Nagyot kockáztatnak a cégek

Az EY világszerte, így Magyarországon is kérdéseket tett fel vállalatvezetőknek cégeik informatikai biztonsági felkészültségét illetően. Az eredmények meglehetősen aggasztóak, bár érződik némi javulás a korábbi időszakhoz képest.

Egy számítógépes rendszer leállása, a kapcsolódó üzleti folyamatok megakadása már önmagában véve is jelentős károkat okozhat egy vállalkozás vagy egy kormányzati szervezet számára, de még súlyosabb problémákat, a vállalati iránti bizalom megroggyanásához, üzleti titkok, tervek kitudódásához, ügyfelek elvesztéséhez és súlyosabb esetben akár z adott cégcsoport lenullázódásához is vezethet egy adatszivárgás.

Tavaly egy-egy adatszivárgásból fakadóan átlagosan 3,62 millió dollár kár keletkezett. A kéretlen és kártékony levelek (spamek) is sok bosszúságot és kárt okoznak a vállalatok számára, hiszen ezekből már 6,4 milliárd darab érkezik naponta. Adathalász típusú (phishing) e-mailekből egyébként az idei év első negyedévében 550 millió ment ki egy nagyméretű „célzott” támadás során.

A folyamatos támadások és a lehetséges károk ellenére úgy tűnik, sem a vállalkozások, sem a különböző kormányzati intézmények nincsenek megfelelően felkészülve az informatikai biztonsággal összefüggő problémák megelőzésére, illetve arra, hogy mit tegyenek, ha mégis bekövetkezik egy ilyen helyzet. Ezt támasztja alá annak a globális, összesen 60 országot érintő kutatásnak a végeredménye is, melyet az EY végzett. A cég összesen 1400, jellemzően pénzügyi, informatikai, informatikai biztonsági vezetőt kérdezett meg, hogy feltárja a legkülönfélébb szektorokba (pénzügyi szféra, kereskedelem, közlekedés, járműgyártás stb.) sorolt vállalatok informatikai biztonsági felkészültségének állapotát.

Az adatokat ismertető Zala Mihály, az EY kiberbiztonsági üzletágának igazgatója egy sajtóbeszélgetésen arra a tényre is felhívta a figyelmet, hogy a brit hatóságok közel 50 százalékánál fordul elő már nem támogatott, épp ezért súlyos veszélyeket hordozó rendszerek használata. Egy másik felmérés szerint pedig közel 1500 ausztrál kormányhivatalnokról derült ki a közelmúltban, hogy jelszavának az igencsak könnyen megfejthető Password123-t használja, amivel óriási veszélynek teszi ki a védendő adatokat. Ilyen IT-biztonsági kultúra mellett nem meglepő, hogy tavaly közel 2 milliárd érzékeny adat kompromittálódott világszerte, pontosabban ennyiről lehet egyáltalán tudni, merthogy sokszor maguk az áldozatok nem is értesülnek erről, legfeljebb késve.  

Zala Mihály azt is mondta, sajnos idehaza is sok vállalatnál tapasztalták, hogy évekkel ezelőtt kifutott operációs rendszeren futó, és szintén régi, elavult alkalmazásokat használnak – ezek sokszor csak nagyon nehezen lennének átültethetők új rendszerekre, kompatibilitási és egyéb okok miatt.

Az EY a saját kutatása elkészítésekor rákérdezett a vállalatvezetők körében, hogy vállalatuknál mekkora összeget fordítanak az informatikai biztonságra, illetve ez mekkora arányban van a szervezet teljes költségvetéséhez képest. Az derült ki, hogy főleg a pénzügyi szektorban költenek a legnagyobb arányban IT-biztonságra, ami persze érthető, hiszen ott mozog a legtöbb, kritikus adat, illetve ezt a szektort érték legelőször támadások, és ezek azóta is folyamatosak.

