Nem félünk eléggé

A vállalkozások számára óriási kihívás a kiberfenyegetettség – mérettől és tevékenységtől függetlenül minden céget érint, és az előrejelzések alapján a következő időszakban sem lesz könnyebb, sőt… Ezt látszanak alátámasztani a kiberbűnözők által okozott károk alakulásáról szóló statisztikák és előrejelzések.

Míg 2015-ben globálisan 3 ezer milliárd dollár körüli veszteséget okoztak a támadások, tavaly a becsült kár 9,5 ezer milliárd dollár volt a Cybersecurity Ventures adatai szerint. A nagyságrendet jól érzékelteti, hogy abban az esetben, ha egy ország nemzeti összterméke elérné ezt az összeget, azzal a világ harmadik legnagyobb gazdasága lehetne az Egyesült Államok és Kína után. Az idén az adatok sérülésével, az ellopott pénzzel, szellemi tulajdonnal, személyes adatokkal, a normál üzletmenet megzavarásával, a rendszerek helyreállításával, a reputációs veszteségekkel, jogi költségekkel együtt a kár elérheti a 10,5 ezer milliárd dollárt az év elején kiadott prognózis szerint.

Elsődleges célpontok a kisvállalkozások

A zord tények ellenére sok kis- és középvállalat (kkv) vezetője gondolja még ma is azt, hogy cége a méretéből adódóan nem célpontja a támadásoknak. Tévednek!

A kkv-k fokozott fenyegetésekkel néznek szembe, mert a nagyvállalatokkal ellentétben gyakran nem rendelkeznek elegendő erőforrással és szakértelemmel a kiterjedt biztonsági intézkedések végrehajtásához vagy az összetett biztonsági megoldások kezeléséhez. Így a feltételezésnek épp az ellenkezője igaz: elsődleges célpontok – ahogy arra a Microsoft tavaly ősszel kiadott CMB Cybersecurity jelentése rámutat.

A felmérésben 25-299 alkalmazottal rendelkező brit és Egyesült Államok-beli vállalkozásokat vizsgáltak. A jelentésből csak néhány adatot emelünk ki. Az eredmények – amelyekhez a technológiai óriás az Egyesült Államok kiber- és infrastruktúrabiztonsági ügynökségével (Cybersecurity and Infrastructure Security Agency, CISA) és a nemzeti kibervédelmi szövetséggel (National Cybersecurity Alliance, NCA) közösen ajánlásokat is megfogalmazott a védelemhez – innen érhetők el.

Minden harmadik vállalkozást ért már támadás

A felmérésben megkérdezett vállalkozások 31 százaléka vált már áldozatává zsarolóprogramoknak, adathalászatnak, adatszivárgásnak vagy hasonló támadásnak. Az incidensek által okozott átlagos kár 250 ezer, a legmagasabb 7 millió dollár volt. A költségek magukban foglalták a támadásból eredő problémák megoldására és a helyreállításra vonatkozó kiadásokat, valamint a kapcsolódó bírságokat is. Ezeken túl a vállalkozásokat jelentős reputációs károk is érték, melyek hatásai hosszabb távon befolyásolták a működésüket.

Kockázati prioritások

A hazai cégekre vonatkozóan hasonló friss felmérés nem áll rendelkezésre. Figyelemfelkeltő viszont az a különbség, amely az Allianz évente publikált Kockázati Barométerében megmutatkozik a globális trendek és a hazai érzékelt fenyegetettségek között.

A felmérés 106 országra terjed ki. Globálisan az elsődleges üzleti kockázatok között a kiberbűnözés már negyedik éve az első helyen szerepel. A zsarolóvírus-támadások és adatlopások költséges és hosszútávú károkat okozhatnak, amelyek különösen az ipari szektorban lehetnek kritikusak, ahol a gyártás leállása óriási kiesésekkel járhat.

Az idén ez a (válaszadók 38 százaléka által említett) kockázat korábban sosem látott mértékkel (7 százalékponttal) előzte meg az aggodalmak között a második helyet elfoglaló üzletmenet-folytonosság megszakadását, például a beszállítói láncok zavarai miatt, amely az ipari termelés szinte minden szegmensére kihat. A lista harmadik helyén a természeti katasztrófák, a negyediken a jogszabályi és szabályozási változások, az ötödiken a klímaváltozás áll.

A magyar kockázati sorrend teljesen máshogy fest, mint a globális. A hazai szakemberek a jogszabályi változásokat említették elsődleges veszélyként (a válaszadók 31 százaléka jelölte meg ezt), majd a makrogazdasági környezet, illetve a piaci környezet változásai és a természeti katasztrófák következnek – a kiberbűncselekmények miatti aggodalom csak az ötödik leggyakrabban (a válaszadók 20 százaléka által) említett kockázat.

