A Compliance Data Systems Kft. megismételte tavalyi it-biztonsági felmérését, amely a hazai viszonyokat hivatott feltérképezni az adatszivárgás területén.
A felmérés eredményei szerint jelentősen növekedett a nagy értékű anyagi veszteséggel járó adatszivárgási esetek száma, amelynek egyik lényeges oka a hordozható eszközök elveszéséből adódó esetek számának jelentős növekedése. A vállalatok életében idén már komoly szerepet kaptak a felhő alapú megoldások és a dolgozói tulajdonú eszközök használata (BYOD Bring Your Own Device), amelyek újabb kockázati tényezőket jelentenek.
A nem reprezentatív felmérés eredményei az új trendek (felhő, BYOD) és az ezekkel járó biztonsági kockázatok növekedése mellett, az adatszivárgásból eredő károk emelkedését, illetve a bekövetkezett esetek utáni konkrét biztonsági intézkedések elmaradását mutatják. A válaszadók jelentős része továbbra sem ismeri a megfelelő védelmi eszközöket, és nem is kívánják bevezetni ezeket, ugyanakkor a vállalati és dolgozói mobileszközök egyre elterjedtebb használata láthatóan komoly kihívások elé állítja az it-biztonsági szakembereket.
Kulcs megállapítások
A 2013-as DLP felmérés eredményeinek ismeretében elmondható, hogy nem történt jelentős előrelépés az adatvédelemben idén, sőt az olyan új trendek rohamos terjedésével, mint a felhő vagy a BYOD a biztonsági kockázatok is jelentősen növekedtek. Ennek fényében nem meglepő, hogy az adatszivárgások anyagi veszteségei jelentősen emelkedtek 2013-ban, de sok vállalatnál még így sem történik érdemi utólagos intézkedés az it-biztonság területén, illetve egyre többen a munkavállalók büntetésében látják az adatszivárgás megelőzésének lehetséges megoldását.
A mobileszközök használatának jelentős növekedése, a szabályozás hiánya, a hanyag munkatársak és a rosszindulatú programok egyre veszélyesebbé válása mindenképpen az adatvédelmi megoldások fokozottabb használatát, a megfelelő vállalati szabályozás kialakítását és a preventív megközelítést sürgeti. A Big Data korában az vállalati adatok váltak az egyik legértékesebb tulajdonná, így a megfelelő és folyamatosan fejlődő védelem kialakításának hiánya komoly anyagi- és presztízsveszteségeket okozhat a vállalatok számára.
Részletes eredmények
A CDSYS 2013-as DLP felmérése résztvevőinek többsége idén is a kkv szektorból érkezett, amelyet – hasonlóan a tavalyi részvételi arányokhoz – a nagyvállalatok és a 100-300 fős vállalkozások képviselői követnek. Az online felmérésben idén már többen vettek részt, mint tavaly, a számos területről érkező közel százötven válaszadó véleménye jól tükrözi a hazai it-biztonsági viszonyokat.
A válaszok számos területről érkeztek, a kutatás során több mint 30 iparág képviselői válaszoltak a feltett kérdésekre. A legnagyobb válaszadói csoport az informatikai szektorból érkezett, amelyet a pénzügyi és az állami, közigazgatási területek követnek, de a kérdőív kitöltésében részt vettek a telekommunikáció, oktatás, logisztika és a média területén tevékenykedő vállalatok képviselői is.
Az adatszivárgási megoldások ismerete viszonylag magas, ugyanakkor a válaszadók közel ötöde (19 százalék) nem használ semmiféle adatszivárgás elleni megoldást, viszont pozitív tendencia, hogy a cégek egy része már többféle megoldást is használ. A védelemmel rendelkező vállalatoknál idén már magasan a portvédelem a legelterjedtebb megoldás (55,6 százalék), amelyet a merevlemez titkosítás (48,4 százalék) és az email titkosítás követ.
