Logikus lenne, hogy a kiberfenyegetésekről szóló egyre szaporodó hírek nyomán az IT-biztonság technológiai és szervezeti szinten is központi helyet és napi figyelmet kapjon a vállalatoknál. Ehhez képes még mindig meglepetést okoznak a forensic szakértők, amikor egy támadás után feltárják: a kiberbűnözők már hetek-hónapok óta szabadon garázdálkodtak adott szervezet rendszereiben. Szintén újdonságként hat az illetékeseknek, amikor kiderül: a támadók ezer éve használt módszerrel – fertőzött e-maillel, social engineering módszerrel, BEC-vel (business e-mail compromise) – jutottak be, és hosszú ideig csak figyeltek, mielőtt akcióba léptek volna, hogy adatokat lopjanak vagy romboljanak.

Ezt tükrözi egy idén készített kutatás (a német nyelvű összefoglalóhoz lapozzon ide), ami a DACH régióban (Németország, Ausztria, Svájc) vizsgálta a szervezetek biztonsági felkészültségét közel 400 C és középszintű IT-vezető, tanácsadó, IT-biztonsági szakértő megkérdezésével. Az online kérdőívet kitöltők jelentős része még mindig abban a hitben él, hogy a biztonsági problémák megoldása egyszerű: gyorsan fel kell ismerni a támadást. Ráadásul 38 százalékuk szerint ehhez mindössze percekre van szükség, további 27 százalékuk szerint pedig néhány órára, és mindössze ötödük (22 százalék) gondolja azt, hogy akár napok is eltelhetnek a támadás és annak azonosítása között. Ez azért is meglepő, mert számos kutatás áll rendelkezésre az ún. TTD (Time to Detect) alakulásáról.

A kutatók mindebből arra következtetnek: még az IT-vezetőkben sem tudatosult kellőképpen, hogy milyen mértékben súlyosbodott nemzetközi szinten a kiberbiztonsági helyzet. Ez pedig már önmagában is komoly kockázat. Ráadásul a vállalatok (pontosabban a vezetők, szakértők) meg vannak győződve: képesek a kibertámadások felderítésére és kivédésére, 70 százalékuk szerint nagyon jól állnak kiberbiztonság terén – miközben közel felük (48 százalék) azt is mondta, hogy szervezetének jelentős károkat okoztak kibertámadások.

Ez persze csak látszólag ellentmondás, ugyanis a válaszadók többsége úgy véli: ennyire képes a kibervédelem, és elkerülhetetlenek a járulékos veszteségek. Ez a szemlélet hatja át az IT-biztonsági szabványokhoz való viszonyt is. A szabványokra nem mint segítségre tekintenek a szervezetek, hanem olyan kellemetlen körülményre, amihez külső kényszer, a compliance miatt kell igazodni (pl. a pénzügyi szektorban a PSD2-megfelelés miatt). Ennek megfelelően a válaszadók 44 százaléka az IT-biztonsági szabványok bevezetését tartja a legnagyobb kihívásnak, a második helyre pedig 39 százalékkal a compliance szintjének ellenőrzése került.

Meglepetés: népszerű a Security as a Service

Egy területen azonban egyértelműen tisztában vannak a vállalatok a korlátaikkal: hiányos a belső kompetenciájuk. A válaszadók 97 százaléka támaszkodik egyes területeken külső IT-biztonsági szolgáltatóra, általában párhuzamosan többre is. Közel ötödük (18 százalék) külön szervezeti egységet állított fel a szolgáltatók menedzselésére.

A vállalatok 39 százalék a külső szolgáltatókra bízza a biztonsági irányelvek felügyeletét, és ugyanekkora azoknak a szervezeteknek az aránya, melyeknél a szolgáltató alakítja ki az architektúrát például a zero trust biztonság megvalósításához.

Ez valószínűleg azzal is összefügghet, hogy a vállalatok azzal már tisztában vannak, hogy a kiberbiztonság kialakítása összetett feladat. De összefügghet azzal is, hogy sok esetben az amúgy is leterhelt CIO-k döntenek IT-biztonsági kérdésekben (a válaszadók 22 százalékánál), vagy adnak tanácsot a felső vezetésnek (40 százalék), akik igyekeznek megszabadulni a biztonsággal kapcsolatos operatív feladatoktól. A CISO-k még mindig kevésbé vannak döntéshozói helyzetben (12 százalék), de tanácsadói szerepkörben is csak az esetek 30 százalékában támaszkodik rájuk a felső vezetői kör.