De afgelopen 12 maanden hebben ons opnieuw geleerd dat hoewel technologie zich soms razendsnel blijft ontwikkelen, veel van de macrotrends op het gebied van beveiliging en naleving onveranderd blijven. Dat zal waarschijnlijk ook het komende jaar zo blijven. Hoewel AI- en deepfake-innovaties de vaardigheden van dreigingsactoren zullen blijven verbeteren en nieuwe kansen zullen bieden, zullen de democratisering van cybercriminaliteit, de groeiende dreiging van overheidsactoren en de toegenomen druk op aanbieders van kritieke infrastructuur (CNI) onverminderd blijven.

We zullen zien dat nieuwe wetten voor besturen ingang vinden en dat andere wetten vorm beginnen te krijgen, vooral in het Verenigd Koninkrijk. En we zullen zien dat netwerkverdedigers in grotere aantallen overstappen op zero trust naarmate de risico's in de toeleveringsketen toenemen. Hier zijn onze vijf belangrijkste trends om in 2025 op te letten.

1. AI- en deepfake-bedreigingen zijn groot

Het Nationaal Cyber ​​Security Centrum (NCSC) eerder dit jaar gewaarschuwd dat AI "vrijwel zeker het volume en de impact van cyberaanvallen in de komende twee jaar zou vergroten". En er is weinig reden om aan die beoordeling te twijfelen. Generatieve AI (GenAI) in het bijzonder zal de drempel voor beginnende phishing-actoren verlagen en aanvallen versnellen door het sneller en gemakkelijker te maken om waardevolle activa en kwetsbare apparaten voor exploitatie te identificeren.

GenAI zal ook de deepfake-bedreiging een boost geven, wat in een zakelijke context problemen kan opleveren voor Know Your Customer-controles die vertrouwen op biometrie (gezicht, stem), die nu met een hoge mate van nauwkeurigheid kunnen worden nagebootst. We kunnen ook meer BEC-achtige pogingen zien om personeel te misleiden tot het doen van grote zakelijke overschrijvingen, met behulp van spraak of video die zich voordoen als de CEO of iets dergelijks.

Dreigingsactoren zullen proberen legitieme services zoals ChatGPT te misbruiken om ingebouwde beveiligingsmaatregelen te omzeilen en dergelijke toegang mogelijk als een service te verkopen. Het relatief kleine aantal LLM-ontwikkelaars zou meer cybercriminelen kunnen aanmoedigen om te zoeken naar kwetsbaarheden zoals deze en andere.

AI zal echter ook de cybersecuritygemeenschap helpen, met security operations (SecOps)-analisten die sneller en productiever kunnen werken dankzij GenAI-assistenten. GenAI's vermogen om synthetische content te creëren zal teams helpen hun beveiligingstools en gebruikers effectiever te trainen, terwijl het talent om grote datasets te doorzoeken op ongebruikelijke patronen zal blijven helpen bij het detecteren en reageren op bedreigingen. In feite heeft 61% van de wereldwijde organisaties geloven nu AI is essentieel voor een effectieve, proactieve reactie op bedreigingen.

2. CNI onder toenemende druk

CNI-aanbieders zijn altijd populaire doelwitten voor aanvallen geweest. Maar gedurfde staatsactoren, cybercriminelen met veel middelen en een steeds verdeelder wordende geopolitieke omgeving zijn specifieke redenen tot zorg nu we richting 2025 gaan. Organisaties die er niet in zijn geslaagd de best practices te implementeren die door NIS 2 en het Britse equivalent worden voorgeschreven, lopen mogelijk een groot risico.

Verwacht dat we meer meerjarige, zeer geavanceerde campagnes zullen zien, zoals Volt tyfoon en opportunistische aanvallen door ransomware- en hacktivistische groepen die geld en/of een naam voor zichzelf willen verdienen. Historische onderinvestering in het VK heeft geleid tot enkele schokkende onthullingen over slechte beveiligingshouding bij de houdt van Sellafield en Thames Water. Dit zullen zeker niet de laatste zijn.

