A biztonsági kockázatmenedzsment szoftvert és -szolgáltatásokat fejlesztő RedSeal hétfőn tette közzé annak a felmérésnek az eredményeit, amelyet a cég megbízásából az Atomik Research készített el június folyamán félezer informatikai szakember bevonásával. Bár a kaliforniai székhelyű társaság ezúttal a brit szakemberek véleményét szondázta, a kutatás megállapításai tájékoztató jelleggel más piacokon is érdekesek lehetnek, különös tekintettel a vállalati felső vezetőkkel kapcsolatos megállapításokra.

Az anyagból kiderül, hogy az IT-sok úgy érzik, nincs tényleges kapcsolatuk a C-szintű menedzserekkel: 92 százalékuk nyilatkozott úgy, hogy létezik speciálisan a (vezér)igazgatókra szabott biztonsági terv a kibertámadások és az adatszivárgások elkerülésére, 52 százalékuk szerint a szervezetek vezetői ezekre nincsenek tekintettel. A megkérdezettek 10 százaléka arról is beszámolt, hogy a vezetők egyenesen aktív szerepet játszanak a kockázatok vagy hátső kapuk kialakításában, 14 százalék pedig biztos benne, hogy a CEO-ja nem kapott semmiféle kiberbiztonsági tréninget.

Mindez elsősorban olyasmit jelent, hogy az amúgy is sokat utazó topmenedzserek egyre több internetre is csatlakozó eszközt használnak otthonukban vagy a szállodákban, amiből az is következik, hogy kiemelt célpontjai lehetnek a kiberbűnözőknek. Az árakkal és kényelmi szolgáltatásokkal versengő okos eszközöknél a biztonság gyakran másodlagos szempont, és bizonyos termékek – például az okos hangszórók – még akkor is kompromittálják a személyiségi jogok vagy a magánélet védelmét, ha rendeltetésszerűen használják őket.

Nem csak a védekezést, a kármentést is meg kell tervezni

A probléma nyilvánvalóan még nagyobb, ha a felhasználó egy olyan CEO, aki üzleti vagy az állami hírszerzésben felmerülő szempontok alapján különösen érdekes a támadók számára, miközben széleskörű és magas szintű hozzáféréssel rendelkezik a vállalati hálózatokhoz, magára pedig úgy tekint, mint aki felette áll a szervezeten belül alkalmazott szabályoknak. Nem véletlen, hogy a válaszadók háromnegyede szerint a felső vezetőknek sokkal több figyelmet kellene fordítaniuk a kiberbiztonságra, különösen, ha annak hiányában még az ügyfelek adatait is veszélybe sodorhatják.

A felmérésből egyébként kiderül, hogy az IT-sok szerint az üzleti oldal általában már komolyan veszi az informatikai biztonságot. Kétharmaduk arról számolt be, hogy szervezeténél léteznek jól meghatározott és tesztelt tervek az esetleges incidensekre adott válaszokhoz. Ennek kapcsán felhívják a figyelmet arra a szempontra, hogy a mai, komplex és kölcsönös függőségekre épülő rendszerekben elkerülhetetlen, hogy egy-egy kibertámadás időnként sikeres legyen. A túlélés záloga ilyen esetekben az, hogy létezik-e hatékony terv a sikeres támadások kezelésére.

A RedSeal felmérésének publikus kivonata innen érhető el, és a fentiek mellett más témákat is érint, elsősorban az okos eszközök használata során felmerülő kockázatokról szólva. Kiderül belőle például, hogy ötből négy IT-szakember elismeri, saját szervezetének rendszereit korábban már feltörték valamilyen módon – ehhez képest a hivatalos statisztikákban mindössze tízből négyes arány szerepel. Ugyanilyen érdekes, hogy a brit vállalatok 42 százalékánál egyáltalán nincs semmilyen terv az ügyfelek tájékoztatására az adatvesztéssel járó támadások nyomán, a cégek negyedénél pedig egy nagyobb horderejű incidensről alapértelmezett módon csak a CEO-t értesítik.