Nem félünk eléggé
Drámaian nő a kibertámadások gyakorisága és súlyossága. Lépni kell! Nem csak a józan üzleti megfontolás, hanem a jogszabályoknak való megfelelés érdekében is.
Magyarországon is rohamosan nő a digitális adatforgalom, amit éves szinten már csak petabyte-os tartományban lehet mérni. Ez olyan mennyiségű új adat, amit, ha A4-es lapokra nyomtatnánk, bőven kiadná a Hold-Föld távolságot. Ilyen mennyiségű információból már érdemes „halászni”, így a mi adataink is veszélybe kerülhetnek.
A digitalizáció ugrásszerű bővülésével egy időben így a kockázat is drámaian megugrott. A kiberbűnözők a felhasználók és a vállalatok figyelmetlenségét kihasználva a legkülönbözőbb módokon próbálják megszerezni az adatainkat. Tavaly a főbb adatvesztési trendek közül a betörési típusok rangsorának első helyén szerepeltek a hackertámadások. Ezt rohamos felzárkózással követnek azok az elkövetési módok, amelyek már nem a technológia biztonsági réseit használják ki, hanem az embert mint felhasználót. A legkönnyebb úgy kihasználni a gyanútlan felhasználót, ha zsarolják, mert a támadóknak pontosan megvan az adataink árfolyama. A családi fotók, szerződéseink, levelezésünk vajon mennyit ér meg nekünk? Ezt az árfolyamot pontosan mérik a kiberbűnözők.
A támadási módszerek spektruma és volumene napjainkban már olyan széles, hogy azokra felkészülni külön tudomány. Mit tehetünk tehát mi? Szerencsére erre viszonylag egyszerű a válasz: védjük az adatainkat. Mérlegeljük, hogy mi fontos és mi a feláldozható. Ami fontos, azt már az adatok létrehozásánál tudjuk, és bánjunk velük körültekintően. Arra is könnyű az adatvesztési trendekből rámutatni, hogy milyen típusú adatokat keresnek a kiberbűnözők.
A támadások 96 százaléka személyes információra vagy ügyféladatra mutat.
Ezeket az adatokat lehet ugyanis a legjobban értékesíteni, és ezek megszerzéséhez kell a legkisebb befektetés. Márpedig a támadások több mint háromnegyede éppen a haszonszerzésről szól.
Mire jó a GDPR?
Itt segíthet valamelyest a nemrég életbe lépett GDPR-szabályozás az európai polgároknak. Bevezetése után fél évvel legtöbbször azonban csak annyi marad meg az új rendeletről a felhasználókban, hogy rá kell nyomni a felugró ablakra. A szöveg értelmezésével sajnos kevesek foglalkoznak, és természetesnek vesszük, hogy az online szolgáltatásokért személyes információinkkal kell fizetni.
NetIQ
Az interneten vagy a felhőben járó felhasználók háromnegyede úgy véli, adatai előbb vagy utóbb illetéktelen kezekbe kerülnek, mégis megadja azokat. A helyzetet súlyosbítja, hogy minden információnkat mobileszközön tároljuk, így nem csoda, ha a legnagyobb adatvesztés éppen a telefon elvesztéséből fakad. A mobileszközök elvesztési statisztikái közt olyan egészen banális helyek találhatók a rangsor elején, mint a medencepart, a taxi, a reptéri biztonsági kapu vagy az autó teteje. Ha egy eszközt megtalálnak, biztosak lehetünk benne, hogy csak az nem éri el a rajta lévő adatainkat, aki nem akarja.
Telefonunk és mobileszközeink ráadásul sok esetben munkaeszköz is, amin cégünk bizalmas információit tároljuk. A Symantec kutatása szerint a vállalatok közel fele az elmúlt egy évben már megtapasztalta egy értékes adatokat tartalmazó mobil elvesztésének következményeit. A felmérésből kiderül, hogy egy teszt alkalmával ellopott eszközök mindegyikén megpróbáltak hozzáférni az adatokhoz, és több mint 80 százalék felett indítottak el üzleti, vagy személyes célra telepített alkalmazást.
A használt okoseszközök több mint fele jelszavas védelemmel sem rendelkezik.
Megdöbbentő, hogy ilyen eredmények mellett is csupán a társaságok negyede használ mobileszközöket kezelő védelmi megoldást.
Törlés teljes biztonsággal: ha bedaráljuk a tárolót
A digitalizáció előretörésével együtt jár, hogy a felhasználói szokásainkat a munkáltatók ismerik a legjobban, ugyanakkor a cég üzletileg érzékeny adataira leginkább az ott dolgozók látnak rá, és a kiszolgáltatottság egyre csak nő. Ahogy a határok egyre jobban oldódnak a magánszféra és a munka világa között, még fontosabb az adatok értékelése, osztályozása és megfelelő védelme.
A szervezeteknek három területen is érdemes előrelépést tenniük ahhoz, hogy csökkentsék az adatszivárgás okozta kockázatot és hatékonyan tudják megvédeni érzékeny információikat. Mindenekelőtt be kell azonosítaniuk az értékes adatokat és kiépíteniük a megfelelő védelmet és hozzáférést, de amire ritkán gondolnak, az adatok életciklusának a végén megfelelően meg kell azokat semmisíteni, ami egy rendkívül bonyolult folyamat.
Ha csak a logikai törlést tekintjük, már az is lehetetlen küldetés. Olyan technológiákat használunk, amelyek az adatot számtalan példányban tárolják akár földrajzilag is külön helyen, mert ezt követeli meg az üzembiztonság. A számtalan másolatot követni és letörölni egy dolog, de a tárolókról fizikailag eltávolítani az adatot csak egy módszerrel lehet teljes biztonsággal: ha magát a tárolót bedarálják. De ezt hagyjuk a katonai felhasználóknak, nekünk éppen elég, ha a GDPR előírásait követjük.
A szerző az EY kockázatkezelési üzletágának vezetője
