ISF(Information Security Forum、情報セキュリティフォーラム)によると、これから数年間、データ侵害の件数、規模、そしてコストは間違いなく上昇傾向にある。

この予想はISFの2018年度版「グローバル規模でのセキュリティ脅威の概観」で述べられているものであり、同時に、これまでにないレベルで危険な状況であることが警告されている。

ISFは世界中の業界リーダー組織で構成される独立系非営利団体であるが、ISFによると、データ侵害の件数および影響は増大していき、そのことが、あらゆる規模の組織にとって従来とは比べものにならないレベルのコスト負担を強いることになる。

ISFは、セキュリティ侵害により生じるコスト増が、ネットワークのクリーンアップや顧客への通知といった従来の分野だけでなく、訴訟などの新しい分野からも発生すると予想している。

あたかも連鎖反応のように、データ侵害の発生により「激怒している顧客」がデータ保護法を強化するよう政府に圧力を掛け、そのことが追加的かつ予測不可能なコストを引き起こす。「結果として生じる国際的な規制の混乱」は、新しいコンプライアンスの苦悩を引き起こすが、サイバー犯罪を抑止することはほとんどないだろう。

「2018年には、脅威の状況がより一層複雑化することが予想される。ターゲットの弱点に対してパーソナライズした脅威や、すでに設置されている防御機器を考慮して変化するようなものが登場するであろう。……最近、その危険度合いは過去にないほど高くなっている。重要な企業機密や重要インフラは定期的に攻撃されている。あらゆる規模の組織は、私たちが予想する2018年の重要なトレンドを認識しておく必要がある」とISFマネージングディレクターのスティーヴ・ダービン（Steve Durbin）氏は述べている。

ISFは次の５つの項目を来年度に幅広い企業に影響を与える脅威であると考えているが、これらのものが上述の傾向を下支えする要因となるだろう。

• サービスとしての犯罪(Crime-as-a-service、 CaaS)は拡大し、より多くのツールとサービスが世の中に提供され、犯罪組織はそのマルウェアをさらに悪用していくことであろう。犯罪グループは新しい市場に進出し、世界中でそれらの活動を商品化するだろう。それにより、サイバーインシデントはこれまで以上に永続的かつ致命的なものになっていくことであろう。
• モノのインターネット(IoT)は管理できないリスクが生じるであろう。これは各組織がIoT機器を保持しているのにもかかわらず、これらが完全に安全な設計になっていないことを認識しておらず、犯罪者に攻撃を許してしまう可能性が大きいためである。「最悪のシナリオでは、産業制御システムの中に組み込まれたIoT機器にセキュリティ欠陥が生じ、それが各個人に害を及ぼし、人命を危険にさらしかねない」とISFの予測には書かれている。
• ISFによると、サプライ・チェーンはリスク管理の中で引き続き最も弱い部分になる。ISFは、価値のあるセンシティブな情報をサプライヤーに提供することは危険であり、「機密性、完全性、もしくは可用性が崩されるリスクが増大する」と指摘している。
• 規制が複雑化しているため、EUの一般データ保護規制（GDPR）により科せられた義務に対処するのに追加リソースが必要になる。その結果、企業はコンプライアンスやデータ管理の面で追加コストを強いられることになり、さらには他の重要な取り組みへの投資余力を失っていくこととなる。
• 最後に、取締役会の期待と情報セキュリティ責任者の実際の能力との間のギャップもまた脅威となる。多くの取締役は情報セキュリティを大きく改善するには時間を要することを認識していないとISFは述べている。そのため、このミスマッチが主要なインシデントという形で露呈し、「その組織は甚大な被害を受けるだけでなく、それは個人にも大きく悪影響を与え、また取締役全体の評判を著しく下げることとなる」とISFは考えている。

また、ISFは、上記５つの脅威は「互いに独立しておらず、合併して発生し、甚大な脅威となることがある」と指摘している。