Nem történt nagy előrelépés az adatvédelem terén 2012-höz képest. Így összegezhető a CDSYS idei DLP-felmérése. A kutatás ugyan nem volt reprezentatív, ennek ellenére érdemes odafigyelni a megállapításaira. Az új trendek – például a felhő vagy a BYOD (Bring Your Own Sevice) – egy sor új kockázati tényezőt is magukkal hoztak. Íg aztán nem is meglepő, hogy a felmérés szerint az adatszivárgások anyagi veszteségei is nőttek idén. Az azonban érdekes, hogy ennek ellenére a vállalatok egy jelentős része nem lépett az IT biztonság területén.

Egyre értékesebb az adat, mégsem védjük

Pedig egyre fontosabb lenne, hogy a cégek lépjenek, például a megfelelő vállalati szabályozás kialakításával és a potenciális veszélyek preventív megközelítésével. A mobileszközök terjedése, a szabályozás hiánya, a hanyag munkatársak és az egyre veszélyesebb rosszindulatú programok együttesen már hatványozottan hatnak. Egy incidens anyagi és presztízsvesztesége ugyanis egyre nagyobb lesz, hiszen a big data miatt a vállalati adatok felértékelődtek.

A kutatás szerint az adatszivárgási megoldásokat viszonylag sokan ismerik, ám a válaszadók ötöde nem használ semmiféle adatszivárgás elleni technológiát. Azoknál a szervezeteknél, melyeknél alkalmaznak ilyent, a portvédelem a legelterjedtebb eszköz (55,6 százalék). Viszonylag sok helyen használnak merevlemez-titkosítást (48,4 százalék) és az e-mail titkosítást is.

Az adatok osztályozásának terén nincs komolyabb elmozdulás tavalyhoz képest. A válaszadók 60 százalékánál osztályozzák az adatokat, de az esetek közel harminc százalékában ezt maguk a dolgozók végzik. Ez viszont már aggályos adatbiztonsági szempontból. De még ebben a körben is csak a cégek fele szabályozza és oktatja dolgozóinak az adatok használatát. 34 százalékuknál pedig nincs a szabályozáshoz oktatás.

Időtített bombák az IT-infrastruktúrában

Sok cégnél – a megkérdezettek 45 százalékánál – használják a dolgozók saját eszközeiket, hordozható vagy asztali számítógépüket a munkájukhoz. Ugyanakkor ezeknek az eszközöknek csupán a 30 százalékán van ugyanolyan szintű védelem, mint a vállalati eszközökön. A gépek 15 százalékán pedig semmiféle biztonsági megoldás nincs.

A vállalatok felénél használnak okostelefont és/vagy táblagépet a dolgozók a munkájukhoz. Ezeknek a készülékeknek negyede a munkavállalók tulajdonában van. Bár ezeknek a cégeknek több mint a fele úgy nyilatkozott, hogy szabályozzák a mobilok használatát, szaporodtak az ezek elvesztése miatt bekövetkezett adatszivárgási esetek.

A struccpolitika nem kifizetődő, mégis népszerű

A vállalatok dolgozóinak közel 60 százaléka nem tud adatszivárgási problémákról. Ez azonban csak látszólag jó eredmény – állítják a CDSYS szekértői –, mert a tapasztalat az, hogy a legtöbb esetben a cégek nem is észlelik az incidenseket, sőt az is előfordul, hogy az adatszivárgási eseteket a vállalat vezetése eltitkolja. Ezzel magyarázható az is, hogy az incidensről tudomást szerzők háromnegyede nem tudta megbecsülni az adatvesztés pontos mértékét és az elszenvedett kárt. Ebből következően a válaszadók kis része, megközelítőleg tizede tudott nyilatkozni arról, hogy mekkora károkat okoztak a bekövetkezett incidensek. Így bár kevésbé relevánsak az adatok, figyelmeztető jel, hogy a felmérés az anyagi károk jelentősen emelkedését mutatja az egy évvel korábban mérthez képest. Bár a százezres nagyságrendű veszteségek aránya csökkent (7,9 százalékról 3,3 százalékra), a milliós és a tízmilliós nagyságrendűeké megugrott: 4,4-ről 13,3 százalékra, illetve 6,1-ről 9,2 százalékra.

A napvilágra került incidensek okoztak károk nagysága

(Forrás: CDSYS)

Ezzel párhuzamosan megszaporodtak a dolgozókkal szembeni jogi eljárások is: egyszerűbb esetben  fegyelmi, de szaporodtak a komolyabb jogi útra terelt ügyek is – miközben a szabályzatok létrehozása valamelyest háttérbe szorult. Az incidenseket követő, utólagos oktatások ugyan gyakoribbá váltak, de a vállalatok közel 40 százaléka még a bekövetkezett adatszivárgás után sem lép semmit.