Miért nehéz sok szervezet számára lépést tartani az egyre fejlődő vírusokkal és hatékonyan kezelni a kiberkockázatokat? Erre keresték a választ Az ESET kiberbiztonsági vállalat szakemberek, akik öt fő okot azonosítottak.
A régóta velünk lévő kiberfenyegetések mellett a legtöbb vállalatnak még a távoli munkára való gyors átállással is meg kellett küzdenie. A váltás rendkívül rövid időn belül ment végbe, így a cégeknek kevés ideje maradt a megfelelő kiberbiztonsági intézkedések bevezetésére, valamint arra, hogy felkészítsék az alkalmazottakat a rájuk leselkedő fenyegetésekre – foglalja össze a közelmúlt történéseit az ESET közleménye. Bár a járványhelyzet javult, a távoli munka velünk marad – és felkerült azon kihívások listájára, melyekkel a vállalatoknak számolniuk kell, amikor kidolgozzák a kiberbiztonsági terveiket és irányelveiket.
A Verizon 2020-ra vonatkozó adatsértési jelentéséből kiderül, hogy a pénzügyi ágazatot csak az elmúlt évben több mint 1500 incidens érte, köztük 448 megerősített adatlopással.
Az ESET szakemberei összegyűjtöttek öt jellemző nehézséget, ami miatt a vállalatok folyamatosan küszködnek a megfelelő kiberbiztonsági körülmények kialakításával.
Szakemberhiány
Sok vállalat vadászik akár tapasztalt, akár feltörekvő kiberbiztonsági szakemberekre, hogy segítsenek nekik a különböző fenyegetések elleni védelem kialakításában, ám egyszerűen nincs elegendő jelölt. Bár a kiberbiztonsági munkaerőhiány évek óta először mutat csökkenő tendenciát, globális szinten még mindig 3,12 millióval kevesebb szakember van a szükségesnél. A globális szakemberhiány pótlásához az Egyesült Államokban 41 százalékkal, világszerte pedig 89 százalékkal kellene növekednie a foglalkoztatásnak. Tehát a legjobb és legtehetségesebb kiberbiztonsági szakemberek megszerzéséhez a vállalatoknak versenyképes fizetéseket és inspiráló munkalehetőségeket kell kínálniuk – hangsúlyozza az elemzés.
Pénzhiány
Szintén kiemelt probléma, hogy a kiberfenyegetések leküzdéséhez nem elegendő a vállalatok kiberbiztonságra elkülönített költségvetése. Az Ernst and Young tanácsadó cég által végzett felmérésben
a megkérdezett szervezetek 87 százaléka válaszolta azt, hogy nincs elegendő büdzséjük a kiberbiztonság és ellenálló képesség vágyott szintjének eléréséhez.
Az erőforrások hiánya miatt a vállalatok nem tudnak elegendő kiberbiztonsági szakembert alkalmazni vagy olyan technikai intézkedéseket bevezetni, amelyek ellenállóvá tennék őket a különböző kiberfenyegetésekkel szemben.
Tájékoztató tréningek hiánya
Egy másik gyakori ok, amely aláássa a vállalat kiberbiztonságát, ha az alkalmazottak nem részesülnek megfelelő kiberbiztonsági képzésben. A koronavírus okozta távmunkára való áttéréssel csak tovább nőtt annak kockázata, hogy az alkalmazottak egy átverés miatt rosszindulatú programokat töltenek le vagy kiadják a vállalati hitelesítő adataikat. Az ESET elemzés idézi a Ponemon Intézet tanulmányát, amely szerint bár megugrott a vállalatok által észlelt kibertámadások – ideértve az adathalász és az emberi tényezőre építő social engineering támadásokat is – száma a járvány ideje alatt, a válaszadók 24 százaléka érezte úgy, hogy szervezeteik nem biztosítottak számukra megfelelő tréninget a távmunkával kapcsolatos kockázatokról.
Aggasztó adat, hogy a tanulmány szerint a vállalatok több mint fele nem rendelkezik a távoli munkát végzőkre vonatkozó biztonsági szabályzattal.
A saját kiberbiztonság túlbecsülése
A vállalatok egyik gyakori hibája a saját kiberbiztonsági intézkedéseik túlértékelése. Bár azt gondolhatják, hogy mindenre fel vannak készülve, egyáltalán nem biztos, hogy a legjobb biztonsági rés kezelési irányelveket alkalmazzák. Erre jó – ugyanakkor sajnálatos – példa a BlueKeep biztonsági rése a Windowsban. A Microsoft mindenkit felszólított a 2019 májusában kiadott javítás letöltésére, majd egy hónappal később a Nemzetbiztonsági Ügynökség is kiadta saját figyelmeztetését – azonban júliusban még mindig több mint 805 ezer gép volt kiszolgáltatva annak a biztonsági hibának, ami a novemberi első BlueKeep-támadásokhoz vezetett. Az ESET szakértői szerint egy ilyen súlyos sebezhetőség javításának semmilyen körülmények között sem szabadna hat hónapon át húzódnia.
A kiberbiztonság fontosságának alulértékelése
Egyes szervezetek alábecsülik a kiberbiztonság értékét, ehelyett más, általuk érdemesebbnek tartott területekbe fektetnek, például a terjeszkedés finanszírozásába vagy új termékek fejlesztésébe.
Amellett érvelnek, hogy a költségek meghaladják az előnyöket, például a kiberbiztonsági intézkedések anyagi vonzata felülmúlja az adatsértésből eredő esetleges veszteségeket.
Bár a lehetséges pénzbüntetések és pénzveszteségek rövidtávon alacsonyabbak lehetnek, ismeri el az ESET elemzése, a vállalat hírnevének csorbulása hosszútávon nagyobb kieséshez vezethet, ideértve az ügyfelek bizalmának elvesztését is, ami a bevételi forrásokat is sújtja. Ráadásul egy támadás során a kiberbűnözők akár szellemi tulajdonhoz is hozzáférhetnek, amelyet aztán a dark weben árusíthatnak az ügyféladatokkal együtt. Éppen ezért a kiberbiztonság fontosságát nem szabad alulértékelni.
Kibertámadás esetén a fent említett tényezők bármely kombinációja jelentős kárt okozhat egy szervezet működésében. Jó hír, hogy a pénzügyi szolgáltató vállalatok vezetői elkezdték komolyan venni a kiberbiztonsági aggályokat. A McKinsey globális menedzsment tanácsadó cég által megkérdezett igazgatói bizottságok 95 százaléka azt állítja, hogy évente legalább négyszer megvitatják a kiber- és a technológiai kockázatokat. Az ESET szakértői ehhez hozzáteszik, hogy a felsővezetés tudatosságának növelésével párhuzamosan megfelelő összegeket kell fektetni a kiberbiztonsági megoldások használatába, valamint a dolgozók színvonalas képzésébe is.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.