Az egyébként is veszélyeztetett kör helyzetét az elmúlt másfél év során tovább nehezítette, hogy a régóta velünk lévő kiberfenyegetések mellett a legtöbb vállalatnak még a távoli, otthoni munkára való gyors átállással járó nehézségekkel is meg kellett küzdenie. A váltás gyors intézkedéseket igényelt, így a pénzügyi szolgáltatóknak kevés ideje maradt a megfelelő kibervédelem kialakítására, valamint arra, hogy felkészítsék az alkalmazottakat a rájuk leselkedő fenyegetésekre. Bár mára a járványhelyzet javult, a távoli munka azonban velünk marad, és felkerült azon kihívások listájára, amelyekkel a vállalatoknak számolniuk kell, amikor kidolgozzák a kiberbiztonsági terveiket és irányelveiket.
A Verizon Wireless 2020-as adatsértési jelentése szerint a pénzügyi ágazatot csak az elmúlt évben több mint 1500 kiberincidens érte. Sőt az amerikai vezeték nélküli hálózati szolgáltató statisztikáiból az is kiderül, hogy ezen belül 448 esetben az adatlopás tényét is megerősítették. A vállalatok előtt álló kihívások pedig nem csökkennek, így ajánlatos egy lépéssel a bűnözők előtt járni. Az ESET internetes biztonságtechnikai cég szakemberei összegyűjtöttek öt jellemző nehézséget, amelyek miatt a vállalatok folyamatosan küszködnek a megfelelő kiberbiztonsági körülmények kialakításával.
Kevés a jó szakember és a ráfordítás
Elsőként a szakemberhiányt említi a biztonságtechnikai tanulmány, megjegyezve, hogy bár sok vállalat vadászik akár tapasztalt, akár feltörekvő kiberbiztonsági szakemberekre, a piacon nincs elegendő jelölt. Igaz, a kiberbiztonsági munkaerőhiány évek óta talán most először némi csökkenő tendenciát jelez, globális szinten még mindig 3,12 millióval kevesebb szakember van a szükségesnél. Vagyis a legjobb és legtehetségesebb kiberbiztonsági szakemberek megszerzéséhez a vállalatoknak versenyképes fizetéseket és inspiráló munkalehetőségeket kell kínálniuk.
Ugyancsak mélyebben kellene a cégeknek a zsebükbe nyúlniuk a második probléma orvoslása érdekében, a kiberfenyegetések leküzdéséhez ugyanis nem elegendő a vállalatok kiberbiztonságra elkülönített költségvetése. Az Ernst and Young tanácsadó cég által végzett felmérésben a megkérdezett szervezetek 87 százaléka válaszolta azt, hogy nincs elegendő költségvetési keretük a kiberbiztonság és ellenálló képesség kívánatos szintjének eléréséhez. Az erőforrások hiánya miatt a vállalatok így nem tudnak elegendő kiberbiztonsági szakembert alkalmazni vagy olyan technikai intézkedéseket bevezetni, amelyek ellenállóvá tennék őket a különböző kiberfenyegetésekkel szemben.
Reálisan kell értékelni a felkészültséget
Komoly problémát jelenthet az is, ha a vállalatok túlságosan bíznak a saját kiberbiztonsági intézkedéseikben. Azt gondolhatják, hogy mindenre fel vannak készülve, miközben egyáltalán nem biztos, hogy a legjobb irányelveket alkalmazzák a biztonsági rések kezelésében. Erre jó – ugyanakkor sajnálatos – példa a BlueKeep biztonsági rése a Windowsban – mutat rá az ESET a gyakorlati tanácsok között. – A Microsoft mindenkit felszólított a 2019 májusában kiadott javítás letöltésére, majd egy hónappal később a Nemzetbiztonsági Ügynökség is kiadta saját figyelmeztetését. Júliusban azonban még mindig több mint 805 ezer gép volt kiszolgáltatva annak a biztonsági hibának, ami a novemberi első BlueKeep-támadásokhoz vezetett. Egy ilyen súlyos malőr korrigálása semmilyen körülmények között sem húzódhatott volna hat hónapon át.
Ám legalább akkora probléma – immáron a negyedik – a kiberbiztonság fontosságának alulértékelése, a túlságos magabiztosság. Egyes szervezetek alábecsülik a kiberbiztonság értékét, ehelyett más, általuk érdemesebbnek tartott területekbe fektetnek. Általában azzal érvelnek, hogy a költségek meghaladják az előnyöket, vagyis a kiberbiztonsági intézkedések anyagi vonzata felülmúlja az adatsértésből eredő esetleges veszteségeket. Bár a lehetséges büntetési összegek és veszteségek rövid távon alacsonyabbak lehetnek, a vállalat hírnevének csorbulása hosszú távon nagyobb kárt okozhat, ideértve az ügyfelek bizalmának elvesztését is. Ráadásul egy támadás során a kiberbűnözők akár szellemi tulajdonhoz is hozzáférhetnek, amelyet aztán kiárusíthatnak az ügyféladatokkal együtt.
Több komolyságra és képzésre van szükség
Végül, de nem utolsósorban gyakori ok, hogy a vállalatok alkalmazottai nem részesülnek megfelelő kiberbiztonsági képzésben. A koronavírus miatti távmunkára való áttéréssel pedig csak tovább nőtt annak kockázata, hogy a munkatársak egy átverés miatt rosszindulatú programokat töltenek le vagy kiadják a vállalati hitelesítő adataikat. A Ponemon Intézet tanulmánya szerint a járvány ideje alatt a válaszadók 24 százaléka érezte úgy, hogy szervezeteik nem biztosítottak számukra megfelelő tréninget a távmunkával kapcsolatos kockázatokról. Az adatok pedig aggasztók: a tanulmány szerint a vállalatok több mint fele nem rendelkezik a távoli munkavégzőkre vonatkozó biztonsági szabályzattal.
Jó hír ugyanakkor, hogy a pénzügyi szolgáltató vállalatok vezetői elkezdték komolyan venni a kiberbiztonsági problémákat. Legalábbis erre utal a McKinsey kutatása, amelynek során a globális menedzsment-tanácsadó cég által megkérdezett igazgatói bizottságok 95 százaléka azt állította, hogy évente legalább négyszer megvitatják a kiber- és a technológiai kockázatokat. Arra azonban nem tértek ki a válaszadás során, hogy ez mekkora költségnövekedéssel jár majd a cégek esetében.
