Tíz éve még szitokszó volt az információvédelem, ám azóta nagyot változott a világ - mondta Zala Mihály, az EY Kibervédelmi Szolgáltatások üzletág igazgatója, amikor bemutatta az EY Globális Információbiztonsági felmérését, melynek keretében 50 ország közel 1400 pénzügyi, informatikai és információbiztonsági vezetőjét kérdezték meg idén április és július között.
Mint mondta, azért is aktuális a kérdés, mert naponta 6,4 milliárd spamet és egyéb kártékony e-mailt küldenek ki naponta, mintegy 2 milliárd személyes adat kompromittálódott az elmúlt egy évben, 1464 ausztrál kormányhivatalnokról derült ki, hogy a "Password123" jelszót használja. Mindehhez hozzátartozik, hogy egy-egy incidens során 3,6 millió dollár az átlagos kárérték, ilyen volt a Facebook-botrány, vagy az adathalász-támadás, amiből 550 millió volt csak az első negyedévben.
Tipikus ilyen, hogy valaki a saját e-mail címéről kap egy levelet, hogy átvették az irányítást a gépe felett, látják, milyen oldalakat látogatott, illetve látják a kamera képét. Ilyenkor természetesen pénzt kérnek cserébe az adatokért. "Ha csak néhányan fizetnek, már megérte" - mondta Zala.
Mindezek ellenére a cégek 32 százaléka mindössze költségvetésének 2-5 százalékát költi információbiztonságra, 24 százalék 5-10 százalék közötti összeget, míg 20 százalék felett csak 6 százalék költ, míg 2 százalék alatt 22 százalék. Érdekesség, hogy az elmúlt évhez viszonyítva bár még mindig a változatlan költségvetés a jellemző, de 15 százalék azt is mondta, hogy negyedével többet költ az információbiztonságra, míg a csökkenés szinte egyáltalán nem jellemző.
A felmérés szerint a többség akkor költ csak nagyobb mértékben erre a célra, ha már átélt valamilyen támadást. A reputációvesztéstől kevésbé félnek a cégek, ezt jól mutatja, hogy a megkérdezettek többségének nincs forgatókönyve arra az esetre, ha valamilyen támadás éri a szerveztet. "Pedig az ilyen esetekre elkészített jó kommunikációs terv minimálisra tudja csökkenteni a kárt. Ha jól és őszintén adja elő, akkor még jól is kijöhet belőle" - vélte Zala.
Ezek után kevésbé meglepő, hogy a legtöbb válaszadó úgy véli, hogy az információbiztonság nemigen befolyásolja az üzleti stratégiát és terveket, mindössze 18 százalék mondta, hogy teljes mértékben. "A startupok védelme sokszor közel áll a nullához, így sokszor előfordul, hogy egy nagycéghez a partnereiken keresztül, például beszállító vagy takarítócégen keresztül lehet betörni."
Ide kapcsolódik, hogy mindössze 22 százalék ellenőrzi a partnereit, míg Magyarországon még alacsonyabb ez a szám. "Egy tonercsere során sokan nem ellenőrzik, hogy külső cég cserét végrehajtó munkatársa pontosan mit csinál az adott gépen, pedig jóval több mindenhez hozzáférhet, mint sokan gondolnák" - mondta az EY Kibervédelmi Szolgáltatások üzletág igazgatója.
Amikor pedig azt kérdezték, hogy kitől félnek a leginkább, úgy a csalódott - aki nem kapott pl. fizetésemelést -, illetve az oda nem figyelő munkatárs áll az élen, míg a bűnszervezeteket kevesen említették. Ennek megfelelően sokan félnek az elveszített okoseszközöktől. "Ha a cégnél nincs okoseszköz-menedzsment, például, az e-mail-rendszerből nem lép ki automatikusan, úgy egyből hozzá lehet férni minden adathoz. A kis cégek többsége például Google-on keresztül levelezik, őket nagyon érinti ez a probléma. Egyébként az ujjlenyomat is másolható" - tette hozzá Zala, aki szerint a közösségi oldalakon keresztül is "sok mindent el lehet érni". Márpedig mobileszközmenedzsmentet csak a nagycégek vesznek, ez a kicsikre egyáltalán nem jellemző. Ide kapcsolódik, hogy a legtöbb cég saját maga próbálja a védelmét megszervezni, nem kérik külső szakértő segítségét, pedig kívülről nézve sok mindent észre lehet venni Zala szerint, ami belülről nem egyértelmű.
Érdekesség, hogy amíg globálisan nagyjából a cégek fele él biztonsági műveleti központtal (SOC), addig itthon ez 25 százalék alatt van. "Ez a cégméretekkel is összefügg, hiszen, ami itthon nagycégnek számít, külföldön még kkv kategória. A kicsik ezt nem tudják maguktól megteremteni, se anyagilag, se munkaerőt tekintve."
