Nyolcadik alkalommal készítette el a Deloitte a pénzintézeti szektorra vonatkozó globális információbiztonsági felmérését. A felmérésben a világ legnagyobb pénzintézeteinek képviselői közül több mint 250-en vettek részt válaszadóként 39 országból, köztük magyar pénzintézetek vezetői is. A felmérés célja az volt, hogy segítse a szektor szereplőit a vállalatukra és az iparágra jellemző IT-biztonsági gyakorlat megismerésében, továbbá megértsék és a jelentőségüknek megfelelő figyelemmel kezeljék a hiányos információbiztonsággal összefüggő kockázatokat. A vizsgált bankok negyede, a biztosítótársaságok 40 százaléka számolt be arról, hogy informatikai visszaéléseket tapasztalt az elmúlt egy évben.
Antal Lajos, a Deloitte Zrt. Informatikai biztonság és adatvédelem üzletágának vezetője elmondta:
A válaszadók kétharmada állította, hogy a cégüknél az információbiztonság és az üzleti tevékenység összefonódik. A megkérdezettek több mint 50 százaléka szoros munkakapcsolatot tart fenn a működési kockázatok kezeléséért felelős szervezeti egységgel és aktívan együttműködik a vállalati kockázatkezelési funkcióval. A válaszadók szerint az elmúlt évben elsősorban az információbiztonsági irányítási rendszerek, a jogosultságok és hozzáférések kezelése, valamint az információbiztonsági stratégia volt számukra a legfontosabb célterület. Az elmúlt évekhez hasonlóan idén is úgy nyilatkoztak a válaszadók, hogy a megfelelő források hiánya (44 százalék) és az egyre kifinomultabb informatikai fenyegetések (28 százalék) azok a tényezők, amelyek a leginkább megnehezítik a hatékony információbiztonsági rendszerek kiépítését.
A közösségi média, mint kockázat
A közösségi média használatának elterjedésére reagálva a válaszadók 37 százaléka alakította át a mindennapi vállalati működés rendjét, míg a biztonsági kockázatok csökkentése érdekében 33 százalékuk igyekszik felhívni munkatársai figyelmét a közösségi média csatornák használatának veszélyeire. A vizsgált pénzintézetek jelentős része már felmérte a cloud computingban rejlő lehetőségeket: a megkérdezettek 40 százaléka ennek ellenére azt nyilatkozta, hogy eddig még nem alkalmazott cloud computing megoldásokat. Ennek okaiként a technológia kiforratlanságát, a biztonsági kockázatokat, valamint az adott pénzügyi vállalkozásnak a technológia bevezetésére való alkalmatlanságát jelölték meg. Számos cég alkalmazza (vagy tervezi, hogy a közeljövőben alkalmazza) ugyanakkor a mobil VPN, a központi eszközkezelés, illetve a mobil eszközkezelés módszereit a cég mobilitási programja keretében.
A válaszadók ötven százaléka ennek ellenére nem is tervezi, hogy adathalászat megakadályozására szolgáló szoftvereket, külön-külön az alkalmazottaknak és a vevőknek szánt alkalmazásokat, valamint mobileszközök adatvesztését megakadályozó megoldásokat rendszeresítsen a vállalatnál. Ami a mobil eszközök használatát illeti, a vizsgált bankok képviselői szerint a három legfontosabb biztonsági intézkedés: a felhasználási irányelvek megfelelő alkalmazása a fogyasztókkal szemben, a mobil eszközök biztonságos használatának népszerűsítése, valamint a bonyolult jelszavak használatának kötelezővé tétele.
Adatvédelmi veszélyek
Antal Lajos hozzátette: A válaszadók szerint az elmúlt évben a legfontosabb fenyegetéseket az informatikai rendszereket érintő csalások, a saját dolgozók hibái és mulasztásai, valamint a belső, üzleti adatokkal kapcsolatos visszaélések jelentették. A megkérdezettek háromnegyede rendelkezik kifejezetten adatvédelemre szakosodott munkatársakkal és általánosságban elmondható, hogy a pénzintézetek egyre több figyelmet fordítanak a bizalmas adatok védelmére, illetve egy önálló adatvédelmi részleg kialakítására. A vizsgált pénzügyi vállalkozások 49 százaléka nyilatkozott úgy, hogy aktívan dolgozik a cég sebezhetőségének csökkentésén – a cégek 82 százaléka emellett igyekszik proaktívan megvédeni a vállalati környezetet az újabb és újabb fenyegetésektől.
