2018 var et begivenhedsrigt år for cybersikkerhed. Der gik næppe en dag uden at høre rapporter om højt profilerede databrud, cyberangreb, sofistikerede phishing-kampagner og endda byer, der blev taget som gidsler af hackere.
Trusselslandskabet har klart udviklet sig, og der dukker hele tiden nye trusler op, som truer sikkerheden for organisationer over hele verden.
Hvis 2018 var noget at gå efter, så tegner 2019 til at blive en rutsjebanetur af en tur i rutsjebane. Der er ingen tvivl om, at cyberkriminalitet fortsat vil dominere overskrifterne, og efterhånden som cyberkriminelle bliver mere sofistikerede og snedige i deres angrebsmetoder, skal organisationer sikre, at de har robuste systemer på plads for at forsvare sig mod disse trusler i udvikling.
Så hvad er der i vente i 2019? Vi er knap to måneder inde, og vi har allerede haft et af verdens største databrud nogensinde. Dette brud, der blev kaldt "Collection 1", afslørede mere end 770 millioner unikke e-mailadresser og 21 millioner adgangskoder. Det er tydeligt, at de databrud, vi ser, bliver mere og mere hyppige og alvorlige, og det ser ud til at være en tendens, der ikke forsvinder lige foreløbig.
Der er også en række andre tendenser, som vi forventer vil få indflydelse i det kommende år
De vigtigste tendenser inden for cybersikkerhed
1. Cybersikkerhed dominerer dagsordenen i bestyrelseslokalet
2018 har været året, hvor cybersikkerhed er kommet øverst på dagsordenen i bestyrelseslokalerne. Prioriteterne har ændret sig, og stigningen i virksomheders cyberangreb samt implementeringen af GDPR har medført en større følelse af, at det haster med at få styr på, hvordan organisationer håndterer cyberrisici.
Ifølge International Board Research Report er cybersikkerhed nu den største bekymring for 72 % af bestyrelsesmedlemmerne, sammenlignet med for blot tre år siden, hvor det kom på femtepladsen i undersøgelsen.
Det er tydeligt, at den lille øre er faldet, og organisationer er blevet meget bevidste om, at et cyberangreb kan være yderst skadeligt for deres virksomhed. Uanset om det drejer sig om tab af kunder, fald i aktiekursen, økonomiske sanktioner eller skade på omdømme, er konsekvenserne af selvtilstrækkelighed simpelthen for store til at ignorere.
Ledende medarbejdere er også blevet et hovedmål for ondsindede hackere på grund af deres adgang på højt niveau til værdifulde virksomhedsdata. Inden for det sidste år har der været en stigning på 58 % i antallet af BEC-angreb (Business Email Compromise), og spear phishing-angreb er blevet brugt i 91 % af alle cyberangreb i verden.
Der dukker hele tiden nye trusler op, og derfor er C-level Executives nødt til at blive mere proaktive i deres tilgang til cybersikkerhed, hvis de skal mindske risikoen for at blive angrebet.
2. Stigning i antallet af angreb på forsyningskæden
Angreb på forsyningskæden er en af de største trusler, som organisationer står over for i 2019. Cyberkriminelle har ændret deres strategier, og i stedet for at angribe en virksomhed direkte forsøger de at påføre skade ved at udnytte sårbarheder i dens forsyningskædenetværk.
Den digitale transformation har ført til nye servicemodeller, og en virksomheds forsyningsnetværk kan bestå af mange forskellige tredjeparter, herunder producenter, leverandører, håndteringsvirksomheder og distributører, der alle arbejder sammen for at bringe et produkt på markedet.
Disse leverandører har typisk ikke de samme robuste cybersikkerhedsforanstaltninger på plads og udgør attraktive svage punkter, som kan udnyttes. Supply chain-angreb har potentiale til at infiltrere et helt netværk gennem en enkelt kompromittering og kan være sværere at opdage end traditionelle malware-angreb.
Softwareudbydere er blevet et stadig mere attraktivt mål for disse typer angreb. Angriberne forsøger at plante skadelig kode i softwaren i produktionsfasen og venter derefter på, at leverandøren uforvarende distribuerer malware til sine slutbrugere.
