A kiberbűnözés sokáig a bankszféra „kiváltsága” volt, mára azonban a legkisebbtől a legnagyobb vállalatig mindenkit fenyeget, még a legfiatalabb startupokat is. A magyar vállalati szféra ráadásul különösen érintett, mivel a cégek közül sokan nagyvállalatok szoftverfejlesztő partnerei. Zala Mihály, az EY kibervédelmi szolgáltatásainak üzletágvezetője szerint a vállalatoknak a kibertámadások kivédése és a megelőzés mellett komoly kihívást jelent a jövő májusban életbe lépő uniós adatvédelmi szabályozásnak való megfelelés is, ezért nem véletlen, hogy sokan fordulnak külső tanácsadóhoz.
A digitalizációval egyre gyorsuló ütemben hódít teret a kiberbűnözés: a visszaélések hagyományos formáit felváltja az adatokkal való visszaélés. Míg korábban fényképezőgéppel, emberek lefizetésével szerezték meg versenytársak egymás titkait, napjainkban ez teljesen átkerült a digitális térbe: kiberbűnözök megbízásával szerzik meg a potenciális versenytársak adatait. Az ipari kémkedés pedig már bármely szektort és bármilyen nagyságú vállalatot fenyeget. Egyes kimutatások szerint a kibertámadások 60-70 százaléka nem is nagyvállalatot céloz, hanem kkv-t, sőt startupot. Ők helyezkednek el ugyanis az ellátási lánc elején, ők a beszállítói és megvalósítói a nagyvállalatok fejlesztéseinek.
– Milyen formában jelentkeznek leginkább a támadások?
– Magától értetődik, hogy a legfontosabb a tárolt adat védelme – egy-egy adatlopás a legtöbb cég számára végzetes lehet. A vállalkozásoknak ugyanakkor nemcsak arra kell figyelniük, hogy más ne férjen hozzá az adataikhoz, hanem arra is, hogy ne váljanak elérhetetlenné az adataik. A 2016-os év slágere a kibertámadások körében éppen az úgynevezett ransomware vírusoknak esett áldozatul számos magyar cég, köztük kórházak, termelővállalatok vagy akár fejlesztőcégek is. A támadók ilyenkor nem lopják el az adatokat, csak elérhetetlenné teszik a vállalat számára és zsarolásra használják fel.
– Hogyan tudnak felkészülni a cégek ezekre az újszerű támadásokra, milyen eszközök állnak rendelkezésre a védekezésben?
– Ahogyan megtanultuk kezelni a kéretlen adathalász e-maileket, vagy azt, hogyan kell jelszavakat megfelelően megválasztani és titokban tartani, ugyanúgy a vállalatoknak is meg kell tanulniuk, hogyan építsenek fel biztonságos rendszereket, milyen eljárásokat és védelmi intézkedéseket kell foganatosítaniuk adataik védelmére. Az egyik ilyen védelmi intézkedésként lehet tekinteni a napjainkban oly sokszor említett sérülékenységi vizsgálatokra, amelyek továbbra is a hatékony védekezési stratégiák elengedhetetlen részét képezik.
– Ez egy nagy cégnél, gondolom, előírás, de mit tehet egy kkv, ahol a jogtiszta szoftverek és a vírusirtó programok merítik ki az it-biztonság fogalmát?
– A vállalkozások döntő többsége – és itt egyaránt gondolok kis- és nagyvállalatra – sajnos még nem tanulta meg, hogy a kiberfenyegetésekre folyamatos védelmi intézkedésekkel kell válaszolni. A különbség abban áll, hogy a kkv-k és a startup vállalkozások rögtön ki is adják a kezükből a védekezés lehetőségét azzal, hogy szolgáltatóktól vesznek igénybe informatikairendszer-üzemeltetést. Ezért sem lehetőségük, sem erőforrásuk nincs a rendszereik folyamatos felügyeletére és ellenőrzésére. A nagyvállalatok ezzel szemben maguk biztosítják a megfelelő rendszereket és igyekeznek ezeket felügyelni, karbantartani. Ezzel együtt persze a döntéshozók ebben az esetben sem lehetnek tökéletesen biztosak abban, hogy védett a vállalat adattulajdona.
– Miért nem?
– A folyton megújuló támadásokkal – különösen mivel egyre több és egyre összetettebb rendszerekről van szó egy információközpontú társadalomban – csak magasan képzett és gyakorlati tudással rendelkező szakemberek képesek felvenni a versenyt. Ezért a kibertámadások elleni védekezésben ma a legfontosabb az oktatás és a gyakorlat. Jelenleg Magyarországon háromféle képzés létezik (mérnökinformatikus, programtervező, gazdasági informatikus) és egyik sem fókuszál a kibervédelemre. A helyzetet tovább árnyalja, hogy az információbiztonsági tevékenység még tovább differenciálódott, jelenleg számos területen kell egyszerre képzettnek és tapasztaltnak lenni annak a CIO-nak, aki biztonságban akar tudni egy nagyvállalati környezetet.
– Vagy felépít magának egy minden szakterületet lefedő, tapasztalt csapatot.
– Ilyen csapatot azért komoly munka felépíteni. Tudom, mert megtettem. De komolyra fordítva a szót, ezért is van létjogosultságuk a külső tanácsadóknak. Ebben a helyzetben mind a kkv-k, mind a startupperek és nagyvállalatok (a pénzügyi intézmények ezt már régóta így végzik) külső szakértőt bíznak meg a védelmi feladatok elvégzésével. Már arra is van példa, hogy nem eseti problémával vagy ellenőrzéssel fordulnak hozzánk, hanem folyamatos tanácsadó tevékenység mellett, úgynevezett „threat intelligence” szolgáltatást nyújtunk.
– Segít vagy akadályoz a jövőre életbe lépő uniós rendelet, a GDPR?
– A legnagyobb nehézséget abban látom, hogy sok vállalat nem is tudja, pontosan minek kell majd megfelelnie. Az új uniós adatvédelmi szabályozás a legkisebbtől a legnagyobbik mindenkit érinteni fog, és kimondottan jelentős bírságokat irányoz elő. A legnagyobb figyelem a webes áruházat is üzemeltető vállalkozásokra irányul majd, amelyek személyes és pénzügyi információkat is kezelnek.
(Cikkünk nyomtatásban 2017 februárjában jelent meg a Biztonságpiac Évkönyvben. A -szerk- megj.)
EZ-kibervédelmi szolgáltatások
Az EY olyan egyedi metodológiával és tapasztalattal rendelkezik a biztonsági betörések, kritikus rendszerek elemzése területén, amely segítséget nyújt a digitális adatvagyon megvédésében, az adatlopások és adatszivárgások megelőzésében. A nyilvánosan elérhető adatok regresszióanalízise és a kritikus rendszerek sérülékenységének vizsgálata segítségével szakértőink képesek feltárni azon gyengeségeket, amelyek a rendszerek kompromittálódásához vagy érzékeny üzleti adataik elvesztéséhez vezethetnek, és konkrét megoldási javaslatokat adnak a problémára. Az EY által végzett komplex rendszervizsgálatok során ügyfeleink olyan átfogó képet kapnak infrastruktúrájuk állapotáról, amelyek nagymértékben támogathatják a vállalat védelmi stratégiájának kialakítását, a kibertámadások megelőzését vagy azok bekövetkezése esetére a megfelelő válaszlépések meghatározását.