Tavasszal az önálló cégbe szervezett Dell SecureWorks kiadott egy átfogó tanulmányt arról, hogy milyen kiterjedtté vált a különböző kibertámadásokat támogató feketegazdaság (a mintegy 25 oldalas elemzés legfontosabb megállapításairól a Bitport is készített összefoglalót). A SecureWorks tanulmánya megmutatta azt is, hogy melyek a feketepiacon a legértékesebb adatok, azaz milyen támadásokra kell felkészülniük a cégeknek. (Az árak persze értelmezhetők úgy is, hogy melyekhez a legegyszerűbb hozzáférni.)

Egy brit biztonsági cég, az IRM Security megnézte a másik oldalt: mit tudnak a vállalatok a saját adataikról, illetve azok értékéről? A tanulmány alapja egy tavaly novelberben rendezett nemzetközi konferenciájuk. A felmrését az azon részt vevő információbiztonsági vezetők körében készítették. Bár a felmérés nem reprezentatív, eredményei illeszkednek más kutatásokéhoz.
 

A CISO-k szerint egyébként a legnagyobb kockázatot a belső stáb jelenti (ezt helyezte első helyre a válaszadók közel harmada). Ez egyben jelzi is, hogy az információbiztonságért felelős vezetők egy ráésze már tisztában van azzal, hogy a biztonság nem egyszerűen technikai kérdés. Az ugyanis nem képes védelmet nyújtani például a kéernyő aljára ragasztott post-iten tárolt jelszó ellen.

Mi, hol, mennyire fontos?

Az adatvédelem egyik kulcsa, hogy a szervezet tudja: milyen adatokat tárol, azok hol vannak, valamint mennyire értékesek akár a vállalati működés, akár a törvényi előírások miatt. A Risk Business Report 2016 egyik kulcsmegállapítása, hogy a válaszadó CISO-k (Chief Information Security Officer) 38 százalékának nincs tiszta képe arról, hogy az általa irányított szervezeten belül hol és milyen jellegű adatok vannak.

Az ezzel kapcsolatos intézkedésekben egyelőre rosszul állnak a szervezetek. Mindössze 28 százalékuk állította, hogy rendszeresen kategorizálják és értékelik a vállalati adatvagyont, hogy a lehető legpontosabban meghatározhassák az adatvesztéssel járó kockázatokat.

Még ennél is aggasztóbb azonban, hogy még csak változás sem nagyon várható ezen a téren: 55 százalékuk ugyan részlegesen és időszakonként végez adatosztályozást, de a válaszadók 17 százaléka nem is tervez e téren semmit.

És hogy miért probléma ez? Az adatvagyon értékének, valamint az azzal kapcsolatok kockázatoknak a pontos ismerete nélkül lényegében nem lehet kiberbiztonsági beruházásokat tervezni, az ilyen költések ad hoc jellegűek lesznek, és semmi közük nem lesz az adott szervezeteben felmerülő valós kockázatokhoz.

A szemlélet azért javulgat

A vállalatvezetés hozzáállásában egyébként javuló tendenciát mutat az IRM kutatása: a válaszadó CISO-k elenéysző kisebbsége, mindössze 3 százaléka említette, hogy a felsővezetés nem áll be teljes mellszélességgel az információvédelmi projektek mögé. 66 százalékuk ellenben azt állította, hogy szinte soha nem ütköznek a board ellenállásába, ha ilyen projektet indítanak.
 

Persze ennek van egy nagyon egyszerű oka: a board tagjai nem szívesen magyarázkodnának a nyilvánosság előtt, hogy egy már rég befoltozott biztonsági rés miatt kerültek ki ügyfeleik érzékeny adatai a szervezetből.

Nagyjából ez mentén alakult az, hogy mit tekintenek a CISO-k első számú feladatuknak a következő egy évben. Itt messze a legtöbben (57 százalék) a fenyegetések és biztonsági rések kockázatainak azonosítását sorolták az első helyre. A feladat dominanciáját jó jelzi, hogy a második helyre befutó beszállítói kockázatok kezelése mindössze 10 százalékot kapott.
 

A szervezetek egyébként már komoly erőfeszítéseket tesznek például a hitelkártya-adatok védelméért (tavaly óta van érvényben a legújabb PCI DSS előírás), ugyanakkor, mint azt a Dell SecureWorks fentebb említett kutatása is kimutatta, manapság az útlevél-adatok a legértékesebbek a feketepiacon. Egy kártya adatainak akár húsz-harmincszorosát is érheti egy hamis személyazonosságot biztosító – gyakran digitális azonosítót is tartalmazó – okmány.

Az IRM Security teljes jelentése egy kattintásnyira tölthető le pdf-ben.