Siber güvenlik liderleri, saldırı yüzeyinin yıllardır büyüdüğünü biliyor, ancak en son Bilgi Güvenliği Raporu 2025 IO’dan yeni risklerin ne kadar hızlı bir şekilde birleştiğini gösterir. İngiltere ve ABD’de 3.000’den fazla güvenlik uzmanından gelen yanıtlardan yararlanan rapor, bu yıl yönetim kurulu düzeyinde konuşmaları şekillendiren üç alana işaret ediyor: AI, Uyum ve Tedarik Zinciri Güvenliği.
AI: Bir araç ve bir hedef
AI artık güvenlik operasyonlarına ve iş süreçlerine dokunuyor. Ankete katılan on kişiden neredeyse sekizi, kuruluşlarının geçtiğimiz yıl AI veya makine öğrenimi kabul ettiğini, ancak birçoğunun sorumlu bir şekilde yönetmek için mücadele ettiğini söyledi. Rapor, Shadow AI’sını önemli bir konu olarak tanımlamaktadır ve çalışanların% 37’si onaysız üretken araçlar kullanıyor. Bu, kazara veri sızıntılarından GDPR ihlallerine kadar değişen riskler yaratır.
Tehdit aktörleri de yapay zekayı kullanıyor. Veri zehirlenmesi, Deep Fages Takviyesi ve AI tarafından üretilen kimlik avı kampanyaları ana akım saldırı yöntemleri olarak ortaya çıkmaktadır. Katılımcılar, önümüzdeki 12 ay boyunca en büyük endişeleri olarak yapay zeka destekli yanlış bilgi ve dezenformasyonu işaretlediler. Aynı zamanda, çoğu kuruluş tespit, validasyon ve yönetişim araçları da dahil olmak üzere AI destekli savunmalara yatırım yapmayı planlamaktadır. AI, esneklik çabalarının merkezinde yer alırken saldırı yüzeyini genişletir.
“Yapay zeka her zaman iki ucu keskin bir kılıç olmuştur. Muazzam bir vaat sunsa da, riskler teknolojinin kendisi kadar hızlı gelişiyor. Çok fazla kuruluş acele etti ve şimdi fiyatı ödüyor. Gölge AI’yı karışıma ekleyin ve hem işletmeleri hem de halkı korumak için daha güçlü bir yönetime ihtiyacımız var,” dedi Chris Newton-Smith, CEO.
Uyum baskıları yoğunlaşır
Raporda, kuruluşların% 71’inin geçtiğimiz yıl veri ihlalleri veya uyum başarısızlıkları için para cezasına çarptırıldığı ve yaklaşık üçüncü bir ödeme cezası 250.000 £ ‘ın üzerinde. Yanıt olarak, birçok firma artık ISO 27001 ve SOC 2 gibi uyum çerçevelerini sadece cezalardan kaçınmanın bir yolu olarak değil, aynı zamanda güven oluşturmak, karar almayı iyileştirmek ve yeni pazarlar açmak için araçlar olarak görüyor.
Yine de, uyum kolay olmaktan uzaktır. Ankete katılanların üçte ikisi, kurum içi gereksinimleri yönetmek için mücadele ettiklerini itiraf ettiler ve daha küçük firmalar en akut olanı hissediyorlar. Düzenleyici değişimin hızı ve karmaşıklığı yinelenen bir şikayettir ve birçok katılımcı yargı alanlarında daha fazla uyum ister. Bu zorluklara rağmen, neredeyse tüm kuruluşlar sertifikalara ulaşmanın veya sürdürmenin birinci öncelik olduğunu söylüyor.
Tedarikçi güvenliği hala zayıf bir nokta
Tedarik zincirleri saldırganlar tarafından sömürülmeye devam ediyor ve katılımcıların% 61’i kuruluşlarının geçen yıl üçüncü taraf bir olaydan etkilendiğini söyledi. Bu olaylar genellikle müşteri veya çalışan veri ihlallerine, finansal kayıplara ve itibar zararına yol açtı.
Düzenleyici spot ışığı da bu alana geçiyor. NIS2, Dora ve İngiltere’nin siber güvenlik ve esneklik faturası kapsamındaki yeni gereksinimler, firmaları tedarikçilerinin gözetimine adım atmaya zorluyor. Rapora göre, kuruluşların% 64’ü bu yıl üçüncü taraf risk yönetiminde harcamaları artırmayı planlıyor ve% 80’i programlarını zaten güçlendirdi. Buna rağmen, daha küçük tedarikçiler, risk kontrollerine aynı yatırım seviyesinden yoksun oldukları için endişe kaynağı olmaya devam etmektedir.