Az EY felmérte azt is, hogy a szervezeteknek van-e átfogó stratégiája a védekezésre. Meglepő lehet, de az derült ki, hogy a kisebb cégek jobban állnak e téren mint a nagyobbak.  Amiben viszont a nagyok jobbak, hogy nagyobb arányban mondhatják el magukról, hogy vannak biztonsági központjaik, úgynevezett SOC-jaik, vagy külső, hosztolt szolgáltatásként vesznek igénybe ilyesmit. Magyarországon egyébként Zala Mihály elmondása alapján a SOC-kal rendelkező cégek aránya nem éri el a 25 százalékot sem, és sokaknak nincs is terve ilyen kiépítésére, részben az amúgy is magas munkaerőhiány, másrészt az egyéb erőforráshiányok miatt.

A kutatásban résztvevők egyébként leginkább a phishingtől, azaz adathalászattól tartanak a leginkább: ezt a válaszadók 22 százaléka jelölte meg. A malware jellegű fenyegetések állnak a sorban a második helyen, 20 százalékkal, majd a harmadik helyen a kibertámadás miatti leállások szerepelnek 13 százalékkal.  A fenyegetettségek között 12 százalékot ért el a kibertámadások okozta pénzügyi pénzügyi kár, míg a különböző csalásoktól 10 százalék tart, a kibertámadások során bekövetkező szellemi károk ellopásától 8 százalék. Érdekes, hogy belső támadásoktól kevésbé tartanak a vállalatok: 5 százalékot kapott ez a veszély, a természeti katasztrófáktól pedig mindössze 2 százalék tart igazán. Az ipari kémkedés 2 százalékos értéket kapott, pedig a közelmúltban voltak olyan durva esetek, amikor az egyik járműgyártó cég rendszerein megtalálták egy másik autómárka terveit, így indokolt lenne erre a jelenségre jobban odafigyelni.

A vállatvezetők a kiberbűnözők számára legértékesebbnek az ügyfelekre vonatkozó információkat tartják, majd a sorban ezután a pénzügyi információk következnek. A harmadik helyen a stratégiai tervek szerepelnek, majd a döntéshozói információk. Érdekes, hogy míg az ügyfélinformáció szerepelt a sorban legelöl, az ügyféljelszavak csak az ötödik helyen szerepelnek.

Érdekes az is, hogy a biztonsági költéseiket a növekvő fenyegetettségek ellenére a vállalatok jellemzően nem, vagy csak kis mértékben növelték, a jellemző inkább a stagnálás volt. A csökkenés viszont egyáltalán nem jellemző, ami azt mutatja, hogy aki egyszer elkezdett költeni rá, az ebből a szintből már nem annyira vesz vissza – vélhetően azért, mert főleg azok költenek rá, akik már ütötték meg a bokájukat incidensek során.

A kutatás során fény derült arra is, hogy a cégeknél csak elvétve készültek fel kommunikációs tervvel válságkezelésre. Ezek a szervezetek azt kockáztatják, hogy például egy éjszaka bekövetkező támadás után másnap reggel a vállalatvezetők is a sajtó munkatársainak igencsak kínos kérdéseiből értesülnek róla, hogy valamilyen incidens történt, és akár több ezer ügyfelük adata kikerült az internetre. Pedig több példa is mutatja, hogy aki megfelelően felkészül egy ilyen helyzetben szükséges válságkommunikációs tervvel, jóval kisebb hírnévvesztéssel tud kijönni.

A vállalatoknál egyébként leginkább a sértett munkatársaktól, közreműködőktől, bűnügyi szervezetektől, hacktivistáktól és államilag szponzorált támadóktól tartanak. Ennek ellenére például a munkatársak képzése nem megfelelő, és a beszállítók auditálása sem mindig történik meg. Ahol viszont igen, ott többnyire valamilyen biztonsági tanúsítvány (például ISO) meglétét ellenőrzik. Magyarországon azonban e tekintetben még rosszabb a helyzet, sajnos például könnyen előfordulhat, hogy a nyomtató- és fénymásoló gép üzemeltetője úgy viheti el a gépben lévő merevlemezt, hogy a beszállító auditálása nem történik meg, vagyis kérdéses az adatok kezelése – mondta Zala.

