A Facebook a farkas a bárányok között

Tízből kilenc cég a kelleténél gyengébbnek ítéli érzékeny üzleti adatainak védelmét, leginkább a jelentős információbiztonsági beruházások elmaradása miatt. A cégek közel 90 százaléka véli úgy, hogy információbiztonsági rendszerei nem felelnek meg teljes mértékben a szervezet üzleti igényeinek – derül ki az EY kutatásából. Az idei globális információbiztonsági felmérés eredményei a világ legnagyobb vállalatainál dolgozó, több mint 1700 cégvezető és vezető IT-biztonsági szakértő több mint harmada arról sincs meggyőződve, hogy a rendelkezésre álló eszközökkel képes lehet azonosítani egy kifinomult támadást.

Tízből hat cég tudja, mi az a támadás

A megkérdezett vállalatok fele egymillió dollár alatti összeget fordít információbiztonságra, 40 százalékuknál pedig ez a büdzsé az elmúlt 12 hónapban gyakorlatilag stagnált. A cégek közel fele szerint legalább 25 százalékkal kellene növelni a forrásokat ezen a téren, ilyen mértékű bővítést azonban csak negyedük lát reálisnak, több mint harmaduk pedig a következő egy évben sem tervez emelést. Jelentős, a kiberbiztonságot érintő incidenst ugyanakkor a cégek 60 százaléka tapasztalt már.

Sok kárt okoz a hanyagság

A válaszadók szerint az IT-kockázati kitettséget a legnagyobb mértékben a saját munkatársak figyelmetlensége, illetve az elavult információbiztonsági rendszerek növelik: a megkérdezettek 18, illetve 15 százaléka jelölte meg ezeket a legmagasabb szintű kockázati tényezőként. A felmérésben résztvevők 44 százaléka érezte cégét sebezhetőnek alkalmazottai esetleges hanyagsága miatt, az elavult rendszerek miatt aggódók részaránya pedig 34 százalékot tett ki. Magyarországon és a régióban az átlagosnál még erősebb kockázati tényezőként tekintenek az alkalmazottakra. A cégek negyede ma még nem rendelkezik az informatikai rendszerek sebezhetőségét azonosító programmal, azonban ezen a téren már előrébb járók nagy része is csak informális és időszakos megoldásokkal él. A két legnagyobb fenyegetésként idén az adathalászatot (phishing), illetve a rosszindulatú szoftvereket (malware) jelölték meg a vállalatvezetők – tavaly ezek még csupán a lista negyedik, illetve az ötödik helyén álltak.

Magyarországon és a régióban megfigyelhető, hogy a cégek döntő többsége 1 és 2 millió dollár közötti összeget fordít IT-biztonságra, jelentős változás pedig sem az elmúlt 12 hónapban nem volt, illetve a következő egy évben sem várható ezen a téren. Itthon az átlagosnál többen tartják magas szintű problémának a mobiltechnológiát az IT-biztonság szempontjából, a globálisan e körbe sorolt felhőalapú megoldásokkal kapcsolatban azonban alig gondolkodnak így a magyarországi szereplők.

Vannak intő jelek

A kiberbűnözők a legtöbb esetben már a konkrét támadás előtt hetekkel-hónapokkal feltérképezik és megtalálják azt a kiskaput, amelyen keresztül bejutnak a később megtámadott rendszerbe és elkezdik feltárni az értékes információkat. Számos jel utalhat arra, hogy a vállalat ellen kibertámadás van folyamatban: ezek közé tartozik többek közt a cég részvény-árfolyamainak hirtelen mozgása, a versenytársak kísértetiesen hasonló termékeinek megjelenése piacon, egy vállalati összeolvadás vagy felvásárlás hirtelen elakadása, vagy éppen az ügyfelek és munkatársak megszokottól eltérő magatartása is.

Az elkövetőket a megkérdezettek 59 százaléka professzionális bűnözői csoportokkal, 56 százalékuk saját munkatársakkal, 54 százalékuk online aktivistákkal, 43 százalékuk pedig „magányos farkas” hackerekkel azonosította, de számos megkérdezett tapasztalt egy-egy államhoz kötődő támadást is. A cégek ugyanakkor egyre magabiztosabbak, a tavalyi több mint 50 százalékkal szemben már csak alig több mint harmaduk gondolja úgy, hogy teljesen kiszolgáltatott lenne egy összehangolt támadás esetén. A megkérdezett vállalatok 56 százaléka a következő 12 hónapban kiemelt prioritásként tekint az adatszivárgásra, a belső kockázatokat a válaszadók 49 százaléka emelte ki, a közösségi médiát azonban a cégek közel fele alacsony szintű veszélyforrásként kezeli biztonsági szempontból.

Rugalmatlan rendszerek

„A vállalati információbiztonsági rendszerek érettségük szerint három kategóriába sorolhatóak. Az elsőbe azok a rendszerek tartoznak, amelyek már működnek ugyan, de csak a jelenleg ismert kihívásoknak megfelelő, alapszintű védettséget jelentenek, és emiatt viszonylag rugalmatlanok. Ennél eggyel fejlettebb szintet képviselnek azok a rendszerek, amelyek már a kiberkörnyezet gyors változásából eredő kihívásokra is képesek választ adni. A leginkább fejlett biztonsági rendszerek pedig már a jövőre koncentrálnak, azaz a ma még előre nem látható kockázatok és veszélyek kezelésére is alkalmasak lehetnek” – tette hozzá Ficsor Attila, az EY információbiztonsági szakértője.

A cégek közel fele ugyanakkor ma még nem rendelkezik információbiztonsági központtal (Security Operations Center, SOC). Ahol mégis felállítottak ilyen egységet, jellemzően ott sem alakítottak ki intenzív kapcsolatot az üzleti területtel. Csak a válaszadók negyede nyilatkozott úgy, hogy erősen integrált munkakapcsolatban állnak az üzleti és az IT-s vezetők. Amelyben az üzleti kockázatokkal kapcsolatos információkat egymással aktívan megosztják egymással.