אני שמח להציג את הממצאים האחרונים שלנו דוח מצב אבטחת מידע, שנערך בשיתוף עם חברת מחקרי שוק עצמאית Censuswide. השנה, הרחבנו את הסקר שלנו כך שיכלול משיבים מבריטניה, ארה"ב ואוסטרליה, וסיפקנו מבט מקיף באמת על הנוף הנוכחי של אבטחת המידע והתאימות.
עבורי, הדו"ח מדגיש התפתחות מרכזית באבטחת מידע. בתוך ההתקדמות הטכנולוגית המהירה והשינויים בסביבה העסקית הגלובלית, הממצאים שלנו מדגישים את ההשפעה העמוקה של אבטחת מידע על החוסן וההצלחה העסקית.
תפקידן של שיטות אבטחת מידע חזקות עבר מלהיות אמצעי מניעה למניע בסיסי של צמיחה עסקית. הדו"ח חושף כי ארגונים המשלבים עמוקות אבטחת מידע באתוס התפעולי שלהם משפרים את ההגנה שלהם מפני איומי סייבר ומחזקים את מעמדם בשוק, ובסופו של דבר משיגים יתרונות תחרותיים ופיננסיים משמעותיים.
שרטוט נוף הסיכון של היום
כשאני חושב על האתגרים של התעשייה, ברור שמנהיגי ה-IT העסקיים של היום נכנסים למים לא ידועים. המגיפה ואי הוודאות הכלכליות שלאחר מכן האיצו את הטרנספורמציה הדיגיטלית, אך כל השקעה ושותפות חדשה מרחיבה את משטח ההתקפה הדיגיטלית שלנו.
ככל שרשתות האספקה הופכות יותר ויותר לעור החיים של המסחר העולמי, הפגיעות שלהן למתקפות סייבר גוברת, כאשר פושעי סייבר מכוונים לרוב לספקים קטנים יותר כדי לחדור לארגונים גדולים יותר. הסקר שלנו מצביע על כך ש-64% מהמשיבים רואים סיכונים תכופים יותר לאבטחת שרשרת האספקה, כאשר 79% חוו לפחות תקרית אחת בשנה האחרונה.
מציאות זו מדגישה מדוע 38% מהמשיבים סימנו את ניהול הסיכון של ספקים וצד שלישי כאתגר המשמעותי ביותר העומד בפני העסקים שלהם, כשהם תופסים את המקום הראשון. יתרה מכך, ניהול ואבטחת מכשירי IoT ו-BYOD (30%) דירגו גם הם בין חמשת הדאגות המובילות. להשקעות אלו יש ערך עסקי משמעותי, אך ניתן לממש ערך זה רק אם הסיכונים מנוהלים כראוי.
ציות לרשת מורכבת של תקנות בינלאומיות ומקומיות הייתה האתגר השני בגודלו, שצוטט על ידי 33% ממובילי אבטחת המידע.
ניהול סיכונים יעיל ועמידה בדרישות אינם רק הימנעות מעונשים. הם קריטיים להבטחת היושרה והאמינות של הפעילות העסקית, שיפור היתרון התחרותי והנעת ערך עסקי. ייעול תהליכי הציות חיוני כדי להתקדם.
האיום הבלתי פוסק של שחקני סייבר
ככל שנוף הסיכונים מתעצם, החדשנות הבלתי פוסקת של פושעי הסייבר מזכירה לנו כל הזמן את הפגיעות שעלינו להישמר מפניהן. במהלך השנה האחרונה, זיהומים של תוכנות זדוניות היו התקריות המדווחות ביותר, במיוחד במגזר הטכנולוגי. העלייה של חבילות תוכנות זדוניות "כשירות" הקלה על התוקפים לבצע התקפות מורכבות, מה שהוביל לפרצות נתונים והתקפות של תוכנות כופר. התוצאות נעות בין כריית מטבעות קריפטוגרפיים וגישה לרשת להצפנת מערכת מלאה ונתונים רגישים או גניבת אישורים.
לצד הסיכונים ההולכים וגדלים הללו, הנדסה חברתית נותרה איום קריטי, כאשר 32% מהנשאלים מדווחים על תקריות. התחכום של זיופים עמוקים המופעלים על ידי בינה מלאכותית מדאיגה במיוחד מכיוון שהם הופכים נפוצים יותר בתכניות פשרה של דוא"ל עסקי, ויותר מ-40% מהעסקים מדווחים שהם מושפעים מזיופים עמוקים, עלייה מ-0% בדו"ח של 2023.
