האחרון של IO דוח מצב אבטחת מידע מדגיש מגזר שחשוף מבחינה מבנית ומודע לכך היטב. ארגוני תחבורה ונסיעות נמצאים בצומת של תשתית פיזית, פלטפורמות דיגיטליות ושרשראות אספקה ​​המקושרות זה לזה. כאשר משהו משתבש, ההשפעה מיידית וגלויה לעין, החל מציי רכב מקורקעים וייצור מופסק ועד ללקוחות תקועים ושיבושים מדורגים של ספקים.

ממצאי השנה מראים כי מובילי אבטחה בתחומי התחבורה והנסיעות פועלים כדי לעמוד בקצב האיומים המונעים על ידי בינה מלאכותית, האצה רגולטורית ושבריריות שרשרת האספקה, תוך התמודדות עם אילוצי תקציב, מחסור במיומנויות ומעורבות לא אחידה של הדירקטוריונים.

המשיבים שלנו כללו מנהיגים בכירים בתחומי הסייבר ואבטחת המידע ברחבי מערכת התחבורה והנסיעות בבריטניה ובארה"ב. תשובותיהם חושפות היכן הלחץ החריף ביותר, כיצד מתרחשות אירועים בפועל, והיכן המגזר מתמקד בבניית חוסן.

להלן, נפרט 11 נתונים סטטיסטיים מרכזיים שכל מנהיג בתחום התחבורה והנסיעות צריך להבין מהדוח של השנה.

סטטיסטיקות מרכזיות של אבטחת מידע עבור מגזר התחבורה והנסיעות

  1. 57% אומרים שאופי ענף התחבורה והתיירות מקשה במיוחד על יישום אמצעי אבטחת מידע יעילים.
  2. 46% אומרים שההנהלה הבכירה עדיין מתייחסת לתאימות אבטחת מידע כאל מחשבה שלאחר מעשה - למרות של-86% יש אסטרטגיית אבטחה ברורה ו-89% תומכים באחריות ברמת הדירקטוריון.
  3. אילוצי תקציב הם האתגר המצוטט ביותר (48%), בעוד 34% מתמודדים עם פער מיומנויות באבטחת מידע ו-33% עם תחלופת עובדים ושימור עובדים.
  4. 44% אומרים שחוסר מודעות של עובדים הוא אתגר מרכזי, כאשר טעויות נפוצות כוללות קליקים של פישינג (29%), IT צללים (26%) ושימוש לא מאובטח במכשירים אישיים (23%).
  5. מעל 74% מארגוני התחבורה והנסיעות דיווחו על סבל מאירועי אבטחה ב-12 החודשים האחרונים.
  6. 54% מדווחים שקיבלו לפחות קנס אחד בגין הפרת נתונים או הפרת הגנת מידע בשנה האחרונה, כאשר רובם עלו בין 101,000 ל-250,000 ליש"ט
  7. 37% הושפעו מאירוע הקשור לצד שלישי או לספק ב-12 החודשים האחרונים - 17% מספר פעמים ו-20% פעם אחת.
  8. 77% אימצו טכנולוגיות חדשות כמו בינה מלאכותית, למידת מכונה או בלוקצ'יין - אך 54% אומרים שאימצו בינה מלאכותית מהר מדי, ו-33% מדווחים על החלפת משימות בבינה מלאכותית ללא בדיקות תאימות אנושיות.
  9. 94% חשים מוכנים לפישינג וזיופים שנוצרים על ידי בינה מלאכותית, ו-89% לזיוף עמוק ותוכנות זדוניות המונעות על ידי בינה מלאכותית - אך 20% עדיין מדווחים על שימוש לא מאושר של עובדים בכלי GenAI.
  10. 40% אומרים שהם מתקשים לקבוע אילו תהליכי אבטחה ניתנים לאוטומציה בבטחה.
  11. 46% מציינים תשתית אבטחה יעילה כהחזר ההשקעה (ROI) החזק ביותר שלהם ממאמצי אבטחת מידע, ואחריהם החלטות עסקיות טובות יותר (43%), אטרקטיביות גדולה יותר למשקיעים (40%) ועלייה במכירות או בהזדמנויות חדשות (37%).

אבטחת צד שלישי ואבטחת שרשרת אספקה

מעט תעשיות חשות את השפעת שיבוש שרשרת האספקה ​​בצורה חדה כמו תחבורה ונסיעות. יגואר לנד רובר (JLR) מתקפת הסייבר הבהירה זאת: אירוע בודד עצר את הייצור, השבית מערכות IT והלם שהכה באלפי ספקים וכלכלות מקומיות.

הנתונים שלנו מראים שזה לא חריג. יותר משליש מהארגונים נפגעו מתקריות של צד שלישי בשנה האחרונה. במקרים בהם אלה מתרחשים, ההשלכות חורגות מעבר לנקודת הכניסה המקורית: גניבת נתונים המשפיעה על לקוחות, עובדים או שותפים היא תופעה שכיחה, כמו גם עלויות כספיות לא מתוכננות, עיכובים בשרשרת האספקה, הפסקות זמניות ובמקרים מסוימים, אובדן של שותפויות או חוזים מרכזיים.