A felmérésben részt vevő pénzintézetek nagy része üzemeltet biztonsági műveleti központot (Security Operation Center, SOC) az adatforgalom és az adatok nyomon követése, valamint a biztonsági incidensek és visszaélések hatékony kezelése érdekében. A válaszadók több mint fele állította, hogy vállalkozása saját maga irányítja a biztonsági műveleti központot, így pontosabb képet kaphat az információbiztonsági problémákról és hatékonyabban irányíthatja a cég tevékenységét.
Hogyan tartható fenn a vállalati információbiztonsági rendszerek hatékonysága?
Az egyre fokozódó szabályozói nyomás hatására a felmérésben vizsgált bankok folyamatosan fejlesztik biztonsági rendszereiket. A válaszadók közel 80 százaléka ítéli meg úgy, hogy biztonsági rendszereik legalább 3-as szinten (pontosan meghatározott és dokumentált standard folyamatok, a rendszert folyamatosan továbbfejlesztik) vagy annál magasabb szinten vannak.
A biztonsági rendszerek fejlődése ellenére a vizsgált bankok mintegy negyede számolt be arról, hogy informatikai visszaéléseket tapasztalt az elmúlt egy évben. A megkérdezett bankok szerint az átvilágítások során feltárt három leggyakoribb hiányosság a hozzáférési jogosultságok felesleges osztogatása, a munkakörök nem megfelelő szétválasztása, és a nem megfelelően dokumentált biztonsági előírások és standardok a vállalatnál. Annak ellenére, hogy a vizsgált bankok több mint 70 százaléka az informatikai költségvetésének legalább egy-három százalékát az információbiztonsági rendszerre költi, a válaszadók szerint a megfelelő költségvetés hiánya az első számú akadálya a hatékony rendszerek kiépítésének.
A kiszervezett információbiztonsági tevékenységek között a sebezhetőségek vizsgálata és a behatolási tesztek állnak első helyen (72 százalékkal). Ezeket követik a fenyegetések kezelésére és nyomon követésére irányuló szolgáltatások 24 százalékkal.
Szűk költségvetés nehezíti a felkészülést a biztosítóknál
A megkérdezett biztosítótársaságok nagy része szerint a biztosítószektorban a megfelelő források hiánya az első számú akadálya a hatékony információbiztonsági rendszer kiépítésének. A másik legfontosabb hátráltató tényező az átláthatóság és a vállalaton belüli befolyás, a felsővezetői támogatottság hiánya. A válaszadók közel 70 százaléka állította az ügyféladatokkal kapcsolatos visszaélésekkel kapcsolatban, hogy a cég információbiztonsági rendszere legalább a már említett 3-as, vagy afeletti szinten van.
Bár a cégek egyre nagyobb hangsúlyt fektetnek az adatokkal való visszaélések megelőzésére, a vizsgált 46 biztosítócég mintegy 40 százaléka az elmúlt egy évben legalább egy alkalommal visszaélést tapasztalt. A biztosítószektorban dolgozó alkalmazottak egyre több virtuális és mobil terméket, illetve szolgáltatást igényelnek. Nem meglepő tehát, hogy a megkérdezett biztosítócégek több mint 80 százalékánál használnak céges, vagy az alkalmazottak saját tulajdonában lévő mobil eszközöket. A mobil eszközök használatának terjedésével párhuzamosan a vizsgált biztosítócégek több mint 45 százaléka számolt be arról, hogy az elmúlt egy évben legalább egy visszaélést tapasztalt.
A biztosítótársaságok számára idén az adatvédelem és az információbiztonsági irányítási rendszerek jelentették a két legfontosabb célterületet. A vizsgált biztosítócégek 57 százaléka véli úgy, hogy rendelkezik a szükséges erőforrásokkal (műszaki és egyéb kapacitásokkal) ahhoz, hogy megfelelően tudja kezelni az ügyfelek bizalmas adatait – mondta el a Deloitte Zrt. szakértője.