Denne metode blev brugt i angrebet i 2017 på computeroprydningsværktøjet CCleaner. Hackere var i stand til at infiltrere forsyningskæden og injicere skadelig kode i softwaren. Malwaren blev downloadet af 2,2 millioner brugere, og der blev iværksat yderligere angreb mod teknologi- og telekommunikationsvirksomheder i Storbritannien, Tyskland, Taiwan, Japan og USA.
3. GDPR præger den globale databeskyttelse
Den meget omtalte GDPR trådte i kraft den 25. maj 2018 og danner et nyt grundlag for, hvordan organisationer behandler og håndterer data fremover. Lovgivningen har moderniseret databeskyttelsesreglerne og giver nu enkeltpersoner større kontrol over, hvem der indsamler og behandler deres data, hvad de bruges til, og hvordan de beskyttes.
Gennemførelsen af GDPR og en dramatisk stigning i antallet af databrud har fået mange andre lande rundt om i verden til at se nærmere på deres egne love om datasikkerhed og privatlivets fred.
Argentina og Japan er allerede begyndt at tilpasse deres nationale databeskyttelseslovgivning til den generelle forordning om databeskyttelse, og Brasilien har gennemført en lignende lovgivning kaldet den generelle databeskyttelseslov.
I USA har staterne Californien, New York og Colorado vedtaget lokale love om databeskyttelse, og andre stater vil sandsynligvis følge trop, efterhånden som presset stiger for strengere databeskyttelse og en mere standardiseret tilgang i hele landet.
GDPR har fungeret som en katalysator for forandring, og lande rundt om i verden søger nu aktivt at tilpasse deres databeskyttelsesregler tættere til EU-lovgivningen.
4. Sofistikerede IoT-angreb
Inden for det seneste år har det globale marked for tingenes internet (IoT) oplevet en betydelig vækstspurt, som ikke viser tegn på afmatning. Der er i øjeblikket over 8,4 mia. enheder i brug, og dette tal forventes at stige til 25 mia. enheder i 2020.
IoT-enheder kan omfatte alt fra smarte højttalere til store produktionsanlæg, og mange globale industrier anvender nu IoT-teknologi som et middel til at forbedre effektiviteten og øge overskuddet.
Men i takt med at brugen af IoT-enheder er steget, er de tilhørende sikkerhedsrisici også steget. Problemet med IoT-enheder er, at de har meget ringe sikkerhed, og mange mangler muligheden for at blive opdateret, hvilket giver cyberkriminelle nemme adgangspunkter at udnytte.
Hackere vil forsøge at kompromittere IoT-enheder med svag autentificering, uopdateret firmware eller andre softwaresårbarheder. Hvis disse taktikker ikke virker, vil de anvende brute force-angreb ved hjælp af standardbrugernavne og -adgangskoder.
Det var præcis, hvad der skete i 2016, da det berygtede Mirai Botnet lancerede et omfattende DDoS-angreb (Distributed Denial of Service), som lagde snesevis af verdens største webtjenester ned. Denne angrebsmetode vil fortsat vokse i betydning, efterhånden som hackere forsøger at gøre vores hverdagsenheder til våben.
I 2020 anslås det, at 25 % af alle cyberangreb vil være rettet mod IoT-enheder, og med flere industrier, der indfører IoT-teknologier, kan vi forvente at se en fortsat stigning i disse angreb, medmindre producenterne prioriterer sikkerhedsfunktionerne i disse enheder.
Relateret læsning
5 eksempler på sikkerhedsbrud i 2018
7 cybervaner for mellemstore virksomheder
Nytårsforsætter om cybersikkerhed
MetaCompliance har specialiseret sig i at skabe den bedste uddannelse i cybersikkerhed, der findes på markedet. Vores produkter tager direkte fat på de specifikke udfordringer, der opstår som følge af cybertrusler og virksomhedsledelse, ved at gøre det lettere for brugerne at engagere sig i cybersikkerhed og overholdelse af reglerne. Kontakt os for yderligere oplysninger om, hvordan vi kan hjælpe med at transformere Cyber Security-træning i din organisation.