ציפיות הספקים מתחזקות בתגובה. ארגונים רבים דורשים כעת ISO 27001, ISO 27701 ו / או ISO 42001 משותפים, לצד מסגרות כמו Cyber ​​Essentials, SOC 2, NIST ותקנות כמו 2 שקלים ו-TISAX. רק מיעוט קטן אינו דורש כלל תקני אבטחה.

תוכניות הוצאות מחזקות את השינוי הזה. כמעט מחצית מתכננים להגדיל את ההשקעה באבטחת שרשרת האספקה ​​ובצד שלישי במהלך 12 החודשים הקרובים, ללא קיצוצים מתכננים. כיוון התנועה הוא הרחק משאלונים חד פעמיים וביקורות נקודתיות, לעבר פיקוח רציף, מובנה ומבוסס ראיות על ספקים, בהתאם לאותן מסגרות ודיווחים המשמשים באופן פנימי.

נוף האיום המשתנה

תמונת האירועים בתחבורה ובנסיעות היא רחבה ומתמשכת. איומים מסורתיים: פישינג, תוכנות זדוניות ופריצות לרשת, נותרו מושרשים. כשליש מהארגונים מדווחים על אירועי פישינג או ויישינג וכמעט כמות דומה מדווחת על הדבקות בתוכנות זדוניות. נתחים קטנים יותר אך משמעותיים מדווחים על תוכנות כופר, DDoS, פרצות ל-IoT/מובייל, הרעלת נתונים מבינה מלאכותית, זיופים עמוקים ופגיעה בשרשרת האספקה.

פרצות אבטחה אינן דבר מופשט. נתוני לקוחות, עובדים, נתונים פיננסיים, מחקריים, מוצרים ונתוני קניין רוחני נפגעו כולם במספרים משמעותיים. בפרט, עבור מידע המאפשר זיהוי אישי, ההשלכות חמורות: רוב הארגונים שנפגעו מדווחים על קנסות רגולטוריים, ומחציתם אומרים שהפרות מידע המאפשר זיהוי אישי תרמו לסגירת עסק או לשינוי אסטרטגי.

מעל לכל זה ניצב נוף איומים מתפתח המונע על ידי בינה מלאכותית. פישינג שנוצר על ידי בינה מלאכותית הוא כעת הדאגה המתפתחת ביותר, ואחריו מידע שגוי ודיסאינפורמציה, התחזות עמוקה בפגישות וירטואליות ובינה מלאכותית בצל. פריצה לשרשרת האספקה ​​ותוכנות כופר עדיין מופיעות, אך מרכז הכובד עבר לכיוון התקפות המשתמשות בבינה מלאכותית כדי להרחיב ולהתאים אישית טכניקות מסורתיות.

הסיכון אינו רק התחכום של התקפות אלו, אלא גם המציאות התפעולית לפיה כשלים קטנים אצל קבלן, שותף לוגיסטיקה או ספק תוכנה נישה יכולים להתפשט במהירות דרך רשתות מחוברות.

מיומנויות, שחיקה ועומס תפעולי

הדו"ח מדגיש גם מגזר הנמצא תחת לחץ תפעולי מתמשך. אילוצי תקציב עומדים לצד פער מתמשך במיומנויות וקושי בשימור עובדים. גם במקרים בהם שחיקה אינה מדווחת במפורש, הרחבת האחריות, טכנולוגיות חדשות, תקנות חדשות ושרשראות אספקה ​​מורכבות הופכים את הקיבולת לדאגה מתמדת.

לחץ זה משתרע מעבר לתפקידי מומחים. צוותים מתמודדים עם ריבוי כלים, לוחות מחוונים חופפים וזרימות עבודה לא עקביות. רבים מתכננים לתעדף איחוד, וחלק ניכר מהם מתקשה להחליט אילו תהליכים ניתן להפוך לאוטומטיים בבטחה. יותר מדי כלים, חוסר אינטגרציה וחוסר ודאות לגבי גבולות האוטומציה מקשים על שמירה על תמונה אחת ואמינה של סיכונים ותאימות.

בסביבה קריטית לזמן ולבטיחות, חוסר קוהרנטיות זה יכול להתבטא בפערים בניטור, ראיות חלקיות והסתמכות רבה על מומחיות אישית. עם הזמן, זה אינו מודל תפעולי בר-קיימא.

לחץ רגולטורי ומורכבות תאימות

ציפיות רגולטוריות בנוגע להגנה על נתונים, ניהול בינה מלאכותית, חוסן תפעולי ואבטחת שרשרת האספקה ​​הולכות ומתהדקות. שישה מתוך עשרה מנהיגים בתחומי התחבורה והנסיעות אומרים שקצב והיקף השינוי מקשים על עמידה בדרישות.

