Hadden we gelijk? Onze voorspellingen over cybersecuritytrends voor 2024 opnieuw bekeken

Ah, 2024, een jaar dat ons een bedwelmende cocktail van cyberdrama, regelgevende doorbraken en af ​​en toe een ransomware-hoofdpijn serveerde. We hebben een aantal gedurfde cybersecurityvoorspellingen eind 2023, gewapend met een metaforische glazen bol (en grote hoeveelheden koffie). Nu is het tijd om het toe te geven. Hebben we het goed gedaan? Waren we dichtbij? Of hebben we de plank volledig misgeslagen?

Pak een kopje thee - of misschien iets sterkers - en laten we duiken in het goede, het slechte en het "wow, we hebben het echt voorspeld" uit die!” momenten van 2024.

Voorspelling #1: Toenemende regulering van AI en Machine Learning (ML)

Wat we zeiden: 2024 zou het jaar worden waarin overheden en bedrijven zich bewust worden van de noodzaak van transparantie, verantwoording en anti-vooroordelenmaatregelen in AI-systemen.

Het jaar stelde niet teleur als het ging om AI-regulering. De Europese Unie heeft de baanbrekende AI-wet afgerond, wat een wereldwijde primeur markeert in uitgebreid bestuur voor kunstmatige intelligentie. Dit ambitieuze raamwerk introduceerde ingrijpende veranderingen, waarbij risicobeoordelingen, transparantieverplichtingen en menselijk toezicht voor AI-systemen met een hoog risico werden verplicht. Aan de andere kant van de Atlantische Oceaan lieten de Verenigde Staten zien dat ze niet tevreden waren om stil te zitten, met federale instanties zoals de FTC die regelgevingen voorstelden om transparantie en verantwoording in AI-gebruik te waarborgen. Deze initiatieven zetten de toon voor een meer verantwoordelijke en ethische benadering van machine learning.

Ondertussen is ISO 42001 stilletjes ontstaan ​​als een game-changer in het compliancelandschap. Als 's werelds eerste internationale standaard voor AI-managementsystemen, ISO 42001 bood organisaties een gestructureerd, praktisch raamwerk om te navigeren door de complexe vereisten van AI governance. Door risicomanagement, transparantie en ethische overwegingen te integreren, gaf de norm bedrijven een broodnodige routekaart om te voldoen aan zowel de wettelijke verwachtingen als het publieke vertrouwen.

Tegelijkertijd verdubbelden techgiganten als Google en Microsoft de ethiek, door AI-toezichtsraden en interne beleidsregels op te richten die aangaven dat governance niet langer alleen een juridisch vakje was om aan te vinken, maar een bedrijfsprioriteit. Met ISO 42001 die praktische implementatie mogelijk maakt en wereldwijde regelgeving die wordt aangescherpt, zijn verantwoording en eerlijkheid in AI officieel niet-onderhandelbaar geworden.

Voorspelling #2: Toenemende complexiteit van ransomware

Wat we zeiden: Ransomware zou geavanceerder worden, cloudomgevingen treffen en 'dubbele afpersings'-tactieken populariseren, en Ransomware-as-a-Service (RaaS) zou mainstream worden.

Helaas bleek 2024 opnieuw een topjaar te zijn voor ransomware, naarmate aanvallen geavanceerder werden en hun impact verwoestender. Dubbele afpersingstactieken werden steeds populairder, waarbij hackers niet alleen systemen blokkeerden, maar ook gevoelige gegevens exfiltreerden om hun invloed te vergroten. De MOVEit-inbreuken waren een voorbeeld van deze strategie, aangezien de Clop-ransomwaregroep chaos veroorzaakte in hybride omgevingen door kwetsbaarheden in cloudsystemen te misbruiken om te extraheren en af ​​te persen.

En de ransomware-business evolueerde, met Ransomware-as-a-Service (RaaS) waardoor het voor minder technisch onderlegde criminelen verontrustend eenvoudig werd om de strijd aan te gaan. Groepen als LockBit maakten hier een kunstvorm van, boden affiliateprogramma's aan en deelden winsten met hun groeiende lijst van slechte acteurs. Rapporten van ENISA bevestigden deze trends, terwijl spraakmakende incidenten onderstreepten hoe diep ransomware zich heeft genesteld in het moderne dreigingslandschap.

Voorspelling #3: Uitbreiding van IoT en bijbehorende risico's

Wat we zeiden: IoT zal zich blijven uitbreiden en nieuwe kansen bieden, maar ook voor sectoren betekenen dat ze moeite zullen hebben met het aanpakken van de daaruit voortvloeiende beveiligingsproblemen.

