det samme om forstyrrelser i forsyningskjeden).

IO-data kaster mer lys over problemet. En tredjedel (34 %) av respondentene fortalte oss at de er bekymret for skygge-AI, og 54 % innrømmet at de tok i bruk GenAI for raskt og nå står overfor utfordringer med å implementere det mer ansvarlig. Risiko har en tendens til å trives i skyggene: det organisasjoner ikke kan se, kan de ikke håndtere.

Geopolitikk er en viktig påvirkningsfaktor på sikkerhetsstrategi

Nesten to tredjedeler av respondentene fortalte WEF at geopolitisk motiverte cyberangrep er en viktig faktor når de utarbeider strategier for håndtering av cyberrisiko. Rapporten fant at volatilitet på dette området har tvunget nesten alle (91 %) store organisasjoner til å justere sin tilnærming til sikkerhet. Dette samsvarer med IOs syn, som fant at 88 % av amerikanske og britiske bedrifter frykter statsstøttede angrep, og nesten en fjerdedel (23 %) sier at deres største bekymring for året som kommer er manglende beredskap for «geopolitisk eskalering eller cyberoperasjoner i krigstid». En tredjedel (32 %) hevder at håndtering av geopolitisk risiko er deres primære motivasjon for sterk infosikkerhet og samsvar.

Enda mer bekymringsfullt er det at 31 % av respondentene i WEF-undersøkelsen rapporterte lav tillit til landets evne til å reagere på store cyberhendelser, opp fra 26 % i fjor. Tallet stiger til 40 % i Europa. Regjeringen må fremskynde implementeringen av tiltakene i lovforslaget om cybersikkerhet og -motstandskraft og handlingsplanen for cybersikkerhet.

Forsyningskjeder er fortsatt en hindring for robusthet

Forsyningskjeder fortsetter å være en betydelig kilde til cyberrisiko, og en som fortsatt er vanskelig å håndtere. To tredjedeler (65 %) av respondentene fortalte WEF at det er deres største utfordring å bli cyberrobust, opp fra 54 % i fjor og rett over det raskt utviklende trussellandskapet (63 %) og eldre systemer (49 %).

De har rett til å være bekymret. Rundt 61 % av britiske/amerikanske organisasjoner fortalte IO at virksomheten deres har blitt påvirket av en sikkerhetshendelse forårsaket av en tredjepartsleverandør i løpet av det siste året. Mange sa at det førte til datainnbrudd hos kunder/ansatte (38 %), økonomisk tap (35 %), driftsforstyrrelser (33 %), frafall/tap av tillit (36 %) og økt gransking fra partnere (24 %).

Mot motstandskraft

Med dette bakteppet vet ledere innen bedrifter og sikkerhet at de ikke kan forbli 100 % sikre mot sikkerhetsbrudd. Fokuset må derfor flyttes mot robusthet: hvordan man kan forutse, motstå og gjenopprette raskt etter hendelser, og opprettholde en så nær «business as usual»-tilnærming som mulig. JLR og M&S Brudd har vist, dette er lettere sagt enn gjort.

Ifølge WEF er de største barrierene for cyberrobusthet et raskt utviklende trussellandskap og nye teknologier (61 %), sårbarheter hos tredjeparter (46 %) og mangel på cyberkompetanse (45 %). Arv og finansiering ble også nevnt som viktige. Så hvordan kan organisasjoner overvinne disse utfordringene?

Interessant nok fant rapporten at mer robuste organisasjoner hadde større sannsynlighet for å:

Holde styremedlemmer personlig ansvarlige ved brudd på regler
Ha et positivt syn på cyberrelaterte regelverk
Ha tilstrekkelige ferdigheter til å nå sine cybermål
Vurder sikkerheten til AI-verktøy før utrulling
Involver sikkerhet i anskaffelser
Simuler hendelser og planlegg gjenopprettingsøvelser med partnere
Vurder leverandørenes sikkerhetsmodenhet.

Mange av disse tingene er pålagt av standarder for beste praksis som ISO 27001 og ISO 42001. Sistnevnte er spesielt godt egnet til å hjelpe organisasjoner tett gapet i styringen og håndtere risiko (inkludert datalekkasje) på tvers av en voksende AI-angrepsflate.

Ifølge IO har 80 % av britiske/amerikanske organisasjoner tilpasset seg slike standarder for å bygge motstandskraft på en strukturert, risikobasert måte. Med et ustabilt forretnings- og trussellandskap som bakteppe, er de som ikke gjør det, i en stadig større ulempe.

Phil Muncaster

Phil Muncaster har vært IT-journalist i 20 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Les mer fra Phil Muncaster

Cyber sikkerhet 5 mars 2026

Britiske finansforetak svikter fortsatt med det grunnleggende, advarer Boe.

Britiske finansselskaper svikter fortsatt i det grunnleggende, advarer BoE

Storbritannias finanssektor presterer langt over gjennomsnittet. London er en god nummer to etter New York som verdens fremste finansknutepunkt, og ...

Phil Muncaster

Cyber sikkerhet 17 februar 2026

Hva LastPass-bruddet forteller oss om samsvar i 2026

GDPR var alltid ment å være vag. Ved å ikke liste opp forskrivende tekniske kontroller – slik for eksempel PCI DSS gjør – gjør forskriften en bedre...

Phil Muncaster

Cyber sikkerhet 12 februar 2026

Er regjeringens cyberhandlingsplan egnet for formålet?

Det skjer ikke ofte at myndighetene innrømmer at de tok feil. Likevel, i begynnelsen av året, ble vi møtt med en sjelden mea culpa: en erkjennelse av at en tidligere...

Phil Muncaster