Tény ugyanakkor, hogy ez a faktor egy éve még kilencedikként szerepelt a listán, a válaszadók 12 százaléka tartotta említésre méltónak. Érdemben nőtt tehát a hazai üzleti döntéshozók megítélése körében is ez a kockázat, de így is messze elmarad a globális adattól.

Szigorú jogszabályi előírások

Nem csak az üzleti megfontolások (az esetleges anyagi veszteségek, reputációs károk) késztetik ugyanakkor a vállalkozásokat arra, hogy átértékeljék kiberbiztonsági felkészültségüket. Az Európai Unióban és Magyarországon is korábban soha nem látott mennyiségben jelentek meg a területet érintő jogszabályok és végrehajtási rendeletek, sőt március végén kihirdették a Magyar Közlönyben Magyarország kiberstratégiáját is, ami annyit biztosan jelent, hogy a téma kezelése erősen fókuszba került.

Az Európai Unió már 2016-ban bevezette azt az irányelvet (Network and Information Security Directive, NIS), amelynek célja a kiberbiztonsági szint egységes növelése volt a Közösségen belül. Ezeket a szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálta, amelynek előírásait minden tagállamnak be kellett építenie a saját jogrendjébe. Ez Magyarországon már 2023-ban megtörtént, majd tavaly év végén egységes keretbe foglalták a területet érintő jogszabályokat.

Az előírások közvetlenül a kiemelten kritikus és kritikus ágazatokban tevékenykedő közép- és nagyvállalatokra vonatkoznak, magyarán az 50 fő feletti számú alkalmazottal vagy legalább 10 millió euro éves árbevétellel rendelkező cégekre. A stratégiai szempontból kiemelten kritikus ágazatok az energia, a banki és pénzügyi szolgáltatások, a víz, az egészségügy, a szállítás, a gyógyszeripar, a digitális infrastruktúrák, a kihelyezett szolgáltatók, a közigazgatás és a világűrkutatás földi támogatói infrastruktúrái. Kritikus ágazatnak számít a hulladékgazdálkodás, a postai és futárszolgálatok, az elektronikai gyártás, a járműgyártás, az élelmiszer-előállítás és -forgalmazás, a digitális szolgáltatások, a vegyipari gyártás, forgalmazás és a kutatóhelyek.

Ezeknek a cégeknek egyebek mellett biztonsági osztályokba kell sorolniuk informatikai rendszereiket, illetve információbiztonsági felelőst kell kijelölniük. A besoroláshoz igazodva célzott intézkedési terveket is elvár a szabályozás: a vállalatoknak meg kell alkotniuk az érintett rendszerekkel kapcsolatos adminisztratív, logikai és fizikai védelmi intézkedési terveket, és meg kell határozniuk biztonsági vezetőik és a felhasználók felelősségi köreit. Intézkedési tervvel kell továbbá rendelkezniük arra az esetre, ha egy támadás bekövetkezne – ilyen esetekben jelentési kötelezettségük is van a hatóságok felé.

A már működő érintett szervezeteknek már tavaly regisztrálniuk kellett a Szabályozott Tevékenységek Felügyeleti Hatoságánál, az idén év végéig pedig felkészültségükről auditnak kell készülnie, amelyet kétévente meg kell majd ismételni. A szabályokat be nem tartók komoly büntetést kockáztatnak: a szankció az éves árbevétel két százalékát is elérheti, sőt el is lehet tiltani egy meghatározott tevékenység gyakorlásától a mulasztókat.

Nagyjából négyezer cég regisztrált tavaly, ám szakértők szerint az érintett vállalkozások száma ennél jóval több lehet. Fontos továbbá kiemelni azt is, hogy az előírások közvetve azokat a vállalkozásokat is érintik, amelyek üzleti kapcsolatban állnak a szabályozás által érintett cégekkel, hiszen azoknak a beszállítóikkal szemben is megfelelőségi kritériumokat kell alkalmazniuk. 

Üzleti érdek a megfelelő felkészültség

A szigorodó előírások önmagukban is lépéskényszerbe hozzák a cégeket, mindezzel együtt – bár kétségtelen tény, hogy jelentős költsége lehet a biztonság fokozásának – fontos hangsúlyozni, hogy a szabályozás kínálta kereteket inkább olyan segítségként érdemes kezelni, amelyek támogathatják a vállalkozás kibertámadásokkal szembeni ellenállóképességének javítását, megadva azokat a kulcselemeket, ahol célszerű lépni. Ma már ugyanis nem az a kérdés, hogy éri-e kibertámadás a céget, hanem az, hogy mikor, ha pedig megtörténik, akkor mennyire felkészült a vállalkozás arra, hogy minimalizálja az incidensből eredő károkat.

Hasznos volt a cikkünk? Iratkozzon fel az Útmutató cégvezetőknek hírösszefoglalóra, és rendszeresen küldünk hasonlóan értékes tartalmakat.