Milliós adatszivárgási károk Magyarországon

Lezárult a Compliance Data Systems Kft., az ITBN 2012 konferencián bejelentett online felmérése a hazai adatszivárgás elleni védelem magyarországi helyzetéről. A több szektorból érkező válaszok objektív képet adnak a hazai IT biztonsági állapotról, amelynek elemzésekor látható, hogy a hazai vállalatok informatikai biztonsága egyelőre nem tud megfelelő választ adni a felmerülő biztonsági kihívásokra, illetve a cégek döntő többsége még felbecsülni sem tudja, hogy mekkora kár éri a vállalatot egy adatszivárgási incidens alkalmával.

Az adatszivárgás elleni védelem témában eddig csak külföldi adatokon alapuló kutatások álltak rendelkezésre, amelyek nem ültethetőek át teljes egészében a hazai környezetre. A mostani nem reprezentatív felmérés célja, hogy a magyarországi viszonyokról kapjunk egy objektív képet, amelynek segítségével feltérképezhetjük az IT biztonsági piac jelenlegi állapotát, az uralkodó trendeket, illetve megtaláljuk azokat a gyenge pontokat, ahol a biztonság megerősítésére lehet szükség a vállalatok adatkezelési szabályrendszerében.

Kulcs megállapítások:

  • A válaszolók legnagyobb része bár ismeri az adatvédelmi technológiákat, azokat a gyakorlatban csak kis mértékben alkalmazzák, csak minden ötödik-tizedik cég használ merevlemez titkosítást, email titkosítást, portvédelmet vagy adatszivárgást megelőző szoftvert, harmaduk semmilyen védelemmel nem rendelkezik.
  • A bizalmas adatok felmérése, osztályozása a vállalatok felénél történik meg, de többnyire ott sem megfelelően kontrollált módon.
  • Minden második cégnél használnak a dolgozók személyes tulajdonú eszközt a munkavégzéshez, amelyek védelme esetleges.
  • Az adatszivárgási esetekről a cégek kétharmada nem értesül, a bekövetkezett károk nagyságát 80 százalékuk felbecsülni sem tudja.
  • Az adatvédelmi törvényben megfogalmazott követelményeket a cégek felénél ismerik, megfelelő szervezeti és szabályozási környezet azonban még ennél is kevesebb esetben létezik.

Részletes eredmények
A Compliance Data Systems Kft. felmérése résztvevőinek többsége a kkv szektorból érkezett, de a nagyvállalatok képviselői is jelentős arányban képviseltették magukat. Az online felmérésben több mint százan vettek részt, így az eredmények jól tükrözik a mai magyar helyzetet.

A válaszadók számos területen tevékenykednek, a kutatás során több mint 30 szektor képviselőitől érkeztek visszajelzések. A legnagyobb válaszadói csoport a pénzügyi szektorból érkezett, amelyet az IT és a szolgáltatási területek követnek, valamint a kérdőív kitöltésében részt vettek a telekommunikációban, biztosításban, államigazgatásban, oktatásban, logisztikában tevékenykedő vállalatok képviselői, de számos más területről is érkeztek válaszok.

Bíztató adat, hogy a felmérésben résztvevők 70 százaléka már hallott valamilyen adatszivárgás elleni védelemről, ugyanakkor a válaszadók közel harmadánál nem használnak semmiféle adatvédelmi megoldást. A válaszadók cégeinél használt adatvédelmi megoldások közül a merevlemez titkosítás a legelterjedtebb (20 százalék), amelyet a portvédelmi megoldás követ (17 százalék), DLP szoftvert csak mintegy 14 százalék használ.

A vállalatok több mint felénél osztályozva vannak az adatok, de jelentős részben a dolgozók saját maguk osztályozzák a cég adatait, ami biztonsági szempontból aggályos. Közel 15 százaléknál semmiféle osztályozás nincs, azaz a dolgozók és a vezetők nem mindig tudják megállapítani, hogy melyik adat a bizalmas és melyik nem. Az adatok használatának szabályozása, illetve az ezekhez kapcsolódó oktatás csak a cégek felénél jellemző, 23 százaléknál csak szabályozás van, oktatás nincs, a válaszadók ötödénél pedig se szabályozás, se oktatás nincs.

