השנתי השלישי של IO דוח מצב אבטחת מידע חשפו את האתגרים המרכזיים העומדים בפני מנהיגי אבטחה בשנת 2025, החל מהתקפות המונעות על ידי בינה מלאכותית ועד לקשיי תאימות. אנשי מקצוע ממגוון תעשיות שיתפו כיצד הם מאבטחים את שרשרת האספקה, ניגשים לדרישות רגולטוריות מחמירות ומתמודדים עם איומים המונעים על ידי בינה מלאכותית.
בין המשיבים שלנו נכללו למעלה מ-130 אנשי מקצוע בתחום האבטחה העובדים בתעשיית הפיננסים ברחבי ארה"ב ובריטניה. תשובותיהם שופכות אור על אתגרי אבטחת המידע העיקריים ענף הכספים עמן התמודדה ב-12 החודשים האחרונים, פעולות שננקטו מנהיגים לבניית חוסן ארגוני, וסדרי העדיפויות שלהם לשנה הקרובה.
גלו את 11 הנתונים הסטטיסטיים המובילים של תעשיית הפיננסים מדוח השנה.
סטטיסטיקות מרכזיות של אבטחת מידע עבור תעשיית הפיננסים
שרשרת אספקה
- 51% מארגוני הפיננסים נפגעו עקב אירוע אבטחת סייבר או אבטחת מידע שנגרם על ידי ספק צד שלישי או שותף בשרשרת האספקה ב-12 החודשים האחרונים.
- 88% מארגוני הפיננסים חיזקו את ניהול הסיכונים של צד שלישי וספקים ב-12 החודשים האחרונים.
אירועי סייבר
- 43% מארגוני הפיננסים חוו אירועי פישינג/וישינג ב-12 החודשים האחרונים.
- 98% מארגוני הפיננסים אומרים שהם בטוחים בתגובת הארגון שלהם לאירועים.
סדרי עדיפויות ואתגרים
- ארגונים פיננסיים דירגו את שיפור המודעות וההתנהגות של עובדיהם בתחום אבטחת המידע כעדיפות עליונה עבורם בתחום אבטחת המידע (31%).
- פישינג באמצעות בינה מלאכותית הוא האיום המתפתח המוביל עבור ארגונים פיננסיים (48%).
- אבטחת טכנולוגיות מתפתחות כמו בינה מלאכותית, למידת מכונה ובלוקצ'יין היא אתגר אבטחת המידע המוביל (47%) עבור ארגונים פיננסיים.
ענייני מנהיגות
- 87% מהנשאלים מתעשיית הפיננסים מסכימים כי לארגון שלהם יש אסטרטגיית אבטחת מידע ברורה ומוגדרת היטב.
- 87% מסכימים שכל עסק צריך שיהיה מישהו שאחראי על אבטחת מידע ברמת הדירקטוריון
וניהול תאימות
- 46% מארגוני הפיננסים אומרים כי הגברת יכולתם לאמץ טכנולוגיות חדשות בצורה מאובטחת (למשל ענן, בינה מלאכותית) היא המוטיבציה העיקרית שלהם להבטיח אבטחת מידע חזקה ותאימות.
- 36% מארגוני הפיננסים קיבלו קנסות בסך שבין 251,001 ל-1,000,000 ליש"ט בגין פרצות נתונים או הפרת כללי הגנת מידע ב-12 החודשים האחרונים.
אבטחת שרשרת אספקה
למעלה ממחצית (51%) מארגוני הפיננסים שסקרנו אמרו כי הושפעו עקב אירוע אבטחת סייבר או אבטחת מידע שנגרם על ידי ספק צד שלישי או שותף בשרשרת האספקה ב-12 החודשים האחרונים. יותר מאחד מכל חמישה (21%) אמר כי הושפעו מספר פעמים. ההשלכות איתן התמודדו הארגונים שנפגעו מאירועים אלה נעו בין הפסד כספי (38%) לנזק תדמיתי, כולל אובדן אמון הלקוחות (שניהם 27%).
אירועי סייבר מתוקשרים כמו ההתקפות על יגואר לנד רובר (JLR) בספטמבר וענקית הקמעונאות מרקס אנד ספנסר (M&S) באפריל להדגיש את הרס שפגיעויות שרשרת האספקה עלולות לגרום.
התקרית ב-JLR צפויה לעלות הפסדים של 1.9 מיליארד ליש"ט ולהשפיע על 5,000 עסקים בסך הכל, כאשר ספקים התמודדו עם עיכובים בתשלומים ושיבושים בתזרים המזומנים. בינתיים, מתקפת הכופר על M&S הובילה את העסק לסגור לחלוטין הזמנות מקוונות. בשני המקרים, השיבושים נמשכו למעלה מחודש.
עם הופכת של אירועי כאלו לנפוצים יותר ויותר, ארגונים פיננסיים מתייחסים בבירור לאבטחת שרשרת האספקה כעדיפות. 88% מהנשאלים בדו"ח אומרים כי הארגון שלהם חיזק את ניהול הסיכונים של צד שלישי וספקים ב-12 החודשים האחרונים, בעוד ש-12% אומרים שהם מתכננים לעשות זאת בשנה הקרובה. 58% מתכננים גם להגדיל את הוצאותיהם על אבטחת שרשרת האספקה וספקים חיצוניים ב-12 החודשים הקרובים.
אירועי סייבר, אתגרים וסדרי עדיפויות
עובדים משמשים לעתים קרובות כמטרה לגורמי איום כשערי גישה לרשת הארגון - ומחוצה לה. תקיפות שרשרת אספקה מוצלחות רבות נגרמות על ידי תוקפים שפוגעים בתעודות העובדים, בין אם מדובר בעובד בארגון היעד או בספק.
