A digitális átalakulás tovább növelte a vállalatok kiberfenyegetettségét, mégsem tesznek eleget a kockázatok ellen – mutat rá az EY Globális Információbiztonsági felmérése.

Bár egyre több szervezet ismeri fel az adatvédelmi veszélyek súlyosságát, mégsem költenek eleget informatikai biztonságuk fejlesztésére, derül ki az EY-nak abból a felméréséből (EY Global Information Security Survey 2018–19), melyhez 60 országban mintegy 1400 cégvezetőt, pénzügyi és IT-vezetőt, információbiztonsági vezetőt kérdeztek meg.

A válaszadók 92 százalékát aggasztja cége kulcsfontosságú tevékenységeinek információbiztonsága. Ugyanakkor harmaduk továbbra is a szükségesnél jóval kevesebbet költ a vállalati költségvetésből erre a területre.

6,4 milliárd hamis levél naponta

A kiberfenyegetettség szintjét jól jellemzi, hogy naponta mintegy 6,4 milliárd hamis emailt küldenek világszerte. Csak idén az első negyedévben 550 millió adathalász levelet regisztráltak. 2017 januárja és 2018 márciusa között közel 2 milliárd személyes és érzékeny adat kompromittálódott.

A szervezetek digitális átállása eközben gőzerővel halad: az EY felmérésben a válaszadók kivétel nélkül azt nyilatkozták, hogy több pénzt fordítanak a feltörekvő technológiai megoldásokra, mint egy évvel korábban. Ez tovább növeli kitettségüket a kiberveszélyeknek.

Minderre a kihívásra a szervezetek nincsenek felkészülve. Angliában például kimutatták, hogy a helyi hatóságok által használt szerverszotfverek mintegy fele nem támogatott verzió. Ausztrália egyik államában pedig közel 1500 olyan kormánytisztviselőt találtak, aki a 'Password123' jelszót használta a munkahelyi hozzáféréséhez. Ennek a lazaságnak a forintosítható ára is meglehetősen húzós: 2017-ben átlagosan 3,6 millió dollárba került egy adatlopási incidens.

Mennyit költenek a szervezetek biztonságra?

Elsősorban a kisebb cégekre igaz – mondta a kutatást ismertető sajtótájékoztatón Zala Mihály, a EY Kibervédelmi Szolgáltatások üzletágának vezetője –, hogy a veszélyek növekedése ellenére az információbiztonság nem része a vállalat stratégiájának: a válaszadók 55 százalék nyilatkozta ezt. A felmérésben részt vevő vállalatok közel 80 százalékánál még mindig az a cél, hogy túllépjenek az alapvető kibervédelmen. Ez különösen annak fényében aggasztó, hogy a vállalatok eközben fejlett technológiák – például mesterséges intelligencia, robotizált folyamatautomatizálás és -elemzés – használatával optimalizálják működésüket.

Ugyanakkor az egyértelműen pozitív, hogy a válaszadók 53 százaléka szerint nőttek vállalatánál az elmúlt tizenkét hónapban az információbiztonsági kiadások, 65 százalékuk szerint pedig már az is látható, hogy a következő egy évben is nőni fog (lásd a grafikont).

 
EY Global Information Security Survey 2018–19
Infogram


Érdekes kép rajzolódik ki arról, hogy a megkérdezett vezetők milyen információ kompromittálódásától félnek a legjobban. A legtöbben (17 százalék) az ügyféladatokat tették az első helyre. Szignifikánsan lemaradt ettől a pénzügyi információk és a stratégiai tervek (12-12 százalék), a döntéshozókról kiszivárgó információk és az ügyféljelszavak (11-11 százalék). A legkevésbé pedig a beszállítói információk sérülésétől tartanak a vezetők (5 százalék).

Mint Zala Mihály mondta, ez hibás szemléletet tükröz. A nagy szervezetek általában jól védett rendszereibe ugyanis épp a gyengébben védett kisebb beszállítókon keresztül a legkönnyebb bejutni. És a támadások 60-70 százalékát jellemzően a kkv-k és a startupok szenvedik el.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »


A kutatók rákérdeztek arra is, hogy milyen típusú támadásoktól félnek leginkább a vezetők. Itt első helyre a phishing, azaz az adathalászat került (22 százalék), majd a malware (20 százalék) következett. A leállást okozó kibertámadásokat kevesebben választották (13 százalék), a pénzlopással járó támadásokat 12 százalék említette, míg a csalásoktól csak a válaszadók tizede fél. Meglepő módon a tízes lista utolsó helyére került a kémkedés – ez Zala szerint arra utal, hogy a vezetők sok esetben nem mérik fel, hogy a szervezetek ellen elkövetett egyéb támadások (adathalászat, malware-támadás, IP-cím lopása stb.) is gyakran a kémkedési tevékenységet készítik elő.

Nehéz a védelem optimalizálása

Nagy probléma, hogy a vállalatok egy része nem is érzékeli, hogy támadás érte. A válaszadók közel fele (46 százalék) nyilatkozta azt, hogy szervezetükben nem volt biztonsági incidens. Ez egyértelműen a felkészületlenséget tükrözi, különösen annak fényében, hogy a kibertámadást elszenvedők negyede (24 százalék) csak akkor érzékelte, hogy megtámadták a rendszereit, amikor az üzleti funkciók akadozni kezdtek vagy leálltak. Incidenskezelésre egyébként csak a válaszadók ötödének volt terve.

 
EY Global Information Security Survey 2018–19, Breaches discovered by...
Infogram


Mint Zala mondta, ma már az egyszerű védelem nem elégséges. Jó eszköz lehetne ún. security operation centerek (SOC) felállítása, de ez a költséghatékonyság miatt csak a nagyobb vállalatoknál (9-10 ezer alkalmazott fölött, komoly IT-infrastruktúrával) kifizetődő. A kisebb vállalatok viszont igénybe vehetik ezt szolgáltatásként is, ami mindenképpen a védelem egy jóval magasabb szintjét biztosítaná.

A válaszadók 51 százalékának van valamilyen szinten működő SOC-ja (a pénzügyi szektorban az arány jóval magasabb: 59 százalék). Bár nincsenek reprezentatív adatok, Magyarországon a SOC-t használó cégek aránya jóval kisebb, az EY maximum 25 százalékra becsüli arányukat.

Az EY teljes kiberbiztonsági jelentése itt tölthető le.

Biztonság

Lepacsizott az Amazon a német versenyhivatallal, de máris jön az újabb ügy

Az online birodalom megússza a bírságot, és 30 napon belül megteszi a szükséges változtatásokat, amelyekre az év eleje óta zajló trösztellenes vizsgálat értelmében szükség lehet. Ugyanakkor az EU pont ma indított újabb, drágának ígérkező aktát.
 
Könnyen érthető, de fejlett védelmi megoldások nélkül nehezen elhárítható módszert követnek a bizalmas információk ellopására utazó kiberbűnözők.
A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.