Het internet der dingen (IoT) bleef in 2024 razendsnel groeien, maar met de groei kwam ook de kwetsbaarheid. Industrieën als gezondheidszorg en productie, die sterk afhankelijk zijn van verbonden apparaten, werden belangrijke doelwitten voor cybercriminelen. Vooral ziekenhuizen kregen het zwaar te verduren, met IoT-gestuurde aanvallen die kritieke patiëntgegevens en -systemen in gevaar brachten. De Cyber ​​Resilience Act van de EU en updates van de US Cybersecurity Maturity Model Certification (CMMC)-raamwerk probeerden deze risico's aan te pakken door nieuwe normen te stellen voor IoT-beveiliging in kritieke infrastructuur.

Toch was de vooruitgang ongelijk. Hoewel de regelgeving is verbeterd, worstelen veel industrieën nog steeds met het implementeren van uitgebreide beveiligingsmaatregelen voor IoT-systemen. Ongepatchte apparaten bleven een achilleshiel en spraakmakende incidenten benadrukten de dringende behoefte aan betere segmentatie en monitoring. Alleen al in de gezondheidszorg stelden inbreuken miljoenen mensen bloot aan risico's, wat een ontnuchterende herinnering was aan de uitdagingen die nog voor ons liggen.

Voorspelling #4: Het belang van Zero Trust-architecturen

Wat we zeiden: Zero Trust zou van een modewoord veranderen in een volwaardige nalevingseis, vooral in cruciale sectoren.

De opkomst van Zero-Trust-architectuur was een van de lichtpuntjes van 2024. Wat begon als een best practice voor een paar vooruitstrevende organisaties, werd een fundamentele nalevingsvereiste in cruciale sectoren zoals financiën en gezondheidszorg. Regelgevende kaders zoals NIS 2 en DORA hebben organisaties richting Zero-Trust-modellen geduwd, waarbij gebruikersidentiteiten continu worden geverifieerd en systeemtoegang strikt wordt gecontroleerd.

Grote spelers als Google en JPMorgan leidden de aanval en lieten zien hoe Zero-Trust kon worden geschaald om te voldoen aan de eisen van grootschalige, wereldwijde operaties. De verschuiving werd onmiskenbaar toen Gartner een scherpe stijging in Zero-Trust-uitgaven meldde. De combinatie van regelgevende druk en succesverhalen uit de echte wereld onderstreept dat deze aanpak niet langer optioneel is voor bedrijven die hun systemen willen beveiligen.

Voorspelling #5: Een meer globale benadering van regelgeving en nalevingsvereisten

Wat we zeiden: Naties zouden stoppen met het werken in silo's en zouden de regelgeving op elkaar afstemmen.

Onze voorspelling over wereldwijde regelgevende harmonie voelde op sommige gebieden bijna profetisch, maar laten we de champagne nog niet laten knallen. In 2024 kreeg de internationale samenwerking op het gebied van gegevensbescherming wel grip. Het EU-VS-kader voor gegevensbescherming en Gegevensbrug VK-VS waren opvallende hoogtepunten aan het einde van 2023, waarbij grensoverschrijdende gegevensstromen werden gestroomlijnd en een aantal redundanties werden verminderd die multinationale organisaties al lang teisteren. Deze overeenkomsten waren een stap in de goede richting en boden een glimp van wat een meer uniforme aanpak zou kunnen bereiken.

Ondanks deze kaders blijven er uitdagingen bestaan. De evaluatie door de Europese Raad voor Gegevensbescherming van het EU-VS-kader voor gegevensbescherming geeft aan dat er weliswaar vooruitgang is geboekt, maar dat er nog meer werk nodig is om een ​​alomvattende bescherming van persoonsgegevens te garanderen.

Bovendien voegt het veranderende landschap van regelgeving voor gegevensprivacy, inclusief staatsspecifieke wetten in de VS, complexiteit toe aan nalevingsinspanningen voor multinationale organisaties. Naast deze ontwikkelingen ligt een groeiend lappendeken van staatsspecifieke regelgevingen in de VS die het nalevingslandschap verder compliceren. Van de CPRA van Californië tot opkomende kaders in andere staten, bedrijven worden geconfronteerd met een regelgevend doolhof in plaats van een duidelijk pad.

Ondertussen worden de verschillen tussen Europa en het Verenigd Koninkrijk op het gebied van privacy- en gegevensbeschermingsnormen steeds groter, wat extra obstakels oplevert voor organisaties die in deze regio's actief zijn.