3. Het Verenigd Koninkrijk loopt achter met cybersecuritywetten

Er staat in het Verenigd Koninkrijk veel te gebeuren op het gebied van naleving van regelgeving in 2025, aangezien twee belangrijke wetgevingsstukken bij de wetboeken. De Cyber ​​Security and Resilience Bill zal de Network and Information Systems Regulations 2018 (NIS Regulations) updaten. Hoewel het minder ambitieus is dan de inspanningen van de EU om dit te doen, zou NIS 2 broodnodige bepalingen moeten introduceren. Deze omvatten het uitbreiden van de reikwijdte van de wet naar meer sectoren, het verbeteren van de beveiliging van de toeleveringsketen en het verplicht stellen van incidentrapportage, met name voor ransomware. De overheid wil ook de regelgevende bevoegdheden versterken, waaronder de mogelijkheid om proactief kwetsbaarheden te onderzoeken en vergoedingen te innen bij gereguleerde organisaties.

Ondertussen is de wet op digitale informatie en slimme data in feite een update van de vorige regering. Wetsvoorstel gegevensbescherming en digitale informatie (DPDI). en belooft een vernieuwing van de AVG. Het hoopt de nalevingskosten voor bedrijven te verlagen, het delen van gegevens te stroomlijnen en innovatie in digitale identiteit te versnellen. Volgens de andere voorgestelde wet zal het de bevoegdheden van het Information Commissioner's Office (ICO) versterken, wat op zijn beurt meer druk op het nalevingspersoneel zou kunnen leggen.

4. De C-suite neemt de controle over cyber

Dit heeft lang op zich laten wachten. De nieuwe vereisten in de SEC-regels voor openbaarmaking van cyberbeveiliging en in NIS2 zal meer verantwoordelijkheid bij raden van bestuur leggen om cyberrisico's te begrijpen. In het geval van de EU-richtlijn moet het senior management maatregelen voor cyberrisicobeheer goedkeuren, toezicht houden op de implementatie ervan en deelnemen aan gespecialiseerde beveiligingstrainingen. Ze zullen ook persoonlijk aansprakelijk worden gesteld door toezichthouders in gevallen van grove nalatigheid en opzettelijke verwaarlozing. De SEC eist nu dat beursgenoteerde bedrijven jaarlijks bekendmakingen doen over hun strategie en governance voor cyberrisicobeheer, en ook het toezicht van de raad van bestuur op cyberrisico's die voortvloeien uit bedreigingen beschrijven.

Soortgelijke maatregelen om de verantwoordingsplicht en transparantie op het hoogste managementniveau te verbeteren, zullen in 2025 hun weg vinden in een toenemend aantal nieuwe wetten, waaronder de EU-wetgeving. Wet Digitale Operationele Weerbaarheid (DORA). Het verplicht besturen om “alle regelingen met betrekking tot het ICT-risicomanagementkader te definiëren, goed te keuren, te controleren en verantwoordelijk te zijn voor de implementatie ervan.” Deze stappen kunnen de rol van de CISO onder een vergrootglas leggen, maar zouden het in ieder geval makkelijker moeten maken om het oor van het bestuur te krijgen bij het bespreken van cyberrisico's.

5. De grenzen tussen natiestaten en cybercriminaliteit vervagen steeds meer

Tegen de achtergrond van toenemende geopolitieke risico's is een langlopende trend die we in 2025 duidelijker zullen zien worden de kruising tussen natiestaat- en cybercriminaliteitsactiviteiten. Microsoft noemde dit in zijn jaarlijkse Digitaal Defensierapport onlangs, waarschuwend dat niet alleen statelijke actoren (d.w.z. Iran en Noord-Korea) steeds meer financieel gemotiveerd zijn, maar dat sommigen (bijv. Rusland) cybercrime-TTP's gebruiken en zelfs sommige operaties uitbesteden aan criminele bendes. We kunnen ook zien dat hacktivistische groepen verder gaan dan DDoS-aanvallen om met ransomware, data-afpersing en destructieve aanvallen op vermeende vijandige 'doelen' in het Westen te schieten, aangezien de NCSC heeft al gewaarschuwd.

CNI-bedrijven zouden als eerste in de vuurlinie kunnen staan, aangezien een verstorende aanval een buitensporige impact op de bevolking zou hebben. Zoals gezegd zijn ze vaak ook een van de minst goed beschermde doelen, met een lage tolerantie voor storingen, waardoor ze een ideale kandidaat zijn voor ransomware.

Dit alles betekent dat cybersecurity- en complianceprofessionals het in 2025 drukker zullen hebben dan ooit. Gelukkig blijven best practice-normen zoals ISO 27001 een solide basis bieden om deze en vele andere uitdagingen die zich in 2025 zullen voordoen, het hoofd te bieden. Maar het kan een hobbelige rit worden.