ככל שאיומי הסייבר נעשים מתוחכמים יותר, שמירה על ערנות ועדכון מתמיד של אסטרטגיות האבטחה שלך היא חיונית. אי-טיפול באיומים אלו עלול לגרום לתוצאות חמורות, כולל אובדן נתונים משמעותי, הפסקות שירות ונזק פיננסי ומותג.
התפקיד הקריטי של הגנת מידע
הנתונים נותרו ללא ספק הסחורה היקרה ביותר בארגון. הערך הזה הוא הסיבה תקנות כמו GDPR קבעו סטנדרטים כה גבוהים להגנה וטיפול במידע בצורה מאובטחת. זו גם הסיבה שגורמי איומים הם בעלי מוטיבציה גבוהה לגשת לנתונים האלה - בין אם למטרות הונאה, סחיטה או מטרות אסטרטגיות.
הפרות נתונים של שותפים הן הדיווחים הרבים ביותר, כאשר 41% מהמשיבים ציטטו מקרים כאלה ב-12 החודשים האחרונים. זה מדגיש את הסיכונים המתמשכים שספקים מציבים, מכיוון שלעתים קרובות נתונים אלה מאובטחים פחות היטב. יש לציין כי הפרות אלו נפוצות יותר במגזר הטכנולוגי, ב-55%, מאשר בקמעונאים, ב-27%.
נתונים פיננסיים היו הסוג השני הכי נפגע, 39%, ואחריו נכסים, 34%, לקוחות, 33), ונתוני מוצרים, 32%. באופן מפתיע, רק 27% מהמשיבים דיווחו על מידע אישי מזהה (PII) שנפגע למרות היותם יעד נפוץ בהתקפות כופר. סוג נתונים זה נמצא בסיכון במיוחד בענפי האנרגיה והשירותים, 38% ו-35% קמעונאות.
הדו"ח אכן הדגיש ששיפור ההכשרה והמודעות של העובדים משפיעים לטובה. עם זאת, השימוש המתמשך במכשירים אישיים לעבודה ללא אמצעי אבטחה מתאימים נותר סיכון משמעותי. ארגונים חייבים להמשיך לחנך את העובדים ולאכוף פרוטוקולי אבטחה מחמירים כדי להפחית את האיומים הללו.
התפקיד הכפול של AI באבטחת סייבר
בינה מלאכותית היא גם אתגר וגם הזדמנות באבטחת סייבר. 76% מאנשי האבטחה מאמינים שטכנולוגיית בינה מלאכותית ולמידת מכונה (ML) תשפר את אבטחת המידע, ו-64% מתכננים להגדיל את התקציבים שלהם בהתאם. ואכן, כלים אלה יכולים לעזור לגשר על פערי מיומנויות, להפוך את זיהוי האיומים לאוטומטי ולשפר את זמני התגובה, כדי לציין כמה יתרונות.
למרות ההייפ סביב בינה מלאכותית (GenAI), רק 26% מהנשאלים דיווחו שאימצו בשנה האחרונה טכנולוגיות חדשות כמו AI, ML ובלוקצ'יין לאבטחה. זה מפתיע בהתחשב בכך שיישומי AI באבטחת סייבר משתרעים הרבה מעבר ל-GenAI, כאשר ML משמש בסינון דואר זבל ובתחומים אחרים במשך שנים. חוסר הרצון לעסוק בפרויקטים חדשים עשוי להסביר מדוע רק 11% רואים בניהול ואבטחת טכנולוגיות מתפתחות אתגר משמעותי.
אפילו פחות משיבים, 7%, מודאגים מהפרות פרטיות של AI, שהופך לנושא מתעורר כאשר ארגונים משלבים GenAI בפעילותם. תקריות בעלות פרופיל גבוה, כגון עובדי סמסונג שמשתפים בשוגג מידע רגיש באמצעות הנחיות GenAI, מדגישים את הסיכונים. פורסטר צופה הפרות נתונים משמעותיות וקנסות רגולטוריים עבור משתמשי GenAI בשנת 2024, הדגשת האיום של קוד לא מאובטח שנוצר על ידי הכלים הללו. של בריטניה המרכז הלאומי לאבטחת סייבר (NCSC) הזהיר גם כי GenAI עלול להחמיר את איומי תוכנות הכופר על ידי הקלת מעקב והנדסה חברתית.
