Bár egyre több szervezet ismeri fel az adatvédelmi veszélyek súlyosságát, mégsem költenek eleget informatikai biztonságuk fejlesztésére, derül ki az EY-nak abból a felméréséből (EY Global Information Security Survey 2018–19), melyhez 60 országban mintegy 1400 cégvezetőt, pénzügyi és IT-vezetőt, információbiztonsági vezetőt kérdeztek meg.

A válaszadók 92 százalékát aggasztja cége kulcsfontosságú tevékenységeinek információbiztonsága. Ugyanakkor harmaduk továbbra is a szükségesnél jóval kevesebbet költ a vállalati költségvetésből erre a területre.

6,4 milliárd hamis levél naponta

A kiberfenyegetettség szintjét jól jellemzi, hogy naponta mintegy 6,4 milliárd hamis emailt küldenek világszerte. Csak idén az első negyedévben 550 millió adathalász levelet regisztráltak. 2017 januárja és 2018 márciusa között közel 2 milliárd személyes és érzékeny adat kompromittálódott.

A szervezetek digitális átállása eközben gőzerővel halad: az EY felmérésben a válaszadók kivétel nélkül azt nyilatkozták, hogy több pénzt fordítanak a feltörekvő technológiai megoldásokra, mint egy évvel korábban. Ez tovább növeli kitettségüket a kiberveszélyeknek.

Minderre a kihívásra a szervezetek nincsenek felkészülve. Angliában például kimutatták, hogy a helyi hatóságok által használt szerverszotfverek mintegy fele nem támogatott verzió. Ausztrália egyik államában pedig közel 1500 olyan kormánytisztviselőt találtak, aki a 'Password123' jelszót használta a munkahelyi hozzáféréséhez. Ennek a lazaságnak a forintosítható ára is meglehetősen húzós: 2017-ben átlagosan 3,6 millió dollárba került egy adatlopási incidens.

Mennyit költenek a szervezetek biztonságra?

Elsősorban a kisebb cégekre igaz – mondta a kutatást ismertető sajtótájékoztatón Zala Mihály, a EY Kibervédelmi Szolgáltatások üzletágának vezetője –, hogy a veszélyek növekedése ellenére az információbiztonság nem része a vállalat stratégiájának: a válaszadók 55 százalék nyilatkozta ezt. A felmérésben részt vevő vállalatok közel 80 százalékánál még mindig az a cél, hogy túllépjenek az alapvető kibervédelmen. Ez különösen annak fényében aggasztó, hogy a vállalatok eközben fejlett technológiák – például mesterséges intelligencia, robotizált folyamatautomatizálás és -elemzés – használatával optimalizálják működésüket.

Ugyanakkor az egyértelműen pozitív, hogy a válaszadók 53 százaléka szerint nőttek vállalatánál az elmúlt tizenkét hónapban az információbiztonsági kiadások, 65 százalékuk szerint pedig már az is látható, hogy a következő egy évben is nőni fog (lásd a grafikont).

Érdekes kép rajzolódik ki arról, hogy a megkérdezett vezetők milyen információ kompromittálódásától félnek a legjobban. A legtöbben (17 százalék) az ügyféladatokat tették az első helyre. Szignifikánsan lemaradt ettől a pénzügyi információk és a stratégiai tervek (12-12 százalék), a döntéshozókról kiszivárgó információk és az ügyféljelszavak (11-11 százalék). A legkevésbé pedig a beszállítói információk sérülésétől tartanak a vezetők (5 százalék).

Mint Zala Mihály mondta, ez hibás szemléletet tükröz. A nagy szervezetek általában jól védett rendszereibe ugyanis épp a gyengébben védett kisebb beszállítókon keresztül a legkönnyebb bejutni. És a támadások 60-70 százalékát jellemzően a kkv-k és a startupok szenvedik el.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

A kutatók rákérdeztek arra is, hogy milyen típusú támadásoktól félnek leginkább a vezetők. Itt első helyre a phishing, azaz az adathalászat került (22 százalék), majd a malware (20 százalék) következett. A leállást okozó kibertámadásokat kevesebben választották (13 százalék), a pénzlopással járó támadásokat 12 százalék említette, míg a csalásoktól csak a válaszadók tizede fél. Meglepő módon a tízes lista utolsó helyére került a kémkedés – ez Zala szerint arra utal, hogy a vezetők sok esetben nem mérik fel, hogy a szervezetek ellen elkövetett egyéb támadások (adathalászat, malware-támadás, IP-cím lopása stb.) is gyakran a kémkedési tevékenységet készítik elő.

Nehéz a védelem optimalizálása

Nagy probléma, hogy a vállalatok egy része nem is érzékeli, hogy támadás érte. A válaszadók közel fele (46 százalék) nyilatkozta azt, hogy szervezetükben nem volt biztonsági incidens. Ez egyértelműen a felkészületlenséget tükrözi, különösen annak fényében, hogy a kibertámadást elszenvedők negyede (24 százalék) csak akkor érzékelte, hogy megtámadták a rendszereit, amikor az üzleti funkciók akadozni kezdtek vagy leálltak. Incidenskezelésre egyébként csak a válaszadók ötödének volt terve.

Mint Zala mondta, ma már az egyszerű védelem nem elégséges. Jó eszköz lehetne ún. security operation centerek (SOC) felállítása, de ez a költséghatékonyság miatt csak a nagyobb vállalatoknál (9-10 ezer alkalmazott fölött, komoly IT-infrastruktúrával) kifizetődő. A kisebb vállalatok viszont igénybe vehetik ezt szolgáltatásként is, ami mindenképpen a védelem egy jóval magasabb szintjét biztosítaná.

A válaszadók 51 százalékának van valamilyen szinten működő SOC-ja (a pénzügyi szektorban az arány jóval magasabb: 59 százalék). Bár nincsenek reprezentatív adatok, Magyarországon a SOC-t használó cégek aránya jóval kisebb, az EY maximum 25 százalékra becsüli arányukat.

Az EY teljes kiberbiztonsági jelentése itt tölthető le.