A tavalyi év sem volt mentes az adatszivárgási incidensektől, olyan nagy nevek is megjelentek az áldozatok között, mint például a Facebook, a Google, a Marriott, a British Airways vagy éppen a Quora. A Micro Focus szerint ennek ellenére nem érzékelhető az informatikai iparágban, hogy a szervezetek tömegesen keresnének azonnali, hatékony megoldást az érzékeny információk betonbiztos védelmére. (És ha őszinték akarunk lenni, a felhasználók némi bosszankodás után mindig napirendre térnek adataik hanyag kezelése fölött.) A kibervédelmi cég szakértői ezért úgy látják, hogy amikor az IT-biztonsági szakemberek az adatbiztonság fontosságáról beszélnek, az arra hasonlít, mint amikor a tudósok megpróbálják felhívni a figyelmet a globális felmelegedés okozta problémákra, illetve arra ösztönzik az érintetteket, hogy megtegyék a megfelelő lépéseket a klímaváltozás megfékezésére, még mielőtt késő lenne.

Egyre több szervezetnél belátják, hogy nem az a kérdés, hogy feltörhetik-e a rendszereiket, hanem az, hogy mindez mikor fog megtörténni. Egyes kiberbiztonsági szakértők szerint azonban már ennél is rosszabb a helyzet, és nagy valószínűséggel minden vállalatot érint valamilyen adatszivárgási probléma, csak akadnak, akik még házon belül sem tudnak róla – emlékeztet a Micro Focus.

Kiszivárgott adathalom

Troy Hunt / troyhunt.com

Az adatszivárgásoknak számos különféle oka lehet, ahogyan az extrém éghajlati körülményeknek is. Lehetséges, hogy sokan már kicsit közönyössé is váltak ezekkel a jelenségekkel kapcsolatban, hiszen mindkét területen hétről hétre érkeznek a hírek a legújabb esetekről. A brit kibervédelmi vállalat szerint azonban a fenyegetések valósak, és komoly következményekkel járhatnak a bolygóra, a kormányzatokra vagy éppen a szervezetekre nézve.

A legtöbb nagy szervezetre érvényes valamilyen szabályozás, amely előírja, hogy óvniuk kell az általuk kezelt személyes adatokat. Ezek a szabályozások azonban sok esetben nem tartalmaznak konkrét specifikációkat és technológiákat, amelyeket kötelező érvénnyel használni kell az információk védelmére. A GDPR szerint például az adatokat kezelő és feldolgozó szervezetek a kockázat mértékének megfelelő szintű adatbiztonságot kötelesek garantálni, és ennek során figyelembe kell venni több különféle tényezőt, a tudomány és a technológia aktuális állásától és a megvalósítás költségeitől kezdve a különböző kockázatokon át egészen az adatkezelés jellegéig, hatóköréig, körülményeiig és céljaiig.

Előfordul, hogy a szervezetek az ilyen megfogalmazásokat szabadabban értelmezik, és nem tesznek kellően szigorú lépéseket az adatszivárgások megelőzésére. Sok esetben ugyanis attól tartanak, hogy egy új és bonyolultabb megoldás túlságosan sokba kerülne, és megzavarná az üzletmenetet. A Micro Focus szakértői szerint azonban érdemes figyelembe venni, hogy a preventív lépések rövid távon ugyan nagyobb befektetést igényelnek, hosszabb távon viszont még súlyosabb költségekkel és negatív következménnyel járhat, ha nem tesznek semmit, vagy nem használnak elég hatékony adatvédelmi rendszereket.

Pixabay / CeruleanSon

A brit szakemberek azt javasolják, hogy érdemes egy-egy védelmi szoftver helyett mielőbb átfogó biztonsági megoldásokat bevezetni, melyek a felhőben és a helyszínen tárolt levelek, fájlok és egyéb érzékeny adatok védelméről is egyaránt gondoskodnak.

A legnagyobb veszély: a figyelmetlen munkatárs

Különösen annak fényében érdekes mindet, hogy az Ernst & Young (EY) tanácsadó cég szerint a magyarországi vállalatok 78 százalékát érte valamilyen IT-biztonsági incidens az elmúlt egy évben. A kibertámadások leggyakrabban az ügyfelek vagy felhasználók adataira irányulnak (75%), ezt követik a pénzügyi információk és a stratégiai tervek – az EY szakmai konferenciáján megkérdezett vezetők szerint.

A válaszadók 28 százaléka maga is úgy látja, hogy cége elavult biztonsági protokollokkal rendelkezik. Harmincnyolc százalékuk szerint munkavállalóik nincsenek tudatában annak, hogyan kerülhetik el a kényes információk kiszivárogtatását. A legtöbb szervezetnek nagy mértékben fejlesztenie kell biztonsági felkészültéségét, de a vezetői elkötelezettség (40%), a szükséges technológiai ismeretek (25%) és a szakemberek (22%) hiánya gátolja ebben őket.

Reviczky Zsolt

Egy szervezet biztonsága alapvetően három tényezőn múlik: a munkavállalókon, a folyamatokon és a technológiai háttéren. A legkritikusabb láncszem maga az ember. Legkönnyebben az alkalmazottakon keresztül lehet hozzáférni egy szervezet érzékeny információihoz. Amint valaki rákattint egy adathalász e-mailre vagy gyanútlanul beenged egy idegent a vállalat épületébe, máris komoly károkat okoz.

„A legfontosabb lépés ezért a dolgozók megfelelő és folyamatos edukációja, ami tapasztalatink szerint akár 80 százalékkal is emelheti egy vállalat biztonsági szintjét” – emelte ki Zala Mihály, az EY Kibervédelmi üzletágának vezetője.

Nem elég azonban a cég minden dolgozójára kiterjedő IT-biztonsági stratégia kialakítása. Sok esetben ugyanis a gyengébb védelmi rendszerrel bíró alvállalkozókon keresztül jutnak be a kiberbűnözők a nagyvállalatokhoz. Érdemes ezért külső szakértő bevonásával rendszeresen felülvizsgálni, hogy a beszállítók betartják-e a biztonsági követelményeket – emlékeztet az EY.

A külső, etikus szakértőkkel történő tesztek szintén kulcsfontosságúak lehetnek az esetleges biztonsági rések feltárásában. Az ilyen vizsgálatok során ugyanis a legfrissebb módszerek elleni felkészültség kerül górcső alá. Az EY szakemberei szerint mivel a támadási módszerek akár naponta változhatnak, fontos annak tudatosítása, hogy a kibervédelemmel kapcsolatos munkavállalói és IT-oldali tudást folyamatosan karbantartani csak nagy erőfeszítések árán lehet egy nem erre a területre specializált cégnél.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.