Miért nehéz sok szervezet számára lépést tartani az egyre fejlődő vírusokkal és hatékonyan kezelni a kiberkockázatokat?
A pénzügyi szolgáltató vállalatok hosszú ideje a kiberbűnözők népszerű célpontjai. Az ESET kiberbiztonsági szakértői szerint ennek jó oka van, hiszen a pénz mellett rengeteg bizalmas ügyféladatot is kezelnek, amelyeket a bűnözők különféle átverésekhez tudnak felhasználni, vagy épp eladják azokat az internet fekete piacain. A Verizon 2020-as adatsértési jelentéséből kiderül, hogy a pénzügyi ágazatot csak az elmúlt évben több mint 1500 incidens érte, köztük 448 megerősített adatlopással.
A régóta velünk lévő kiberfenyegetések mellett a legtöbb vállalatnak még a távoli munkára való gyors átállással is meg kellett küzdenie. A váltás rendkívül rövid időn belül ment végbe, így a vállalatoknak kevés ideje maradt a megfelelő kiberbiztonsági intézkedések bevezetésére, valamint arra, hogy felkészítsék az alkalmazottakat a rájuk leselkedő fenyegetésekre. Bár a járványhelyzet javult, a távoli munka velünk marad – és felkerült azon kihívások listájára, melyekkel a vállalatoknak számolniuk kell, amikor kidolgozzák a kiberbiztonsági terveiket és irányelveiket.
Az ESET szakemberei összegyűjtöttek öt jellemző nehézséget, ami miatt a vállalatok folyamatosan küszködnek a megfelelő kiberbiztonsági körülmények kialakításával.
1. Szakemberhiány
Sok vállalat vadászik akár tapasztalt, akár feltörekvő kiberbiztonsági szakemberekre, hogy segítsenek nekik a különböző fenyegetések elleni védelem kialakításában, ám egyszerűen nincs elegendő jelölt. Bár a kiberbiztonsági munkaerőhiány évek óta először mutat csökkenő tendenciát, globális szinten még mindig 3,12 millióval kevesebb szakember van a szükségesnél. A globális szakemberhiány pótlásához az Egyesült Államokban 41 százalékkal, világszerte pedig 89 százalékkal kellene növekednie a foglalkoztatásnak. Tehát a legjobb és legtehetségesebb kiberbiztonsági szakemberek megszerzéséhez a vállalatoknak versenyképes fizetéseket és inspiráló munkalehetőségeket kell kínálniuk.
2. Elégtelen költségvetés
Szintén kiemelt probléma, hogy a kiberfenyegetések leküzdéséhez nem elegendő a vállalatok kiberbiztonságra elkülönített költségvetése. Az Ernst and Young tanácsadó cég által végzett felmérésben a megkérdezett szervezetek 87 százaléka válaszolta azt, hogy nincs elegendő büdzséjük a kiberbiztonság és ellenálló képesség vágyott szintjének eléréséhez. Az erőforrások hiánya miatt a vállalatok nem tudnak elegendő kiberbiztonsági szakembert alkalmazni vagy olyan technikai intézkedéseket bevezetni, amelyek ellenállóvá tennék őket a különböző kiberfenyegetésekkel szemben.
3. A saját kiberbiztonság túlbecsülése
A vállalatok egyik gyakori hibája a saját kiberbiztonsági intézkedéseik túlértékelése. Bár azt gondolhatják, hogy mindenre fel vannak készülve, egyáltalán nem biztos, hogy a legjobb biztonsági rés kezelési irányelveket alkalmazzák. Erre jó – ugyanakkor sajnálatos – példa a BlueKeep biztonsági rése a Windowsban. A Microsoft mindenkit felszólított a 2019 májusában kiadott javítás letöltésére, majd egy hónappal később a Nemzetbiztonsági Ügynökség is kiadta saját figyelmeztetését – azonban júliusban még mindig több mint 805 ezer gép volt kiszolgáltatva annak a biztonsági hibának, ami a novemberi első BlueKeep-támadásokhoz vezetett. Egy ilyen súlyos sebezhetőség javításának semmilyen körülmények között sem szabadna hat hónapon át húzódnia.
4. Tájékoztató tréningek hiánya
Egy másik gyakori ok, amely aláássa a vállalat kiberbiztonságát, ha az alkalmazottak nem részesülnek megfelelő kiberbiztonsági képzésben. A koronavírus okozta távmunkára való áttéréssel csak tovább nőtt annak kockázata, hogy az alkalmazottak egy átverés miatt rosszindulatú programokat töltenek le vagy kiadják a vállalati hitelesítő adataikat. A Ponemon Intézet tanulmánya szerint bár megugrott a vállalatok által észlelt kibertámadások (ideértve az adathalász és az emberi tényezőre építő social engineering támadásokat is) száma a járvány ideje alatt, a válaszadók 24 százaléka érezte úgy, hogy szervezeteik nem biztosítottak számukra megfelelő tréninget a távmunkával kapcsolatos kockázatokról. Aggasztó adat, hogy a tanulmány szerint a vállalatok több mint fele nem rendelkezik a távoli munkát végzőkre vonatkozó biztonsági szabályzattal.
5. A kiberbiztonság fontosságának alulértékelése
Egyes szervezetek alábecsülik a kiberbiztonság értékét, ehelyett más, általuk érdemesebbnek tartott területekbe fektetnek, például a terjeszkedés finanszírozásába vagy új termékek fejlesztésébe. Amellett érvelnek, hogy a költségek meghaladják az előnyöket, például a kiberbiztonsági intézkedések anyagi vonzata felülmúlja az adatsértésből eredő esetleges veszteségeket. Bár a lehetséges pénzbüntetések és pénzveszteségek rövidtávon alacsonyabbak lehetnek, a vállalat hírnevének csorbulása hosszútávon nagyobb kieséshez vezethet, ideértve az ügyfelek bizalmának elvesztését is, ami a bevételi forrásokat is sújtja. Ráadásul egy támadás során a kiberbűnözők akár szellemi tulajdonhoz is hozzáférhetnek, amelyet aztán a dark weben árusíthatnak az ügyféladatokkal együtt. Éppen ezért a kiberbiztonság fontosságát nem szabad alulértékelni, mivel az mind a vállalat, mind az ügyfelek védelmét szolgálja.
Kibertámadás esetén a fent említett tényezők bármely kombinációja jelentős kárt okozhat egy szervezet működésében. Jó hír, hogy a pénzügyi szolgáltató vállalatok vezetői elkezdték komolyan venni a kiberbiztonsági aggályokat. A McKinsey globális menedzsment tanácsadó cég által megkérdezett igazgatói bizottságok 95 százaléka azt állítja, hogy évente legalább négyszer megvitatják a kiber- és a technológiai kockázatokat. Az ESET szakértői ehhez hozzáteszik, hogy a felsővezetés tudatosságának növelésével párhuzamosan megfelelő összegeket kell fektetni a kiberbiztonsági megoldások használatába, valamint a dolgozók színvonalas képzésébe is.