A digitális átalakulás tovább növelte a vállalatok kiberfenyegetettségét, mégsem tesznek eleget a kockázatok ellen – mutat rá az EY Globális Információbiztonsági felmérése.

Bár egyre több szervezet ismeri fel az adatvédelmi veszélyek súlyosságát, mégsem költenek eleget informatikai biztonságuk fejlesztésére, derül ki az EY-nak abból a felméréséből (EY Global Information Security Survey 2018–19), melyhez 60 országban mintegy 1400 cégvezetőt, pénzügyi és IT-vezetőt, információbiztonsági vezetőt kérdeztek meg.

A válaszadók 92 százalékát aggasztja cége kulcsfontosságú tevékenységeinek információbiztonsága. Ugyanakkor harmaduk továbbra is a szükségesnél jóval kevesebbet költ a vállalati költségvetésből erre a területre.

6,4 milliárd hamis levél naponta

A kiberfenyegetettség szintjét jól jellemzi, hogy naponta mintegy 6,4 milliárd hamis emailt küldenek világszerte. Csak idén az első negyedévben 550 millió adathalász levelet regisztráltak. 2017 januárja és 2018 márciusa között közel 2 milliárd személyes és érzékeny adat kompromittálódott.

A szervezetek digitális átállása eközben gőzerővel halad: az EY felmérésben a válaszadók kivétel nélkül azt nyilatkozták, hogy több pénzt fordítanak a feltörekvő technológiai megoldásokra, mint egy évvel korábban. Ez tovább növeli kitettségüket a kiberveszélyeknek.

Minderre a kihívásra a szervezetek nincsenek felkészülve. Angliában például kimutatták, hogy a helyi hatóságok által használt szerverszotfverek mintegy fele nem támogatott verzió. Ausztrália egyik államában pedig közel 1500 olyan kormánytisztviselőt találtak, aki a 'Password123' jelszót használta a munkahelyi hozzáféréséhez. Ennek a lazaságnak a forintosítható ára is meglehetősen húzós: 2017-ben átlagosan 3,6 millió dollárba került egy adatlopási incidens.

Mennyit költenek a szervezetek biztonságra?

Elsősorban a kisebb cégekre igaz – mondta a kutatást ismertető sajtótájékoztatón Zala Mihály, a EY Kibervédelmi Szolgáltatások üzletágának vezetője –, hogy a veszélyek növekedése ellenére az információbiztonság nem része a vállalat stratégiájának: a válaszadók 55 százalék nyilatkozta ezt. A felmérésben részt vevő vállalatok közel 80 százalékánál még mindig az a cél, hogy túllépjenek az alapvető kibervédelmen. Ez különösen annak fényében aggasztó, hogy a vállalatok eközben fejlett technológiák – például mesterséges intelligencia, robotizált folyamatautomatizálás és -elemzés – használatával optimalizálják működésüket.

Ugyanakkor az egyértelműen pozitív, hogy a válaszadók 53 százaléka szerint nőttek vállalatánál az elmúlt tizenkét hónapban az információbiztonsági kiadások, 65 százalékuk szerint pedig már az is látható, hogy a következő egy évben is nőni fog (lásd a grafikont).

 
EY Global Information Security Survey 2018–19
Infogram


Érdekes kép rajzolódik ki arról, hogy a megkérdezett vezetők milyen információ kompromittálódásától félnek a legjobban. A legtöbben (17 százalék) az ügyféladatokat tették az első helyre. Szignifikánsan lemaradt ettől a pénzügyi információk és a stratégiai tervek (12-12 százalék), a döntéshozókról kiszivárgó információk és az ügyféljelszavak (11-11 százalék). A legkevésbé pedig a beszállítói információk sérülésétől tartanak a vezetők (5 százalék).

Mint Zala Mihály mondta, ez hibás szemléletet tükröz. A nagy szervezetek általában jól védett rendszereibe ugyanis épp a gyengébben védett kisebb beszállítókon keresztül a legkönnyebb bejutni. És a támadások 60-70 százalékát jellemzően a kkv-k és a startupok szenvedik el.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »


A kutatók rákérdeztek arra is, hogy milyen típusú támadásoktól félnek leginkább a vezetők. Itt első helyre a phishing, azaz az adathalászat került (22 százalék), majd a malware (20 százalék) következett. A leállást okozó kibertámadásokat kevesebben választották (13 százalék), a pénzlopással járó támadásokat 12 százalék említette, míg a csalásoktól csak a válaszadók tizede fél. Meglepő módon a tízes lista utolsó helyére került a kémkedés – ez Zala szerint arra utal, hogy a vezetők sok esetben nem mérik fel, hogy a szervezetek ellen elkövetett egyéb támadások (adathalászat, malware-támadás, IP-cím lopása stb.) is gyakran a kémkedési tevékenységet készítik elő.

Nehéz a védelem optimalizálása

Nagy probléma, hogy a vállalatok egy része nem is érzékeli, hogy támadás érte. A válaszadók közel fele (46 százalék) nyilatkozta azt, hogy szervezetükben nem volt biztonsági incidens. Ez egyértelműen a felkészületlenséget tükrözi, különösen annak fényében, hogy a kibertámadást elszenvedők negyede (24 százalék) csak akkor érzékelte, hogy megtámadták a rendszereit, amikor az üzleti funkciók akadozni kezdtek vagy leálltak. Incidenskezelésre egyébként csak a válaszadók ötödének volt terve.

 
EY Global Information Security Survey 2018–19, Breaches discovered by...
Infogram


Mint Zala mondta, ma már az egyszerű védelem nem elégséges. Jó eszköz lehetne ún. security operation centerek (SOC) felállítása, de ez a költséghatékonyság miatt csak a nagyobb vállalatoknál (9-10 ezer alkalmazott fölött, komoly IT-infrastruktúrával) kifizetődő. A kisebb vállalatok viszont igénybe vehetik ezt szolgáltatásként is, ami mindenképpen a védelem egy jóval magasabb szintjét biztosítaná.

A válaszadók 51 százalékának van valamilyen szinten működő SOC-ja (a pénzügyi szektorban az arány jóval magasabb: 59 százalék). Bár nincsenek reprezentatív adatok, Magyarországon a SOC-t használó cégek aránya jóval kisebb, az EY maximum 25 százalékra becsüli arányukat.

Az EY teljes kiberbiztonsági jelentése itt tölthető le.

Biztonság

Az orosz kiberkémek már a szomszéd irodában vannak

A szakértők szerint a Kreml-támogatását élvező hekkercsoport egy teljesen újszerű megközelítéssel tudott adatokat lopni a kiszemelt hálózatról.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.