szerző:
hvg.hu

Tízből kilenc cég a kelleténél gyengébbnek ítéli érzékeny üzleti adatainak védelmét, leginkább a jelentős információbiztonsági beruházások elmaradása miatt. A munkatársak közösségimédia-használata egyelőre nem szerepel a legfontosabbnak ítélt biztonsági kockázatok között. Magyarországon, illetve a közép- és délkelet-európai régióban a cégek közel kétharmada az elmúlt egy évben sem emelt lényegesen IT-biztonsági büdzséjén, több mint 50 százalékuk pedig a következő 12 hónapban sem tervez ilyet.

A cégek közel 90 százaléka véli úgy, hogy információbiztonsági rendszerei nem felelnek meg teljes mértékben a szervezet üzleti igényeinek – derül ki az EY globális kutatásából. A megkérdezett vállalatok fele egymillió dollár alatti összeget fordít információbiztonságra, 40 százalékuknál pedig ez a büdzsé az elmúlt 12 hónapban gyakorlatilag stagnált. A cégek közel fele szerint legalább 25 százalékkal kellene növelni a forrásokat ezen a téren, ilyen mértékű bővítést azonban csak negyedük lát reálisnak, több mint harmaduk pedig a következő egy évben sem tervez emelést. Jelentős, a kiberbiztonságot érintő incidenst ugyanakkor a cégek 60 százaléka tapasztalt már.

A válaszadók szerint az IT-kockázati kitettséget a legnagyobb mértékben a saját munkatársak figyelmetlensége, illetve az elavult információbiztonsági rendszerek növelik: a megkérdezettek 18, illetve 15 százaléka jelölte meg ezeket a legmagasabb szintű kockázati tényezőként. A felmérésben résztvevők 44 százaléka érezte cégét sebezhetőnek alkalmazottai esetleges hanyagsága miatt, az elavult rendszerek miatt aggódók részaránya pedig 34 százalékot tett ki. Magyarországon és a régióban az átlagosnál még erősebb kockázati tényezőként tekintenek az alkalmazottakra. A cégek negyede ma még nem rendelkezik az informatikai rendszerek sebezhetőségét azonosító programmal, azonban ezen a téren már előrébb járók nagy része is csak informális és időszakos megoldásokkal él. A két legnagyobb fenyegetésként idén az adathalászatot, illetve a rosszindulatú szoftvereket jelölték meg a vállalatvezetők – tavaly ezek még csupán a lista negyedik, illetve az ötödik helyén álltak.

Sok jele van a támadásnak

A kiberbűnözők a legtöbb esetben már a konkrét támadás előtt hetekkel-hónapokkal feltérképezik és megtalálják azt a kiskaput, amelyen keresztül bejutnak a később megtámadott rendszerbe és elkezdik feltárni az értékes információkat. Számos jel utalhat arra, hogy a vállalat ellen kibertámadás van folyamatban: ezek közé tartozik többek közt a cég részvény-árfolyamainak hirtelen mozgása, a versenytársak kísértetiesen hasonló termékeinek megjelenése piacon, egy vállalati összeolvadás vagy felvásárlás hirtelen elakadása, vagy éppen az ügyfelek és munkatársak megszokottól eltérő magatartása is.

Az elkövetőket a megkérdezettek 59 százaléka professzionális bűnözői csoportokkal, 56 százalékuk saját munkatársakkal, 54 százalékuk online aktivistákkal, 43 százalékuk pedig „magányos farkas” hackerekkel azonosította, de számos megkérdezett tapasztalt egy-egy államhoz kötődő támadást is. A cégek ugyanakkor egyre magabiztosabbak, a tavalyi több mint 50 százalékkal szemben már csak alig több mint harmaduk gondolja úgy, hogy teljesen kiszolgáltatott lenne egy összehangolt támadás esetén. A megkérdezett vállalatok 56 százaléka a következő 12 hónapban kiemelt prioritásként tekint az adatszivárgásra, a belső kockázatokat a válaszadók 49 százaléka emelte ki, a közösségi médiát azonban a cégek közel fele alacsony szintű veszélyforrásként kezeli biztonsági szempontból.

„A hatékony védelem alapja, hogy a cégek ismerjék információs eszközeiket, azonosítsák a leginkább veszélyeztetett üzleti adataikat, illetve kiberbiztonsági rendszereiket hozzák összhangba más – például az ügyfél-, szabályozási, pénzügyi vagy reputációs – kockázatkezelési folyamataikkal” – mondta Ficsor Attila, az EY információbiztonsági szakértője.

Magyarországon és a régióban megfigyelhető, hogy a cégek döntő többsége 1 és 2 millió dollár közötti összeget fordít IT-biztonságra, jelentős változás pedig sem az elmúlt 12 hónapban nem volt, illetve a következő egy évben sem várható ezen a téren. Itthon az átlagosnál többen tartják magas szintű problémának a mobiltechnológiát az IT-biztonság szempontjából, a globálisan e körbe sorolt felhőalapú megoldásokkal kapcsolatban azonban alig gondolkodnak így a magyarországi szereplők.

„A vállalati információbiztonsági rendszerek érettségük szerint három kategóriába sorolhatóak. Az elsőbe azok a rendszerek tartoznak, amelyek már működnek ugyan, de csak a jelenleg ismert kihívásoknak megfelelő, alapszintű védettséget jelentenek, és emiatt viszonylag rugalmatlanok. Ennél eggyel fejlettebb szintet képviselnek azok a rendszerek, amelyek már a kiberkörnyezet gyors változásából eredő kihívásokra is képesek választ adni. A leginkább fejlett biztonsági rendszerek pedig már a jövőre koncentrálnak, azaz a ma még előre nem látható kockázatok és veszélyek kezelésére is alkalmasak lehetnek” – tette hozzá az EY szakértője.

A cégek közel fele ugyanakkor ma még nem rendelkezik információbiztonsági központtal (Security Operations Center, SOC). Ahol mégis felállítottak ilyen egységet, jellemzően ott sem alakítottak ki intenzív kapcsolatot az üzleti területtel, mindössze a válaszadók negyede nyilatkozott úgy, hogy erősen integrált, az üzleti kockázatokkal kapcsolatos információkat egymással aktívan megosztó kapcsolat áll fenn a vállalat üzleti és információbiztonsági funkcióinak vezetői között.