A vállalatok 45 százalékánál használnak dolgozói tulajdonú hordozható, vagy asztali számítógépet, amelyeknek csupán 30 százalékán van ugyanolyan szintű védelem, mint a vállalatnál, és a gépek 15 százalékán semmiféle védelmi megoldás nincs. A manapság kulcsfontosságú téma, a mobileszközök védelmével kapcsolatban a tapasztalt, hogy a vállalatok felénél használnak okostelefont és táblagépet és ezek negyede a munkavállalók tulajdonában van. A dolgozók tulajdonában lévő okostelefonok aránya nagyobb, de a magántulajdonú táblagépek is kezdenek elterjedni vállalati környezetben, ami kritikus tényező lehet az adatszivárgás elleni védelemben.
Az azonosítással kapcsolatos kérdések értékelésekor kiderült, hogy a vállalatok több mint felénél nincs kétfaktoros azonosítás, ahol van, ott a fizikai tokenes azonosítás a legelterjedtebb megoldás, amelyet a szoftveres azonosítás követ.

Az adatszivárgási esetekről szóló kérdésekre adott válaszokból kiderül, hogy a vállalatok dolgozói közel 65 százalékának nincs tudomása adatszivárgási incidensekről, ami természetesen nem azt jelenti, hogy ezek az esetek nem léteznek, inkább arról van szó, hogy a legtöbb esetben a vállalat maga sem észleli ezeket, illetve a legtöbb felfedezett incidenst a vezetőség igyekszik titokban tartani. Ezt tükrözi az is, hogy a válaszadók 81 százaléka megbecsülni sem tudja, hogy mekkora kár érhette a cégét egy adatszivárgási esemény kapcsán. A CDSYS felmérésére adott válaszokból kitűnik, hogy százezres nagyságú kár a leggyakoribb, ugyan akkor a tízmillió forint feletti veszteség gyakoribb, mint a milliós kár.

A leggyakoribb adatszivárgási esetekben a munkavállaló küldött ki bizalmas adatokat e-mailben, vagy más módon hálózaton keresztül, de ugyanilyen gyakoriságú az elveszett laptopok okozta adatvesztés is. Ugyancsak gyakori az elveszett céges hordozható eszközök által bekövetkezett adatszivárgás, illetve a saját használatra, a dolgozó által hordozható eszközre kimásolt anyagok aránya.

A felmérés alapján kijelenthető, hogy a vállalatoknál nincs egységes koncepció az előforduló adatszivárgási esetek kezelésére. Egyharmaduk csak az incidens után hoz szabályokat, 30 százalék utólagosan oktatja a munkavállalókat, 12 százalék fegyelmi eljárásokat indít, és alig egytizedük tesz jogi lépéseket. Aggasztó, hogy csupán a válaszadók alig több mint felének van tudomása arról, hogy az új adatvédelmi törvény kapcsán milyen védelmi kötelezettségeknek kell eleget tenniük és milyen szankciókkal jár ezek elmulasztása. IT biztonsági vezető a cégek 12 százaléknál van, informatikai vezető a 35 százaléknál van alkalmazásban, és a vállalatok 40 százaléknál van mindkettő, illetve 13 százaléknál egyik sincs.

Összegzésként elmondható, hogy a vállalatok nagy része már hallott valamilyen adatszivárgás elleni megoldásról, de 30 százaléka a cégeknek semmiféle adatvédelmi megoldást nem használ. Az adatok megfelelő osztályzása is problémás, mivel hiába használ a többség valamilyen adatosztályozást, az adatok bizalmas jellegének megállapítását zömében maguk a munkavállalók végzik, ami nem minden esetben jelent hatékony megoldást, ráadásul a bekövetkezett adatszivárgási incidensek nagy része továbbra is belső eredetű. Sajnos az adatvédelmi szabályozás kialakítása és a megfelelő oktatás is csak a cégek felénél jellemző, illetve aggodalomra adhat okot a mobileszközök, ezen belül a dolgozói tulajdonú készülékek elterjedése a vállalati környezetben. Ahogy a CDSYS felméréséből kiderül a vállalatok munkatársai nincsenek tisztában az adatszivárgás okozta károk mértékével, és az ismert többmilliós nagyságrendű károkat okozó adatszivárgások mértéke arra enged következtetni, hogy a nem ismert adatszivárgási esetek összege jóval nagyobb lehet. A vállalatoknak tehát érdemes lehet elgondolkozni a megfelelő IT biztonsági szabályzatok bevezetésén és betartatásán, az alkalmazottak folyamatos biztonsági képzésén, illetve egy hatékony adatszivárgás elleni megoldás bevezetésén.

Kapcsolódó cikkeink

Leave a Comment