Vajon miért olyan nehéz sok cég, vállalat, szervezet számára védekezni, lépést tartani az egyre fejlődő vírusokkal és hatékonyan kezelni a kiberkockázatokat? Mondunk rá 5 okot...
A pénzügyi szolgáltató vállalatok hosszú ideje a kiberbűnözők népszerű célpontjai. Ezek a pénz mellett rengeteg bizalmas ügyféladatot is kezelnek, amelyeket a bűnözők különféle átverésekhez tudnak felhasználni, vagy épp eladják azokat az internet fekete piacain.
A Verizon 2020-as adatsértési jelentéséből kiderül, hogy a pénzügyi ágazatot csak az elmúlt évben több mint 1500 incidens érte, köztük 448 megerősített adatlopással.
A régóta velünk lévő kiberfenyegetések mellett a legtöbb vállalatnak még a távoli munkavégzésre való gyors átállással is meg kellett küzdenie. A váltás rendkívül rövid időn belül ment végbe, így a cégeknek kevés ideje maradt a megfelelő kiberbiztonsági intézkedések bevezetésére, valamint arra, hogy felkészítsék az alkalmazottakat a rájuk leselkedő fenyegetésekre.
Bár a járványhelyzet azóta javult, a távmunka velünk marad - és felkerült azon kihívások listájára, melyekkel a vállalatoknak számolniuk kell, amikor kidolgozzák a kiberbiztonsági terveiket és irányelveiket. Az ESET kiberbiztonsági szakemberei összegyűjtöttek öt jellemző nehézséget, ami miatt a vállalatok folyamatosan küszködnek a megfelelő kiberbiztonsági körülmények kialakításával.
1. Szakemberhiány
Sok vállalat vadászik akár tapasztalt, akár feltörekvő kiberbiztonsági szakemberekre, hogy segítsenek nekik a különböző fenyegetések elleni védelem kialakításában, ám egyszerűen nincs elegendő jelölt. Bár a kiberbiztonsági munkaerőhiány évek óta először mutat csökkenő tendenciát, globális szinten még mindig 3.12 millióval kevesebb szakember van a szükségesnél.
A globális szakemberhiány pótlásához az Egyesült Államokban 41 százalékkal, világszerte pedig 89% kellene növekednie a foglalkoztatásnak. Tehát a legjobb és legtehetségesebb kiberbiztonsági szakemberek megszerzéséhez a vállalatoknak versenyképes fizetéseket és inspiráló munkalehetőségeket kell kínálniuk.
2. Elégtelen költségvetés
Szintén kiemelt probléma, hogy a kiberfenyegetések leküzdéséhez nem elegendő a vállalatok kiberbiztonságra elkülönített költségvetése. Az Ernst and Young tanácsadó cég által végzett felmérésben a megkérdezett szervezetek 87%-a válaszolta azt, hogy nincs elegendő büdzséjük a kiberbiztonság és ellenálló képesség vágyott szintjének eléréséhez.
Az erőforrások hiánya miatt a vállalatok nem tudnak elegendő kiberbiztonsági szakembert alkalmazni vagy olyan technikai intézkedéseket bevezetni, amelyek ellenállóvá tennék őket a különböző kiberfenyegetésekkel szemben.
3. A saját kiberbiztonság túlbecsülése
A vállalatok egyik gyakori hibája a saját kiberbiztonsági intézkedéseik túlértékelése. Bár azt gondolhatják, hogy mindenre fel vannak készülve, egyáltalán nem biztos, hogy a legjobb biztonsági rés kezelési irányelveket alkalmazzák. Erre jó - ugyanakkor sajnálatos - példa a BlueKeep biztonsági rése a Windowsban.
A Microsoft mindenkit felszólított a 2019 májusában kiadott javítás letöltésére, majd egy hónappal később a Nemzetbiztonsági Ügynökség is kiadta saját figyelmeztetését - azonban júliusban még mindig több mint 805 ezer gép volt kiszolgáltatva annak a biztonsági hibának, ami a novemberi első BlueKeep-támadásokhoz vezetett. Egy ilyen súlyos sebezhetőség javításának semmilyen körülmények között sem szabadna hat hónapon át húzódnia.
4. Tájékoztató tréningek hiánya
Egy másik gyakori ok, amely aláássa a vállalat kiberbiztonságát, ha az alkalmazottak nem részesülnek megfelelő kiberbiztonsági képzésben. A koronavírus okozta távmunkára való áttéréssel csak tovább nőtt annak kockázata, hogy az alkalmazottak egy átverés miatt rosszindulatú programokat töltenek le vagy kiadják a vállalati hitelesítő adataikat.
A Ponemon Intézet tanulmánya szerint bár megugrott a vállalatok által észlelt kibertámadások (ideértve az adathalász és az emberi megtévesztésre építő social engineering támadásokat is) száma a járvány ideje alatt, a válaszadók 24 százalékuk érezte úgy, hogy szervezeteik nem biztosítottak számukra megfelelő tréninget a távmunkával kapcsolatos kockázatokról. Aggasztó adat, hogy a tanulmány szerint a vállalatok több mint fele nem rendelkezik a távoli munkát végzőkre vonatkozó biztonsági szabályzattal.
5. A kiberbiztonság fontosságának alulértékelése
Egyes szervezetek alábecsülik a kiberbiztonság értékét, ehelyett más, általuk érdemesebbnek tartott területekbe fektetnek, például a terjeszkedés finanszírozásába vagy új termékek fejlesztésébe. Amellett érvelnek, hogy a költségek meghaladják az előnyöket, például a kiberbiztonsági intézkedések anyagi vonzata felülmúlja az adatsértésből eredő esetleges veszteségeket.
Bár a lehetséges pénzbüntetések és pénzveszteségek rövidtávon alacsonyabbak lehetnek, a vállalat hírnevének csorbulása hosszútávon nagyobb kieséshez vezethet, ideértve az ügyfelek bizalmának elvesztését is, ami a bevételi forrásokat is sújtja. Ráadásul egy támadás során a kiberbűnözők akár szellemi tulajdonhoz is hozzáférhetnek, amelyet aztán a dark weben árusíthatnak az ügyféladatokkal együtt. Éppen ezért a kiberbiztonság fontosságát nem szabad alulértékelni, mivel az mind a vállalat, mind az ügyfelek védelmét szolgálja.
Kibertámadás esetén a fent említett tényezők bármely kombinációja jelentős kárt okozhat egy szervezet működésében. Jó hír, hogy a pénzügyi szolgáltató vállalatok vezetői elkezdték komolyan venni a kiberbiztonsági aggályokat. A McKinsey globális menedzsment tanácsadó cég által megkérdezett igazgatói bizottságok 95%-a azt állítja, hogy évente legalább négyszer megvitatják a kiber- és a technológiai kockázatokat.
Az ESET szakértői ehhez hozzáteszik, hogy a felsővezetés tudatosságának növelésével párhuzamosan megfelelő összegeket kell fektetni a kiberbiztonsági megoldások használatába, valamint a dolgozók színvonalas képzésébe is.