A szakemberek számára az egyik legnehezebben megválaszolható kérdés, hogy az adott védekezés elmulasztása milyen potenciális kárértékkel áll szemben. Mégis milyen jellegű kár érheti a vállalatot, ha támadás áldozatává válik?
Van, ami pénzben nagyon egyszerűen kifejezhető, gondoljunk csak egy webáruházra, aminek a napi forgalmát súlyosan érinti, ha elérhetetlenné válik. A bankszámla-adatokhoz való hozzáférés, vagy egy összeg kizsarolása szintén könnyen számszerűsíthető. A nehezebben meghatározható károk közül egyet emelnék ki, a reputációt ért sérelmet. Ez talán a legnehezebben „árazható”, viszont egy cégnek ez tud a legjobban fájni. Ha egy nagyvállalatot ér támadás, még akkor is komoly a reputációs kockázat, ha a jelentős anyagi károk elkerülése érdekében megtett intézkedéseknek köszönhetően a ténylegesen okozott kár minimális.
Ha a sikeres támadás híre eléri a nyilvánosságot, az megingathatja a cég ügyfeleinek bizalmát. Ezek forintban nehezebben meghatározható, ám a cég sikerét komolyan veszélyeztető káresemények.
Az orosz-ukrán konfliktus nemcsak a fizikai valóságban, de a kibertérben is aktív, hogyan hat ez a magyar cégeket érő kibertámadások számára?
Nagyon viharos évet zárunk. Tapasztaltunk támadást olyan magyar cégnél, amelynek a tulajdonosi körében orosz érdekeltségű vállalkozók voltak, de támadtak olyan magyar vállalatot is, aminek Ukrajnában volt gyártókapacitása. Vannak célzott támadások, de mivel a kibertérben sokszor nehéz pontosan célozni, annak ellenére, hogy egyre profibbak, azért „el tudnak tévedni” ezek a támadások. Már egy adathalász e-mail továbbításával is áldozatokká válhatunk, hiába nem mi voltunk az eredeti célpont.
Februárban, amikor elindult az orosz-ukrán konfliktus, minden erről szólt, az előző év azonos időszakához képest 25-30 százalékkal nőtt meg a támadások száma. A nyár közepére kicsit csökkent a támadások mennyisége, ezt tekinthetjük azóta az új normál értéknek. Ennek oka már csak részben vezethető vissza az orosz-ukrán konfliktusra: a korábbi években bekövetkezett digitalizációs robbanás több lehetőséget teremtett, a home office elterjedése nagyobb kitettséget jelent, ezzel automatikusan növekedett a támadások száma is.
A piaci szereplők felkészültsége egyenlőtlen kiberbiztonsági értelemben, teljesen más eszközök állnak egy kkv, és egy nagyvállalat rendelkezésére. Hogyan fogjunk hozzá a kitettségünk csökkentéséhez?
Volt egy jelmondatom idén: védekezzünk lokálisan, hogy eredményt érjünk el globálisan. Vannak minimumstandardok, de hogy mit lehet tenni az adatok védelméért, azt mindig helyi szinten kell eldönteni. Van egy hierarchia, melynek legalsó szintjén kell védeni a felhasználót és eszközét, a tetején a kiszolgáló infrastruktúrát, amit utána monitorozni kell, és az egészet beilleszteni egy információbiztonsági irányítási rendszerbe. Akkor érjük el az optimális biztonsági szintet, ha erről komplexen gondolkodunk. Lennie kell végpontvédelemnek, szükség van a monitoringra, és talán a legfontosabb, hogy kockázatarányos legyen minden intézkedés, amit végrehajtunk.
VISSZATEKINTÉS ÉS JÖVŐKÉP AZ IT-BAN
A Portfolio és a 4iG rövid kutatása azt méri fel, hogyan élték meg a vállalatok a 2022-es év IT-kihívásait és mit várnak a jövő évtől. KATTINTS, és töltsd ki!
A kkv-knak is meg kell tenniük a szükséges minimumot, és külső segítséggel felépíteni a védelmet. Egy nagyvállalat sok esetben saját információbiztonsági rendszert használ, de elindult az átrendeződés, és egyre többen külső szolgáltatásként veszik már igénybe ezeket a biztonsági megoldásokat. Tény, hogy egy nagyvállalat kitettsége természetszerűleg nagyobb, mint egy kkv-é, mert jóval több adatot kezel, de ugyanolyan jellegű támadások érhetik a kis- és középvállalkozásokat is, mint a nagyokat. A támadók mindig a gyenge láncszemet keresik, és sokszor a támadható kis cégen keresztül jutnak be egy-egy nagyvállalat rendszereibe. Gondoljunk egy nagy autóipari gyárra, aki dollármilliókat képes költeni, hogy megteremtse a saját védelmét, miközben egy magyarországi beszállítója valószínűleg nincs ilyen lehetőségek birtokában.
