Az adatszivárgás elleni védelem témájában a legtöbb felmérés külföldi adatokon alapul. Ezért a Compliance Data Systems Kft. úgy határozott, hogy egy olyan kutatásba kezd, amelynek eredményeként egy objektív képet kaphat a hazai viszonyokról, az IT-biztonsági piac jelenlegi állapotáról és az uralkodó trendekről. A felmérésben résztvevők összesen több mint 30 szektort képviseltek. A legtöbb megkérdezett a pénzügyi, az IT és a szolgáltatási területeken megfigyelhető biztonsági helyzet feltérképezésében nyújtott segítséget.
Bíztató adat, hogy a válaszadók 70 százaléka már hallott valamilyen adatszivárgás elleni védelemről, ugyanakkor majdnem harmaduknál nem használnak semmiféle adatvédelmi megoldást. Az alkalmazott eszközök közül a merevlemez-titkosítás a legelterjedtebb (20 százalék), amelyet a portvédelem követ (17 százalék), míg DLP szoftvert csak mintegy 14 százaléknyian használnak.
Adatosztályozás
A vállalatok több mint felénél osztályozottak az adatok, de az ezzel kapcsolatos feladatokat jelentős részben a dolgozók saját maguk végzik, ami biztonsági szempontból aggályos. A szervezetek közel 15 százalékánál semmiféle adatosztályozás nincs, azaz a dolgozók és a vezetők sem mindig tudják megállapítani, hogy melyik adat a bizalmas és melyik nem. Az adatok használatának szabályozása, illetve az ezekhez kapcsolódó oktatás csak a cégek felénél jellemző. 23 százalékuknál csak szabályozás van, oktatás nincs. A válaszadók ötödénél pedig szabályozással és biztonsági képzésekkel sem foglalkoznak.
Mobilbiztonság
A vállalatok 45 százalékánál használnak dolgozók tulajdonában lévő hordozható vagy asztali számítógépeket, melyeknek csupán 30 százalékán van ugyanolyan szintű védelem, mint a vállalati gépeken. A mobileszközök védelmével kapcsolatban a tapasztalat az, hogy a cégek felénél használnak okostelefont, táblagépet, és ezek negyede a munkavállalók tulajdonában van.
Azonosítás
Az azonosítással kapcsolatos kérdések értékelésekor kiderült, hogy a vállalatok több mint felénél nincs kétfaktoros hitelesítés. Ahol van, ott a fizikai, hardveres, tokenalapú azonosítás a legelterjedtebb megoldás, amit a szoftveres azonosítás követ.
Szivárgó adatok
Az adatszivárgási esetekről szóló kérdésekre adott válaszokból kiderült, hogy a felmérésben résztvevők közel 65 százalékának nincs tudomása adatszivárgási incidensekről, ami természetesen nem azt jelenti, hogy ezek az esetek nem is léteznek. Inkább arról van szó, hogy a legtöbbször a vállalatok maguk sem észlelik ezeket, illetve a legtöbb felfedezett incidenst a vezetőség igyekszik titokban tartani. Ezt tükrözi az is, hogy a válaszadók 81 százaléka megbecsülni sem tudja, hogy mekkora kár érhette a cégét egy adatszivárgási esemény kapcsán. A válaszokból kitűnik, hogy a százezres nagyságú kár a leggyakoribb, ugyanakkor a tízmillió forint feletti veszteség gyakoribb, mint a milliós kár.
A leggyakoribb adatszivárgási incidensek során a munkavállalók küldenek ki bizalmas adatokat e-mailben vagy más módon, de ugyanilyen gyakoriságú az elveszett laptopok okozta adatvesztés is. Ugyancsak komoly kockázatokat vet fel a mobil készülékek elkallódása.
Sokat kell még fejlődni
A felmérés alapján kijelenthető, hogy a vállalatok többségénél nincs egységes koncepció az adatszivárgási esetek kezelésére. Egyharmaduk csak egy incidens után hoz szabályokat, 30 százalékuk utólagosan oktatja a munkavállalókat, 12 százalékuk fegyelmi eljárásokat indít, és alig egytizedük tesz jogi lépéseket.
Ahogy a felmérésből kiderült a vállalatok munkatársai sokszor nincsenek tisztában az adatszivárgás okozta károk nagyságával. Pedig az ismert, többmilliós nagyságrendű károkkal járó adatszivárgások mértéke arra enged következtetni, hogy a nem ismert adatszivárgási esetek kárértéke jóval nagyobb is lehet. A CDSYS szerint a cégeknek érdemes lehet elgondolkodniuk a megfelelő IT-biztonsági szabályzatok kialakításán és betartatásán, az alkalmazottak folyamatos biztonsági képzésén, illetve egy hatékony adatszivárgás elleni megoldás bevezetésén.