עם זאת, היכולת אינה אחידה. כשליש מרגישים מצוידים במלואם לנהל מסגרות ותקנות כמו GDPR, NIS 2 ו-DORA באופן פנימי, ושליש נוסף מרגישים מצוידים ברובו אך עדיין מסתמכים על עזרה חיצונית. השאר מדווחים על פערים בזמן, מערך מיומנויות מקצועי או תמיכה בדירקטוריון.

התוצאות מאששות זאת: יותר ממחצית הארגונים במגזר קיבלו קנסות בגין הגנת מידע בשנה האחרונה, רבים מהם ברמות של שש ספרות.

כאשר ציות מבוצע היטב, היתרונות ברורים. מנהיגים מדגישים תשתית יעילה, קבלת החלטות טובה יותר, אטרקטיביות חזקה יותר למשקיעים, מוניטין משופר והזדמנויות מסחריות חדשות כתשואות מוחשיות. הנתונים תומכים בשינוי חשיבה: עבור ארגונים רבים, ציות הופך לדרך לצמיחה ממושמעת וחוסן במקום תגובה תגובתית לרגולטורים.

התנהגות עובדים וסיכונים פנימיים

תרבות האבטחה נותרה נקודת תורפה חוזרת ונשנית. למרות שחלק מהארגונים מדווחים על טעויות נפוצות של עובדים, רבים אחרים רואים דפוס עקבי: קליקים של פישינג, שימוש ב-Wi-Fi ציבורי לעבודה, IT בצל, מכשירים אישיים לא מנוהלים ושיתוף קבצים לא מאובטח. אי עמידה בתקנות ונהלי סיסמאות חלשים בולטים גם הם.

התנהגויות אלו מסוכנות במיוחד בתחבורה ובנסיעות, שבהן לצוות עשויה להיות גישה למערכות תפעוליות, נתוני לקוחות, פלטפורמות לוגיסטיקה או פורטלים של ספקים. כאשר תהליכים אינם ברורים, מסורבלים או מקוטעים על פני כלים מרובים, עובדים נמשכים באופן טבעי לפתרונות עוקפים שנראים מהירים יותר, גם אם זה מציג סיכון חדש.

האתגר עבור מנהיגי אבטחה אינו רק הכשרת מודעות, אלא גם תכנון ואכיפה של תהליכים שהופכים את הנתיב המאובטח לברירת המחדל, ומוטמע במערכות בהן אנשים כבר משתמשים.

מנהיגות וכיוון אסטרטגי

ישנם סימנים מעודדים לכך שאבטחה עולה לסדר היום. רוב הארגונים מדווחים על אסטרטגיית אבטחה ברורה ומוגדרת היטב, וכמעט תשעה מתוך עשרה מסכימים שלכל עסק צריך להיות מישהו שאחראי על אבטחת המידע ברמת הדירקטוריון.

עם זאת, כמעט מחצית מהנשאלים עדיין חשים שההנהלה הבכירה שלהם מתייחסת לתאימות כאל מחשבה שלאחר מעשה. חוסר יישור זה משמעותי. במקרים בהם אותות ההנהגה מעורבים, צוותים חייבים ליישב יעדי אבטחה ותאימות שאפתניים עם תקציב וקיבולת מוגבלים.

במגזר שבו סיכון תפעולי קשור קשר הדוק לבטיחות, המשכיות השירות ואמון המותג, אלו שנמצאים בעמדה הטובה ביותר להצליח יהיו הארגונים שהדירקטוריונים שלהם מתייחסים לאבטחת מידע כתלות עסקית מרכזית, ולא כתרגיל של סימון תיבות.

להישאר צעד אחד קדימה באמצעות חוסן מובנה

מגזר התחבורה והנסיעות מנווט בין שרשראות אספקה ​​גלובליות, איומים מבוססי בינה מלאכותית, רגולציה מחמירה וקיבולת פנימית מוגבלת. עם זאת, כיוון התנועה ברור. ארגונים מגדילים את השקעותיהם בהגנות מבוססות בינה מלאכותית, תגובה לאירועים, אבטחת שרשרת האספקה ​​ותאימות. הם מתכננים איחוד כלים, חיזוק דרישות הספקים וממסד את הממשל.

הקו המשותף בממצאי השנה הוא שגישות ידניות, מקוטעות ותלויות-אדם מגיעות לקצה גבול היכולת שלהן. הארגונים הממוקמים בצורה הטובה ביותר ב-12 החודשים הקרובים יהיו אלו המאמצים מערכות משולבות וניתנות לחזרה לניהול אבטחה ותאימות, המאחדות אנשים, תהליכים, בקרות ונתוני ספקים למודל תפעולי יחיד.

בכך, ארגוני תחבורה ונסיעות יכולים להפחית סיכונים, לשפר את יכולתם לספוג תקריות ולהתאושש מהן, ולבנות בסיס יציב יותר לחדשנות ולקישוריות שלקוחותיהם מצפים כיום להן כסטנדרט.

קרא את דוח מצב אבטחת המידע המלא.