A legtöbben egyébként adathalász támadásoktól félnek, amelynek ma már Zala szerint igencsak kifinomult formái vannak, immár nem a Google-fordítóval elküldött levelek a jellemzőek. Sokan félnek még a leállásoktól, hogy lebénítják a szervereit,. "Ma már pár száz dollárért lehet tízezres nagyságrendben IP-címet szerezni, ahonnan már nem nagy feladat túlterheléses támadást indítani" - mondta Zala. Ugyanakkor ipari kémkedéstől mindössze két százalék fél. "Ez persze furcsa, hiszen ki másnak kellene a pénzügyi, üzleti adata egy cégnek" - kommentálta Zala.
A válaszadók szerint a legértékesebb adat, amit elveszíthetnek, az ügyfélinformáció, ezt 17 százalék jelölte meg. "A támadások legfőbb célja a személyes adat" - erősítette meg Zala. A pénzügyi információkat ehhez képest jóval kevesebben, 12 százalék féltette a legjobban.
A felmérés során azt is megkérdezték, hogy hogyan észlelték a legutóbbi incidenst: 46 százalék szerint őt nem érte, de itt inkább az a valószínű Zala szerint, hogy nem tudott róla. 24 százalék azt mondta, hogy az üzleti folyamatai során érezte meg, az pedig elég nagy probléma, hiszen akkor már hatással volt a cég működésére a támadás. Ezek után nem meglepő, hogy a cégek 20 százaléknak nincs incidens-detektáló programja. A jó hír ugyanakkor, hogy 75 százalékban van kifejezett felelőse az informatikai-támadásoknak, ám rossz hír, hogy 60 százalékban ők nem kerülnek be a felső vezetői döntéshozói körbe.
A munkaerőhiány ezen a területen is megjelenik, ezt 30 százalék említette, 25 százalék költségvetési problémákat említett, ami annyiban nem meglepő Zala szerint, hogy a támadásokat kivédő programok elég drágák tudnak lenni. Ide kapcsolódik, hogy nagyon sok vállalat elavult operációs rendszert használ, ne adj isten lopott szoftvert, nemcsak a számítógépeken, hanem a szervereken is, ami megkönnyíti a támadók dolgát. "Előfordul az is, hogy egy fejlesztés egy adott szoftververzióra írnak, így azért sem frissítenek, mert azon már nem működne az adott fejlesztés" - tette hozzá Zala.
A magyar adatokkal kapcsolatban elhangzott, hogy miközben a szabályozásban Magyarország az elsők között volt, a vállalati területen érezhető némi elmaradás. Ez Zala szerint főként méretbeli, gazdaságossági problémákra vezethető vissza. Például egy SOC-ot egy ezerfős cégre nem rentábilis felépíteni, míg egy 10 ezer fősnél már megfontolandó. Sok mindenben lekövetjük a világpiaci trendeket, de valószínűleg költségvetési okokból vagyunk kicsit lemaradva - vélte a szakember.
Mi változott az elmúlt években?
Lassan minden országban van már szabályozás, törvényeket hoznak, szervezeto, kormányzati szinten kézbe vették a témát - mondta Zala, aki szerint ha meghozzák a szabályokat, az emberek elkezdtek ennek mentén alkalmazkodni és üzemelni. Ez szerinte a szolgáltató szektornak is jó, mert tudja, hogy definiálva vannak az érdekek. Tudja, mi az igény, arra fejleszt. Örvendetes, hogy a fejlesztések elmentek ebbe az irányba - emelte ki a szakember.
Pozitívumnak nevezte azt is, hogy gyakorlatilag, szinte minden cégnél megjelenik az információbiztonsági vezetői funkció, ahogy az is, hogy egyre többen végeztetnek teszteket is a rendszereiken és alkalmazásaikon. Egyre több a detektáló alkalmazás igénybevétele, ezzel párhuzamosan egyre többen alkalmaznak külsős segítséget - mondta Zala, aki szerint ma már egy-két esettől eltekintve nem lehet azt mondani, hogy informatikai fejlesztéseket ellenőrzés nélkül kiadnának. "5-10 éve még egy-két fejlett céget és országot leszámítva, nem volt jellemző, hogy komplett forráskódokat levizsgálni. Ma már a fejlesztő nem adja úgy át a fejlesztést, hogy ne ellenőrizte volna le" - mondta az EY Kibervédelmi Szolgáltatások üzletág igazgatója. Jó irányba való elmozdulás az is, hogy a vezetőknek immár a 70 százaléka rendelkezik átfogó képpel a kiberbiztonságról, ez néhány éve még jóval alacsonyabb volt.
A jövőbeli trendekkel kapcsolatban elhangzott, hogy az adatelemzés egyre inkább kiemelt terület lesz. Zala szerint pozitívum, hogy immár a legtöbb cégnél nemcsak a sérülékenységet mérik, hanem egyre gyakrabban van igény arra, hogy a forráskódot is megvizsgálják. A kettő közötti különbség: az előbbinél azt lehet megmondani, hogy van x hiba egy alkalmazáson, visszaadják a fejlesztőnek és mondják, hogy javítsák ki. Addig meg fog őszülni, mire ez elkészül, hiszen sokszor fogalmuk nincs, mi a hiba. Amennyiben azonban forráskód vizsgálatot rendelnek el, úgy sorról-sorra lehet ellenőrizni, így könnyebben meg lehet mondani, hogy mitől és hol van pontosan a sérülékenység.