A Verizon 2020-as adatsértési jelentéséből kiderül, hogy a pénzügyi ágazatot csak az elmúlt évben több mint ezerötszáz incidens érte, köztük négyszáznegyvennyolc megerősített adatlopással. A régóta velünk lévő kiberfenyegetések mellett a legtöbb vállalatnak még a távoli munkára való gyors átállással is meg kellett küzdenie. A váltás rendkívül rövid időn belül ment végbe, így a vállalatoknak kevés ideje maradt a megfelelő kiberbiztonsági intézkedések bevezetésére, valamint arra, hogy felkészítsék az alkalmazottakat a rájuk leselkedő fenyegetésekre. Bár a járványhelyzet javult, a távoli munka velünk marad – és felkerült azon kihívások listájára, melyekkel a vállalatoknak számolniuk kell, amikor kidolgozzák a kiberbiztonsági terveiket és irányelveiket.

Százmillió T-Mobile ügyfél személyes adataihoz férhettek hozzá a hackerek Ez gyakorlatilag az amerikai T-Mobile összes ügyfele, akiknek többek között a jogosítványuk száma és társadalombiztosítási azonosítójuk is illetéktelenek birtokába juthatott.

Az ESET szakemberei összegyűjtöttek öt jellemző nehézséget, ami miatt a vállalatok folyamatosan küszködnek a megfelelő kiberbiztonsági körülmények kialakításával.

Szakemberhiány

Számos vállalat vadászik akár tapasztalt, akár feltörekvő kiberbiztonsági szakemberekre, hogy segítsenek nekik a különböző fenyegetések elleni védelem kialakításában, ám egyszerűen nincs elegendő jelölt. Bár a kiberbiztonsági munkaerőhiány évek óta először mutat csökkenő tendenciát,

globális szinten még mindig 3,12 millióval kevesebb szakember van a szükségesnél.

A globális szakemberhiány pótlásához az Egyesült Államokban negyvenegy százalékkal, világszerte pedig nyolcvankilenc százalékkal kellene növekednie a foglalkoztatásnak. Tehát a legjobb és legtehetségesebb kiberbiztonsági szakemberek megszerzéséhez a vállalatoknak versenyképes fizetéseket és inspiráló munkalehetőségeket kell kínálniuk.

Elégtelen költségvetés

Szintén kiemelt probléma, hogy a kiberfenyegetések leküzdéséhez nem elegendő a vállalatok kiberbiztonságra elkülönített költségvetése. Az Ernst and Young tanácsadó cég által végzett felmérésben a megkérdezett szervezetek

nyolcvanhét százaléka válaszolta azt, hogy nincs elegendő büdzséjük a kiberbiztonság és ellenálló képesség vágyott szintjének eléréséhez.

Az erőforrások hiánya miatt a vállalatok nem tudnak elegendő kiberbiztonsági szakembert alkalmazni vagy olyan technikai intézkedéseket bevezetni, amelyek ellenállóvá tennék őket a különböző kiberfenyegetésekkel szemben.

A saját kiberbiztonság túlbecsülése

A vállalatok egyik gyakori hibája a saját kiberbiztonsági intézkedéseik túlértékelése. Bár azt gondolhatják, hogy mindenre fel vannak készülve, egyáltalán nem biztos, hogy a legjobb biztonsági rés kezelési irányelveket alkalmazzák. Erre jó – ugyanakkor sajnálatos – példa a BlueKeep biztonsági rése a Windowsban. A Microsoft mindenkit felszólított a 2019 májusában kiadott javítás letöltésére, majd egy hónappal később a Nemzetbiztonsági Ügynökség is kiadta saját figyelmeztetését – azonban júliusban még mindig több mint nyolcszázötezer gép volt kiszolgáltatva annak a biztonsági hibának, ami a novemberi első BlueKeep-támadásokhoz vezetett. Egy ilyen súlyos sebezhetőség javításának semmilyen körülmények között sem szabadna hat hónapon át húzódnia.