עם זאת, הנוף הרגולטורי מתפתח. ה חוק הבינה המלאכותית של האיחוד האירופי מטיל אחריות על כל ספקי הבינה המלאכותית, הצגת הערכות התאמה למערכות בינה מלאכותית בסיכון גבוה. ארה"ב מסתמכת על פקודות נשיאותיות, עם חוקים פדרליים אפשריים. בריטניה גם מאותתת על כוונה להסדיר את השימוש בבינה מלאכותית. תקנים כמו ISO 42001 יהיו קריטיים לארגונים לספק הבטחות לרגולטורים.
למרות שרק 13% מהנשאלים משתמשים כיום באבטחת מידע ותאימות כדי להגביר את האימוץ המאובטח של טכנולוגיות חדשות, נתון זה צפוי לעלות ככל שהפעולות הרגולטוריות יגדלו והשימוש בטכנולוגיה יהפוך לרווח יותר.
הערך העסקי של ציות
היסטורית, חדרי ישיבות ראו בציות כרע הכרחי - אמצעי להימנע מקנסות ענישה ופרסום רע. עם זאת, המחקר שלנו חושף שינוי משמעותי בתפיסה זו. בבריטניה יש עלייה בקנסות, כאשר 26% מהנשאלים נקנסו בין 250-500 אלף ליש"ט (עלייה מ-21% ב-2023) ו-35% נקנסו ב-100-250 אלף ליש"ט (עלייה מ-18%). בעוד שקנסות הם גורם, הם רק חלק מסיפור הציות.
מניעי הציות חורגים הרבה מעבר להימנעות מעונשים. 34% מהמשיבים רואים בציות חיוני לשמירה על יתרון תחרותי, ואחוז שווה מונעים על ידי הגדלת הביקוש של הלקוחות לאמצעי אבטחה חזקים. הגנה על מידע עסקי (30%) ולקוח (29%) היא גם מניע מרכזי, בעוד ש-27% רואים בציות חיוני לכניסה לשווקים חדשים ולשרשרת אספקה.
השקעה בתוכניות ציות מניבה יתרונות מוחשיים, כאשר 34% מהנשאלים מדווחים על מוניטין משופר כישויות בטוחות ואמינות. 30% השיגו חיסכון בעלויות על ידי צמצום אירועי אבטחת סייבר, ו-29% הבינו חיסכון בזמן באמצעות תהליכי אבטחה יעילים יותר. ציות גם מושך משקיעים המחפשים חברות בסיכון נמוך (28%) ומסייע לייעל את תשתיות האבטחה (28%), מה שהופך את ניהולה לקל יותר ולפחות יקר. בנוסף, 26% שיפרו את קבלת ההחלטות העסקיות באמצעות נתונים מאובטחים ואמינים, בעוד שרק 19% נותנים עדיפות לציות כדי להימנע מקנסות.
למרות היתרונות, האתגרים נמשכים. כמעט מחצית (46%) מהמשיבים דיווחו שעמידה בתקן ISO 27001 לקחה להם בין שישה ל-12 חודשים. 11% נוספים אומרים שזה לקח 12 עד 18 חודשים, ו-5% טוענים שזה לקח יותר משנה וחצי.
ציר זמן זה מצביע על צורך בתהליכים יעילים יותר ובשותפים מהימנים לציות. על ידי מינוף שותפים מנוסים, ארגונים יכולים לזרז את מאמצי הציות, להפחית עלויות נלוות ולשמור על אמצעי אבטחה חזקים.
מה הלאה לגבי אבטחת מידע?
מה שברור הוא שארגונים ממשיכים לנווט במספר עצום של איומים ודרישות רגולטוריות תוך שהם מניעים יוזמות שינוי משמעותיות, לא פחות מהתפקיד המתהווה של AI. עמידה במסגרות ובסטנדרטים של שיטות עבודה מומלצות אינה רק עמידה בדרישות הרגולטוריות אלא בבניית עסק עמיד ואמין.
ב-ISMS.online, המחויבות שלנו היא לתמוך בלקוחות שלנו במסע הזה, לעזור להם לייעל את תהליכי הציות ולהבטיח את עתידם הדיגיטלי. במבט קדימה, אני בטוח שהשילוב של שיטות אבטחת מידע חזקות יהיה קריטי לצמיחה והצלחה בת קיימא.
אני רוצה להודות לכל המשיבים שתרמו למחקר יקר ערך זה. אם תרצו לקרוא את הדו"ח המלא, תוכלו לעשות זאת כאן: https://iw.isms.online/state-of-infosec-24/