Deze gefragmenteerde aanpak onderstreept waarom mondiale raamwerken zoals ISO 27001 , ISO 27701, en de onlangs geïntroduceerde ISO 42001 zijn belangrijker dan ooit. ISO 27001 blijft de gouden standaard voor informatiebeveiliging en biedt een gemeenschappelijke taal die grenzen overstijgt. ISO 27701 breidt dit uit naar gegevensprivacy en biedt organisaties een gestructureerde manier om veranderende privacyverplichtingen aan te pakken. ISO 42001, dat zich richt op AI-beheersystemen, voegt een extra laag toe om bedrijven te helpen navigeren door opkomende AI-governancevereisten.

Dus hoewel er stappen zijn gezet richting meer afstemming, schiet het wereldwijde regelgevingslandschap nog steeds tekort. De voortdurende afhankelijkheid van deze internationale standaarden biedt een broodnodige reddingslijn, waardoor organisaties samenhangende, toekomstbestendige nalevingsstrategieën kunnen ontwikkelen. Maar laten we eerlijk zijn: er is nog veel ruimte voor verbetering en regelgevers wereldwijd moeten prioriteit geven aan het overbruggen van de kloof om de nalevingslasten echt te verlichten. Tot die tijd blijven ISO-standaarden essentieel voor het beheren van de complexiteit en divergentie in wereldwijde regelgeving.

Voorspelling #6: Betere regulering van de veiligheid van de toeleveringsketen

Wat we zeiden: De beveiliging van de toeleveringsketen zou bovenaan de agenda van de directiekamer staan, waarbij SBOM's (Software Bill of Materials) en risicomanagement door derden een centrale rol zouden spelen.

De beveiliging van de toeleveringsketen bleef een topprioriteit in 2024, aangezien softwarekwetsbaarheden organisaties wereldwijd bleven teisteren. De Amerikaanse overheid nam het voortouw met haar Cyber ​​Executive Order, waarin het gebruik van Software stuklijst (SBOM's) voor federale contractanten om het zicht op risico's van derden te verbeteren. Ondertussen hebben NIST en OWASP de lat hoger gelegd voor softwarebeveiligingspraktijken en financiële toezichthouders zoals de FCA richtlijnen uitgegeven om de controle op leveranciersrelaties te verscherpen.

Ondanks deze inspanningen bleven aanvallen op de toeleveringsketen aanhouden, wat de voortdurende uitdagingen van het beheren van risico's van derden in een complex, onderling verbonden ecosysteem benadrukte. Terwijl toezichthouders hun eisen verdubbelden, begonnen bedrijven zich aan te passen aan de nieuwe norm van streng toezicht.

Hadden we dus gelijk?

2024 was een jaar van vooruitgang, uitdagingen en meer dan een paar verrassingen. Onze voorspellingen bleven op veel gebieden overeind: AI-regelgeving schoot omhoog, Zero Trust won aan populariteit en ransomware werd sluipender. Het jaar onderstreepte echter ook hoe ver we nog moeten gaan om een ​​uniforme wereldwijde cybersecurity- en compliance-aanpak te bereiken.

Ja, er waren lichtpuntjes: de implementatie van het EU-VS Data Privacy Framework, de opkomst van ISO 42001 en de groeiende acceptatie van ISO 27001 en 27701 hielpen organisaties navigeren door het steeds complexere landschap. Toch benadrukt de hardnekkige versnippering van regelgeving, met name in de VS, waar een lappendeken van staat tot staat lagen van complexiteit toevoegt, de voortdurende strijd om harmonie. Verschillen tussen Europa en het VK illustreren hoe geopolitieke nuances de vooruitgang richting wereldwijde afstemming kunnen vertragen.

Het lichtpuntje? Internationale standaarden zoals ISO 27001, ISO 27701 en ISO 42001 blijken onmisbare hulpmiddelen te zijn en bieden bedrijven een routekaart om veerkracht op te bouwen en voorop te blijven lopen in het veranderende regelgevingslandschap waarin we ons bevinden. Deze kaders vormen een basis voor naleving en een pad naar toekomstbestendige bedrijfsvoering als er nieuwe uitdagingen ontstaan.

Vooruitkijkend naar 2025 is de oproep tot actie duidelijk: regelgevers moeten harder werken om hiaten te dichten, vereisten te harmoniseren en onnodige complexiteit te verminderen. Voor bedrijven blijft de taak om gevestigde kaders omarmen en blijven aanpassen aan een landschap dat geen tekenen van vertraging vertoont. Toch kunnen organisaties met de juiste strategieën, tools en een toewijding aan continue verbetering overleven en floreren in het licht van deze uitdagingen.