Tájékoztató tréningek hiánya

Egy másik gyakori ok, amely aláássa a vállalat kiberbiztonságát, ha az alkalmazottak nem részesülnek megfelelő kiberbiztonsági képzésben. A koronavírus okozta távmunkára való áttéréssel csak tovább nőtt annak kockázata, hogy az alkalmazottak egy átverés miatt rosszindulatú programokat töltenek le vagy kiadják a vállalati hitelesítő adataikat. A Ponemon Intézet tanulmánya szerint bár megugrott a vállalatok által észlelt kibertámadások (ideértve az adathalász és az emberi tényezőre építő social engineering támadásokat is) száma a járvány ideje alatt, a válaszadók huszonnégy százaléka érezte úgy, hogy szervezeteik nem biztosítottak számukra megfelelő tréninget a távmunkával kapcsolatos kockázatokról. Aggasztó adat, hogy a tanulmány szerint

a vállalatok több mint fele nem rendelkezik a távoli munkát végzőkre vonatkozó biztonsági szabályzattal.

A kiberbiztonság fontosságának alulértékelése

Egyes szervezetek alábecsülik a kiberbiztonság értékét, ehelyett más, általuk érdemesebbnek tartott területekbe fektetnek, például a terjeszkedés finanszírozásába vagy új termékek fejlesztésébe. Amellett érvelnek, hogy a költségek meghaladják az előnyöket, például a kiberbiztonsági intézkedések anyagi vonzata felülmúlja az adatsértésből eredő esetleges veszteségeket.

Bár a lehetséges pénzbüntetések és pénzveszteségek rövidtávon alacsonyabbak lehetnek, a vállalat hírnevének csorbulása hosszútávon nagyobb kieséshez vezethet, ideértve az ügyfelek bizalmának elvesztését is, ami a bevételi forrásokat is sújtja. Ráadásul egy támadás során a kiberbűnözők akár szellemi tulajdonhoz is hozzáférhetnek, amelyet aztán a dark weben árusíthatnak az ügyféladatokkal együtt. Éppen ezért a kiberbiztonság fontosságát nem szabad alulértékelni, mivel az mind a vállalat, mind az ügyfelek védelmét szolgálja.

Kibertámadás esetén a fent említett tényezők bármely kombinációja jelentős kárt okozhat egy szervezet működésében.

Jó hír, hogy a pénzügyi szolgáltató vállalatok vezetői elkezdték komolyan venni a kiberbiztonsági aggályokat. A McKinsey globális menedzsment tanácsadó cég által megkérdezett igazgatói bizottságok kilencvenöt százaléka azt állítja, hogy évente legalább négyszer megvitatják a kiber- és a technológiai kockázatokat. Az ESET szakértői ehhez hozzáteszik, hogy a felsővezetés tudatosságának növelésével párhuzamosan megfelelő összegeket kell fektetni a kiberbiztonsági megoldások használatába, valamint a dolgozók színvonalas képzésébe is.

(Fotó: Unsplash/Sigmund)

További cikkek a témában:

Hogyan ne dőljünk be a telefonos csalóknak, akik hiteles banki alkalmazottnak tűnnek? Bankszámlákat csapoló telefonos csalók jelentek meg hazánkban, aminek sajnos egy közeli hozzátartozónk is áldozata lett. Ezért szakértőhöz fordultunk, majd szavakba öntöttük tanácsait, hogy olvasóinkkal ilyesmi ne fordulhasson elő.

A social engineering technika a hackerek legújabb aduásza Egy pszichológiai manipulációról beszélünk, melynek célja, hogy az emberek megtévesztve önkéntelenül érzékeny információkat áruljanak el. A módszer során a támadók egy megbízható személynek (kollégáknak, üzleti partnereknek) adják ki magukat annak érdekében, hogy becsapják az áldozatokat, és olyan tevékenységekre vegyék rá őket, amelyek bajba sodorhatják őket vagy munkáltatójukat.

Izraeli kémprogram-botrányok, egyik a másik után, vaskos magyar érintettséggel A Microsoft és a Citizen Lab kanadai egyetemi kutatócsoport, valamint egy francia újságíró-szervezet készítettek röntgenfelvételt a kémszoftver-iparról, és a diagnózis erőteljes magyar érintettséget tárt fel.