Az alkalmazottak több mint fele olyan vállalati adatokhoz is hozzáfér, amelyekhez egyáltalán nem kellene
Napjainkban a nagyvállalatok, illetve a sok főt foglalkoztató kkv-k számos olyan csúcstechnológiát képviselő védekezési mechanizmussal, megoldással látják el az informatikai rendszereiket, amelyek erős védvonalként állnak ellen a külső behatolási kísérleteknek. Mégsem lehet azt mondani, hogy a cégek vezetői hátra dőlhetnének. A trend ugyanis már jó ideje az a világban, így nálunk is, hogy frontális támadás helyett az adatokhoz a hozzáférést a munkavállalók (önként vállalt vagy rákényszerített módon) bevonásával valósítják meg a kiberbűnözők, az információkkal visszaélő profi adathalászok.
Döbbenetes tapasztalati tény, hogy a magyar vállalatok háromnegyedénél szintén fordult már elő kisebb vagy nagyobb adatszivárgás, Az adatokhoz való illetéktelen hozzáférés a cégek figyelmetlenségének, az alkalmazottak szabályozatlan jogosultságainak kihasználásával. Ezeket természetesen senki sem teszi ki az ablakba, de a rendszeres felmérések, auditok ezt a helyzetet sajnos évről évre alátámasztják. Természetesen a piac nem maradt tétlen. Nemzetközi színtéren az Európai Bankhatóság (EBA) az elsők közt foglalt állást és tett ajánlásokat ezen a téren. Már 2019-ben a legfontosabb elvégzendő biztonsági intézkedések körébe sorolta a jogosultságok rendszeres felülvizsgálatát a pénzügyi intézményeknél a belülről támogatott informatikai támadások rizikójának csökkentése érdekében.
„Az EBA által kiadott előirányzatok túlmutatnak a pénzügyi szektoron. Magyarországon is számtalan gazdasági ágazatot jellemez a vállalati adatokhoz való hozzáférések rendezetlensége. Munkánk során láttunk példát arra, hogy adminisztratív feladatokat ellátó dolgozók nem csupán ráláttak az adott cég szenzitív pénzügyi adatbázisára, de onnan bármelyik percben információkat tölthettek volna le, ha úgy tartja az érdekük. Egyszerűen csak azért, mert a vállalatoknál – minél kisebbek annál jellemzőbb módon – még sokszor ma is a megszokások és a szabad munkafolyamat menedzsment logika alapján dől el az, hogy ki, mit láthat, használhat a belső hálózatokon. Ez pedig nem eredményez mást, mint azt, hogy állandósul az adatszivárgás lehetősége, és ami még fájóbb a cégvezetőknek, hogy a hozzáférések alapján kiosztott licenszek tömkelege után kell díjat fizetniük, még akkor is, ha azt a jogosult kollégák közül sokan egyáltalán nem használják. Felesleges pénzégetés” – állapítja meg Mihály Tamás, a licenszköltség megtakarítását és az IT biztonság megerősítést kombináló megoldás, a TheFence megálmodója.
A szakember szerint a trendek, a szaporodó adatlopások, az egyre sikeresebb adathalász próbálkozások, zsarolóvírus támadások alapján leszűrhető konklúziók mind abba az irányba mutatnak, hogy korántsem elég ma már csak a tűzfalak mögé rejteni a vállalati dokumentumokat. Akár felhőben, akár saját rendszereken tárolják a cégek az adataikat, csak akkor csökkenthetik igazán az őket fenyegető rizikót, ha pontosan meghatározzák és időről időre felülvizsgálják, hogy személy szerint ki, mihez férhet hozzá, valamint akár azt is, hogy honnan tölthet le és milyen hordozón tárolhat bármilyen vállalati információt. Mihály Tamás szerint ez az a gyökérprobléma, amelyet, ha nem kezelnek súlyának megfelelően a cégek, akkor előre kódolják a kisebb, vagy nagyobb adatvesztéseket, az információk illetéktelen kezekbe kerülését, ami ráadásul a pénzügyi kockázatokon túl, akár piaci versenyhátrányhoz is vezethet.
A TheFence stratégája első lépésben azt javasolja a vállalatvezetőknek, informatikai vezetőknek, hogy a társosztályok (hr, pénzügy, jog stb.) és külső szakértő bevonásával, valamint megfelelő eszközökkel rendszeresen vizsgálják meg felhasználóikat és a jogosultsági szerepkörtartalmaikat. Ezzel együtt mérjék fel a reális kockázatokat és zárják ki, amennyire csak lehet azokat a hozzáféréseket és felhasználókat, amelyek egyrészt a kihasználatlanságuk miatt licensz szempontból csak viszik a pénzt, másrészt potenciálisan lehetőséget adnak bármilyen vállalati információ tudatlanságból fakadó, vagy rossz szándékú kiszivárgásának.