Az adatok vállalati osztályozásánál nincsenek jelentős eltérések a tavalyi adatokhoz képest. A válaszadók cégeinek 60 százalékánál osztályozzák az adatokat, de az esetek felében (29,4 százalék) ezt maguk a dolgozók végzik, ami adatbiztonsági szempontból aggályos. Az adatok használatának szabályozása, illetve az ezekhez kapcsolódó oktatás csak a cégek felénél jellemző, 34 százaléknál csak szabályozás van oktatás nélkül, illetve a cégek közel ötödénél sem szabályozás, sem oktatás nincs.
A vállalatok 45 százalékánál használnak dolgozói tulajdonú hordozható, vagy asztali számítógépet, amelyeknek csupán 30 százalékán van ugyanolyan szintű védelem, mint a vállalatnál, és a gépek 15 százalékán semmiféle védelmi megoldás nincs. A manapság kulcsfontosságú téma, a mobileszközök védelmével kapcsolatban a tapasztalat, hogy a vállalatok felénél használnak okostelefont és táblagépet és ezek negyede a munkavállalók tulajdonában van. A dolgozók tulajdonában lévő okostelefonok aránya nagyobb, de a magántulajdonú táblagépek is kezdenek elterjedni vállalati környezetben, ami kritikus tényező lehet az adatszivárgás elleni védelemben.
A vállalatoknál idén kis mértékben csökkent a dolgozói tulajdonú számítógépek használata, ugyanakkor a terjedőben lévő BYOD trend következményeként növekedett a munkavállalók tulajdonában lévő okostelefonok és táblagépek használata a vállalati környezetben. A megkérdezettek szerint a vállalatok több mint felénél van a mobileszközök használatához kapcsolódó szabályozás, ennek ellenére az elvesztett laptopok és mobiltelefonok által bekövetkezett adatszivárgási esetek jelentősen emelkedtek az idei évben.
A vállalatok közel felében használnak valamilyen felhőalapú megoldást, amelyek közül a legelterjedtebb a szoftverszolgáltatás (SaaS – Software as a Service) és az infrastruktúra szolgáltatás (IaaS – Infrastructure as a Service). Felhő alapú biztonsági megoldást mindössze a válaszadók 17,5 százaléka használ.
Az adatszivárgási esetekről szóló kérdésekre adott válaszokból kiderül, hogy a vállalatok dolgozóinak közel 60 százaléka nem tud adatszivárgási incidensekről. A CDSYS tapasztalatai szerint ezt a viszonylag magas számot az indokolja, hogy a legtöbb esetben a vállalat maga sem észleli ezeket az incidenseket, illetve az adatszivárgási esetek nagy részét a vállalat vezetése igyekszik titokban tartani. Ezzel összhangban a válaszadók közel háromnegyede nem tudja megbecsülni az adatvesztés pontos mértékét és az elszenvedett anyagi kárt.
A válaszadók tudomására jutott anyagi károk mértéke a tavalyi adatokhoz képest jelentősen emelkedett. A százezres összegben mérhető károk száma csökkent ugyan (7,9 százalékról, 3,3 százalékra), ugyanakkor a milliós és tízmilliós összegű károk száma jelentősen növekedett (milliós: 4,4 százalékról, 13,3 százalékra, tízmilliós: 6,1 százalékról, 9,2 százalékra).
Az adatvesztési eseteket követő intézkedéseket kutatva, figyelemre méltó adat, hogy a munkavállalókkal szembeni fegyelmi eljárások száma több mint a duplájára emelkedett, és a jogi eljárások száma is növekedett, ugyanakkor a szabályozások létrehozásának száma csökkent. Örvendetes adat, hogy az utólagos oktatások és a bevezetett adatvédelmi megoldások száma is növekedett, de sajnos a vállalatok közel 40 százaléka semmilyen utólagos intézkedést nem tett az bekövetkezett adatszivárgási esetek után.
