A McAfee becslése alapján a kiberbűnözők tevékenysége tavaly már több mint ezermilliárd dollárnyi terhet jelentett a világgazdaságnak, amit nagyrészt a 900 milliárdnyi, közvetlenül vagy közvetett módon okozott kár, kisebb részben pedig a kényszerű kiberbiztonsági fejlesztésekre fordított 145 milliárd dollár tett ki. Ez utóbbi az előrejelzések szerint az idén is legalább 10 százalékkal növekszik majd, ahogy a különböző méretű szervezetek jelentős része megemeli az informatikai biztonsági büdzséket, a legfontosabb változás azonban az lehet, ha megváltozik az összegek elköltésének módja.

A CIO Dive riportja ezzel kapcsolatban az ISACA nemzetközi szakmai szövetség képviselőjét idézi, aki szerint a vállalatok továbbra is súlyos problémának tartják a szaporodó kiberbiztonsági incidenseket, a ráfordítások súlypontja azonban ennek ellenére a megfelelőségre és a kockázatmenedzsmentre esik.

A világjárvány egyik közvetett hatása, hogy sok helyen gondolták újra az ilyen költéseket, és a cloud szolgáltatások fokozottabb igénybevételével értelemszerűen előtérbe kerültek a felhő alapú biztonsági megoldások is. Az ellátási láncokat érő támadások (lásd a SolarWinds ügyét) ráirányították a figyelmet a beszállítók kockázatainak kezelésére, az adatvédelmi irányzatok fókuszában pedig a mesterséges intelligenciára és a gépi tanulásra épülő eszközök kerültek.

Valós veszélyek ellen érdemes védekezni

A cikk szerint a gondok ott kezdődnek, hogy a kiberbiztonsági trendek és a támadási vektorok megváltoztak ugyan, sok szervezet továbbra is ugyanazokra az eszközökre és rendszerekre támaszkodik, illetve azokba fektet, amelyeket már hosszú évek óta használ. Így aztán a vállalatok hiába növelnik kiberbiztonsági költségvetésüket, ha ténylegesen nem igazán fektetnek be az aktuális fenyegetettségek kezeléséhez szükséges megoldásokba.

A hangzatos jelszavak ellenére az informatikát, ezen belül pedig az IT-biztonságot a legtöbben költségközpontként kezelik, így az is logikus, hogy ezen a területen a legszükségesebb dolgokra próbálják szorítani a törekvéseiket. Ez különösen igaz, ha figyelembe vesszük, hogy egy-egy társaságnál minden fillérjüket elkölthetnék a kiberbiztonság fejlesztésére, annak megtérülése közel sem lenne látványos. A valóság viszont inkább a másik véglethez közelít: sokan csak az iparági vagy törvényi szabályozásnak megfelelő minimumra törekednek, főleg azoknál a kisebb szervezeteknél, ahol egyáltalán nem működik dedikált kiberbiztonsági csapat.

A támadások márpedig szaporodnak és folyamatosan átalakulnak, nem beszélve arról, hogy a legsikeresebb ilyen akciókban általában nagyon fontos szerep hárul az emberi tényezőre, ami nyilván nincs közvetlen összefüggésben a kiberbiztonsági büdzsé alakulásával. A CIO Dive által megszólaltatott szakértők szerint tehát nem az a legfontosabb, hogy mennyit, hanem hogy mire költenek a cégek – az informatikai biztonság költségeiről szólva ugyanis nagyon könnyű átsiklani afölött, hogy mibe kerül az olyan fenyegetések elleni védekezés, amelyek már nem is igazán léteznek.

Nehéz felmutatni a látható megtérülést

Erre példának hozzák fel a tárolóeszközök fizikai lopások elleni védelmét, amire általában régen túlhaladott szabályok (és azokhoz rendelt források) vonatkoznak, miközben az ISACA tavalyi kutatása alapján komoly humánerőforrás-hiánnyal küzdenek, és kétharmad részüknek problémát jelent jó szakemberek megtartása. Mi is éppen most idéztük a Proofpoint friss kutatását, amelynek értelmében a válaszadó IT-biztonsági vezetők (CISO-k) 66 százaléka szerint céges rendszerük nem lenne képes megfelelően kezelni egy célzott hekkerakciót, több mint fele részben pedig még az idén jó esélyt adnak az incidensek bekövetkeztére.

A felhőbe való átköltözés mindenesetre a fizikai rendszerekhez kapcsolódó tőkekiadásoktól a költségalapú ráfordítások felé mutat, mint ahogy a ransomware támadások szaporodása és a bűnözők egyre sikeresebb bevételszerzési modelljei is arra késztetik a biztosítókat, hogy a végponti biztonságára, a cloud tárolási megoldások biztonságára és az üzletfolytonosságra összpontosítsanak.