Σε έναν κόσμο όπου η πληροφορία διακινείται πλέον σε πολλαπλά οικοσυστήματα και τα σημεία πρόσβασης πολλαπλασιάζονται, η προστασία της γίνεται πιο δύσκολη από ποτέ. Μέσα σε αυτή την πραγματικότητα, το Proofpoint Voice of the CISO 2025 καταγράφει με στοιχεία τις αλλαγές που διαμορφώνουν το σημερινό τοπίο της κυβερνοασφάλειας. Η φετινή έρευνα, βασισμένη σε 1.600 CISOs από 16 χώρες, αναδεικνύει αυξημένα περιστατικά διαρροής δεδομένων, κλιμάκωση επιθέσεων και έντονη πίεση προς τους υπεύθυνους ασφάλειας, ενώ η τεχνητή νοημοσύνη εισάγει νέες μορφές κινδύνου και ο ανθρώπινος παράγοντας παραμένει ο πιο συχνός μοχλός παραβίασης.
Αυξανόμενη πιθανότητα σοβαρών επιθέσεων
Ένα από τα πιο χαρακτηριστικά ευρήματα της φετινής έκθεσης είναι η αύξηση στη βεβαιότητα των CISOs ότι ο οργανισμός τους θα δεχθεί σοβαρή επίθεση. Το 76% θεωρεί πιθανό ένα material cyberattack στους επόμενους δώδεκα μήνες, από 70% το 2024, ενώ 36% χαρακτηρίζει την πιθανότητα «πολύ υψηλή». Ταυτόχρονα, 58% δηλώνουν ότι η επιχείρησή τους δεν είναι επαρκώς προετοιμασμένη για μια στοχευμένη επίθεση, ποσοστό αυξημένο κατά 15 μονάδες σε σχέση με πέρυσι.
Η εικόνα αυτή επιβεβαιώνεται από πραγματικά περιστατικά. Το 66% των οργανισμών υπέστη υλική απώλεια ευαίσθητων δεδομένων τους τελευταίους 12 μήνες, από 46% το 2024. Σε ορισμένες αγορές, όπως η Ινδία, το ποσοστό αυτό εκτοξεύεται στο 99%, υποδηλώνοντας έντονη στόχευση ή ανεπαρκή εσωτερικά μέτρα. Οι επιπτώσεις των περιστατικών παραμένουν πολυεπίπεδες: 34% αντιμετώπισαν ρυθμιστικές κυρώσεις, 32% σημαντικό downtime και κόστος αποκατάστασης, ενώ 31% υπέστησαν credential theft ή ζημιά στη φήμη.
Ενδεικτικό της πίεσης που βιώνουν οι οργανισμοί είναι ότι 66% δηλώνουν πως θα πλήρωναν για ανάκτηση συστημάτων ή αποτροπή διαρροής, ένα ποσοστό που σε ορισμένες γεωγραφικές περιοχές αγγίζει το 84%.
Ένα τοπίο απειλών χωρίς κυρίαρχο ρίσκο
Η διαφοροποίηση των επιθέσεων είναι εμφανής. Δεν υπάρχει ένας «μεγάλος αντίπαλος». Το email fraud και τα insider threats συγκεντρώνουν από 37% της ανησυχίας των CISOs, ενώ το ransomware ακολουθεί πολύ κοντά με 36%. Τα cloud account takeovers βρίσκονται στο 34%, ενώ οι supply chain επιθέσεις στο 33%. Αυτά τα νούμερα δείχνουν ότι οι οργανισμοί πρέπει να διαχειριστούν πολλαπλές κατηγορίες κινδύνου ταυτόχρονα, χωρίς δυνατότητα ιεράρχησης.
Η πολυπλοκότητα αυτή καθιστά δύσκολη τη διαχείριση πόρων και προτεραιοτήτων. Για τους CISOs, το ζήτημα δεν είναι ποια απειλή προηγείται, αλλά πώς καλύπτεται ένα εύρος κινδύνων που εξελίσσονται ταυτόχρονα, συχνά με διαφορετική τακτική και διαφορετικούς τελικούς στόχους.
Το data sprawl και ο ρόλος του ανθρώπου
Η διαχείριση των δεδομένων αναδεικνύεται ως κεντρικός άξονας της έκθεσης. Το 67% των CISOs κατατάσσει την προστασία και τη διακυβέρνηση δεδομένων στις κορυφαίες προτεραιότητες. Η γενική υιοθέτηση εργαλείων DLP (που αγγίζει το 98%) δεν μεταφράζεται σε αποτελεσματικότητα, καθώς μόλις 6% των οργανισμών διαθέτει αποκλειστικούς πόρους για τη λειτουργία τους.