לפיכך, אין זה מפתיע שארגונים פיננסיים דירגו את שיפור המודעות וההתנהגות של עובדיהם בתחום אבטחת המידע כעדיפות עליונה (31%) עבורם בשנה הקרובה. יש לכך סיבה טובה - כמעט שניים מכל חמישה (43%) מהנשאלים אמרו שחוו אירוע פישינג או ויישינג ב-12 החודשים האחרונים.
ההתפתחות המהירה של טכנולוגיית הבינה המלאכותית (AI) ולמידת מכונה (ML) יצרה גם אתגרים חדשים עבור עסקים. ארגונים פיננסיים דירגו פישינג מבינה מלאכותית כדאגה העולה המובילה שלהם (48%) ל-12 החודשים הקרובים, שכן גורמי איום ממנפים את הטכנולוגיה בצורה משכנעת יותר ויותר.
יישום בינה מלאכותית הוא אתגר נוסף שעומד בפני התעשייה. יותר ממחצית (53%) מארגוני הפיננסים אמרו שהעסק שלהם יישם טכנולוגיית בינה מלאכותית מהר מדי וכעת הוא מתמודד עם אתגרים בצמצומה או ביישומה בצורה אחראית יותר. בהתאם לכך, המשיבים דירגו את אבטחת טכנולוגיות מתפתחות כמו בינה מלאכותית, למידת מכונה ובלוקצ'יין כאתגר אבטחת המידע העיקרי שלהם (47%).
ככל שעסקים מבקשים ליישם מערכות בינה מלאכותית מחמירות ואתיות יותר, חשוב לנקוט בגישה אסטרטגית לממשל הבינה המלאכותית. סטנדרטים כמו ISO 42001 יכול לספק הנחיות ואמצעי בטיחות לארגונים. ISO 42001 מספק באופן ספציפי מסגרת לתכנון, פיתוח ופריסה אחראיים של מערכת ניהול בינה מלאכותית (AIMS). ארגונים יכולים להשתמש במסגרת זו כדי להבטיח עמידה בתקנות כגון חוק הבינה המלאכותית של האיחוד האירופי ולטפל באופן יזום בסיכוני בינה מלאכותית.
מעורבות הנהלה בכירה
אבטחת מידע נתפסה באופן היסטורי כתחום אחריותן הבלעדי של מחלקות ה-IT, אך תפיסה זו משתנה במהירות. אחרי הכל, אבטחת מידע היא דאגה כלל-ארגונית, הדורשת מעורבות ומודעות מצד העובדים, בין אם הם חברי צוות ההנהלה או עובדים חדשים.
מנהיגי אבטחה דוחפים כעת לפיקוח ומעורבות ברמת הדירקטוריון. כמעט 9 מתוך 10 (87%) מהנשאלים בתעשיית הפיננסים מסכימים שלכל עסק צריך להיות מישהו שאחראי על אבטחת מידע ברמת הדירקטוריון. אותו מספר מסכים שלארגון שלהם יש אסטרטגיית אבטחת מידע ברורה ומוגדרת היטב, דבר המצביע על כך שארגונים שבהם הדירקטוריונים מפקחים על סדרי עדיפויות של אבטחת מידע נהנים משיפורים ברורים ברמה האסטרטגית.
מניעים לציות
למעלה מאחד מכל שלושה (36%) מארגונים פיננסיים קיבלו קנסות בסכום שבין 251,001 ל-1,000,000 ליש"ט בגין פרצות נתונים או הפרת כללי הגנת מידע ב-12 החודשים האחרונים; קצת פחות מרבע (24%) אמרו שלא קיבלו קנס. לצד איומי סייבר גוברים, עסקים מתמודדים גם עם דרישות רגולטוריות מחמירות ורגולטורים ערניים.
עם זאת, ארגונים פיננסיים משתמשים יותר ויותר בתאימות כזרז לפתיחת חדשנות וצמיחה. משיבים מתעשיית הפיננסים דירגו את הגברת יכולתם לאמץ טכנולוגיות חדשות בצורה מאובטחת, כגון ענן ובינה מלאכותית, כמוטיבציה העיקרית שלהם (46%) להבטחת אבטחת מידע חזקה ותאימות. המשיבים דירגו גם את שיפור איכות ההחלטות העסקיות שלהם, הודות לנתונים מאובטחים ואמינים, כמספק את החזר ההשקעה הטוב ביותר בתאימות אבטחת מידע (42%) ב-12 החודשים האחרונים.
פרואקטיביות היא המפתח
בעוד שמובילי אבטחה בתעשיית הפיננסים מתמודדים עם מגוון אתגרי אבטחת מידע, החל ממשטח התקיפה ההולך וגדל של בינה מלאכותית ועד לאבטחת שרשרת האספקה, הדו"ח מגלה שהם גם נוקטים בצעדים מרכזיים כדי להישאר צעד אחד קדימה. הם פועלים לשיפור ההכשרה והמודעות של העובדים לאבטחת מידע, משקיעים באבטחת שרשרת האספקה וחיזוק ניהול הסיכונים בשרשרת האספקה, ומיישמים מערכות בינה מלאכותית בצורה מאובטחת ואתית יותר.
על ידי הטמעה יזומה של שיטות עבודה מומלצות בתחום אבטחת מידע ברחבי הארגון, עסקים יכולים לפשט את מאמצי הציות שלהם, לחזק את אמון הלקוחות ולחזק את החוסן הדיגיטלי. אנו מצפים לראות כיצד ארגונים פיננסיים חיזקו את אבטחתם בדוח של השנה הבאה.