Mennyire állnak tudatosan a magyar kkv-k a kibertámadások elleni védekezéshez? Érezhető, hogy rájuk is hatottak a közelmúlt változásai, vagy ez számukra továbbra is a holnap problémája?
Nagyon megosztott a piac. Vannak vállalkozások, akik felismerték a kockázatot, de vannak olyan esetek is, amikor az üzletmenet folytonossága érdekében anélkül állítják vissza egy kompromittálódott rendszer működését, hogy azonosították volna a sérülékenységet.
Nem ritka a kiberbiztonsági értelemben felelőtlen hozzáállás, de tény, hogy elindult egy pozitív tendencia a védekezés terén.
Most már többen vannak, akik felkapják a fejüket egy-egy támadás hírére, még akkor is, ha nem is őket érte, és érdeklődnek, hogy mit lehetne tenni a hasonló esetek elkerülése, elhárítása érdekében.
Magyarországon a kiberbiztonsági intézkedésre kötelezettek köre hamarosan bővülni fog, mit jelent majd ez a gyakorlatban a vállalkozások számára? Mely vállalkozások az érintettek?
A 2013. évi L. törvény az állami és önkormányzati szervek kiberbiztonsági megfelelését biztosítja, egy olyan jogszabály, ami Európában is élen járónak mondható. A magyar állam működésében kritikusnak számító vállalatok és vállalatcsoportok kerülnek a hatálya alá, és mint ilyenek, kötelesek lesznek bizonyos biztonsági intézkedések megtételére. Egyetlen félelmemet fogalmaznám csak meg ezzel kapcsolatban:
remélem, a szabályozás nem lép majd át a túlszabályozottság határán, és a gyakorlatban valóban alkalmazható és hatékony intézkedésekre ösztönzi majd ezeket a cégeket.
A kiberbiztonság ugyanis akkor működik, ha nem akadályozza, hanem szolgálja az üzletet. A jogszabály előírásai kötelező érvényűek, de a megfelelés mikéntjének kockázatarányosnak kell lennie, ez sosem lehet fehér vagy fekete. Az egyik legfontosabb szempont, hogy a védekezés költsége mindig álljon arányban a kockázattal, mert ahogy mondani szokták, minden rendszer biztonsága fokozható egészen annak használhatatlanságáig.
Közeledik a DORA, az EU-s kiberbiztonsági rendelet hatályba lépése is, ami a pénzügyi szervezetek, például a bankok, a biztosítók és a befektetési vállalkozások informatikai rendszereinek biztonsági megerősítését írja elő. Milyen változásokat hozhat ez a magyar vállalkozások életébe, hogyan tudunk erre felkészülni?
Hozzávetőlegesen ugyanolyan hatású lesz, mint a GDPR, de a DORA végrehajtásban már előrébb tartunk, mint a GDPR megjelenésekor. A pénzintézetek számára létezik egy MNB által kiadott ajánlás, amely alapján kell a védelmét felépíteni. Az olyan Ha a vállalkozás működése eddig is megfelelt az MNB ajánlásának, akkor csak néhány változtatásra van most szükség. Az ajánlásnak nem megfelelők pedig eddig sem dolgozhattak Magyarországon pénzintézeti területen, így elmondható, hogy ebben is nagyon jól állunk. A rendelet tartalmaz technológiai jellegű újdonságokat: az egyik ilyen szerint a pénzintézet informatikai rendszerének biztonsági tesztelését kvázi aktív módon, kívülről is el lehet majd végezni, de ezen felül megfogalmaztak egy állandó tesztelési kötelezettséget is.
A rendeletnek célja az új technológiák elterjesztése is: hatálya alá kerülnek olyan tevékenységek is, amelyekre eddig nem vonatkoztak ilyen előírások, nekik egy kicsit nehezebb dolguk lesz. Itt is a kockázatarányos védekezésben látom a kulcsot, a DORA első alappillére pedig éppen a kockázatmenedzsment, nem véletlenül.
A cikk megjelenését a 4iG Nyrt. támogatta.
Címlapkép: 4iG