Η πραγματική αιτία πίσω από τα περισσότερα περιστατικά διαρροής είναι ανθρωποκεντρική. 34% αποδίδονται σε κακόβουλους insiders, 33% σε απρόσεκτους χρήστες και 32% σε παραβιασμένους λογαριασμούς. Το γεγονός ότι 92% των περιστατικών data loss σχετίζονται με εργαζόμενους που αποχώρησαν πρόσφατα, από 73% το 2024, δείχνει πόσο ευάλωτη είναι η διαδικασία offboarding. Παρ’ όλα αυτά, μόνο 70% των οργανισμών διαθέτουν ολοκληρωμένο Insider Risk Management πρόγραμμα.
Το data sprawl, σε συνδυασμό με ανθρώπινα λάθη και απουσία συνεκτικών ελέγχων, αποτελεί σήμερα έναν από τους σημαντικότερους πολλαπλασιαστές κινδύνου.
Η τεχνητή νοημοσύνη ως διττός παράγοντας
Η τεχνητή νοημοσύνη έχει εισέλθει δυναμικά στις ατζέντες των CISOs. Το 60% τη θεωρεί σημαντικό κίνδυνο, κυρίως λόγω της ανεξέλεγκτης διαρροής πληροφοριών που μπορεί να προκύψει μέσα από τη χρήση δημόσιων LLMs.
Η αντίδραση των οργανισμών είναι διττή. Από τη μία πλευρά, 59% έχουν περιορίσει ή μπλοκάρει τη χρήση GenAI εργαλείων. Από την άλλη, η πλειονότητα αναζητά τρόπους ασφαλούς αξιοποίησης: 67% διαθέτουν ήδη πολιτικές χρήσης AI, ενώ 68% εξετάζουν AI-powered μηχανισμούς πρόληψης ανθρώπινων λαθών ή εντοπισμού advanced επιθέσεων. Σε σύγκριση με το 87% της περυσινής χρονιάς φαίνεται ότι οι οργανισμοί προχωρούν πλέον πιο προσεκτικά και με περισσότερη έμφαση στη διακυβέρνηση παρά στην άκριτη υιοθέτηση.
Η πίεση των CISOs και η σχέση με το διοικητικό συμβούλιο
Ο ρόλος του CISO βρίσκεται σε φάση ιδιαίτερης επιβάρυνσης καθώς το 66% θεωρεί ότι υπάρχουν υπερβολικές προσδοκίες, ενώ 67% αισθάνονται προσωπικά υπεύθυνοι σε περίπτωση κυβερνοεπίθεσης. Παράλληλα, η συμφωνία και η σύγκλιση απόψεων μεταξύ CISO και διοικητικού συμβουλίου μειώθηκε στο 64%, από 84% το 2024, δείχνοντας ότι πλέον υπάρχει σημαντικότερο χάσμα στην κατανόηση και αξιολόγηση των κιβερνοαπειλών.
Υπάρχει όμως ένα σημαντικό σημείο προόδου. Το 65% των οργανισμών έχει λάβει μέτρα για την προστασία των CISOs από προσωπική ευθύνη, ενώ τα διοικητικά συμβούλια δίνουν πλέον μεγαλύτερη έμφαση στο πώς μια επίθεση επηρεάζει την αποτίμηση της εταιρείας, κάτι που αναδεικνύεται ως κορυφαία ανησυχία μετά από material incident.
Τα δεδομένα του Voice of the CISO 2025 δείχνουν ότι οι οργανισμοί βρίσκονται σε μια περίοδο αυξημένης πολυπλοκότητας, όπου ο κίνδυνος είναι πλέον προβλέψιμος και ο ανθρώπινος παράγοντας καθοριστικός. Η ασφάλεια δεν μπορεί να βασίζεται μόνο στην τεχνολογία, αλλά απαιτεί συνδυασμό αποτελεσματικής διακυβέρνησης δεδομένων, προληπτικής διαχείρισης insider risk και ώριμης αξιοποίησης της AI. Σε αυτό το περιβάλλον, η πραγματική κυβερνοανθεκτικότητα χτίζεται μέσα από συνεκτικές διαδικασίες, συνεχή εκπαίδευση και σταθερή στήριξη του CISO, τόσο επιχειρησιακά όσο και διοικητικά. Με τη συνεργασία της PeS και τις λύσεις της Proofpoint, οι οργανισμοί μπορούν να υλοποιήσουν αυτή την προσέγγιση στην πράξη, ενισχύοντας ουσιαστικά την προστασία των δεδομένων και των ανθρώπων τους.
Δείτε τα αναλυτικά αποτελέσματα της έρευνας εδώ: Voice of the CISO Report: Insights & Trends | Proofpoint UK