Az EY-nál azt is elmondták, hogy a támadások jelentős része kisvállalatok és különböző startup cégek ellen irányul. Ennek az oka az, hogy a támadók is tudják, hogy „a tápláléklánc alján lévő” startupok védelme közel nulla, nincs erőforrásuk IT-biztonsági szakemberek foglalkoztatására stb., miközben itt is sok eredeti, ellopható ötlet van a rendszerekben. Egy ilyen céget érintő támadás ráadásul azokat a nagyvállalati partnereiket is súlyosan érintheti, akiknek beszállítói, ráadásul azt is kockára teszik, hogy egy másik startup esetleg hamarabb megvalósítja az ötleteket.

Az EY kiberbiztonsági üzletágának vezetője azt is elmondta, hogy a mobil okoseszközökhöz fűződő kockázatokra sem figyelnek oda eléggé a cégek. Egy olyan mobiltelefon elvesztése, amelyen a felhasználó be volt jelentkezve a levelezésbe, szintén komoly adatszivárgáshoz vezethet. Erre megoldás lehetne a mobil-eszközmenedzsment szoftverek alkalmazása, de ilyeneket jellemzően csak a nagyvállalatok vásárolnak maguknak. A kkv-k zöme még ma is valamelyik népszerű ingyenes levelezőprogramot használja, és nem gondoskodik az okostelefonjai védelméről.

Zala Mihály az EY kutatásának tapasztalatai kapcsán megemlítette azt is, hogy manapság sok helyen kiszerveznek egyes biztonsági folyamatokat, ilyen például a sérülékenységvizsgálat- és az adathalász-vizsgálat is. Ezt a szakértő egyébként alapvetően jó döntésnek tartja, mivel egy külső szem könnyen észrevehet olyan hibákat, amelyek belülről fel sem tűnnek, mégis végzetesek lehetnek. Ezen a ponton azonban nyilván kiemelten fontos az auditor cégek kellően alapos kiválasztása.

Zala azt is mondta, hogy a kutatásuk során a válaszadók 46 százaléka nyilatkozott úgy, hogy még sosem észlelt a cégénél biztonsági incidenst. Ennek még akár örülni is lehetne, azonban a kiberbiztonsági üzletág igazgatója nem ilyen optimista: úgy gondolja, hogy inkább arról lehet szó, hogy ezek a cégek csak nem tudnak a történtekről, vagy nem okozott számukra közvetlenül kárt egy adatlopás. A vállalatok egyébként, amikor mégis észlelték a problémát, az esetek többségében (76 százalék) a kiberbiztonsági büdzséjük növelésével reagáltak, pedig sokszor a támadások mögött csak rosszul beállított szerverkonfigurációk vannak – derült ki a kutatás eredményeiből.

Az EY szakemberei rákérdeztek a felmérés készítésekor arra is, hogy ki felel az informatikai biztonságért a cégeknél, és ők milyen szinten vannak bevonva a vállalati folyamatokba. Az derült ki, hogy az IT-biztonsági vezetők az esetek többségében nem tagjai a felső vezetői döntéshozói körnek. Ez azért jelent komoly problémát, mert így nem biztos, hogy minden esetben érvényesülnek a vállalati folyamatok tervezésekor a biztonsági kérdések – húzta alá Zala Mihály.

A vállalatok többsége egyébként arra a kérdésre, hogy kiket értesítene egy, a cégénél bekövetkezett incidensről, azt mondta, hogy saját jól felfogott érdekéből értesítené az érintett ügyfeleit. Emellett a hatóságokat, szabályozó szervezeteket is sokan értesítenék. A sajtót főleg akkor értesítik, ha valamilyen cselekvés szükséges az ügyfelek részéről, például jelszócsere, vagy fokozott odafigyelés.

A kutatás készítésekor kiderült az is, hogy Magyarországon még egyáltalán nem jellemző, hogy a vállalatok kiberbiztonsági biztosítással igyekeznének mérsékelni kockázataikat. Erre egyébként nem is nagyon lenne lehetőségük, mivel kiberbiztonsági biztosításhoz idehaza még meglehetősen korlátozottan lehet hozzájutni. Zala Mihály reméli, ez ügyben később pozitív fordulat lehet, hiszen külföldön már elérhetők ilyen biztosítások.

Szalay Dániel