Magyar vállalatok a nemzetközi bűnözők célkeresztjében: mit tehetnek a cégvezetők?
Üzlet

Magyar vállalatok a nemzetközi bűnözők célkeresztjében: mit tehetnek a cégvezetők?

Amikor egy vállalat informatikai rendszerét támadás éri, arra gyakran még akkor is nehéz megfelelően reagálni, ha a cég kiberbiztonsági értelemben felkészültnek nevezhető. A támadásoknak nagyon sok célja lehet az öncélú pusztítással kezdve, a haszonszerzésen át az érzelmi indíttatású károkozásig. A kibertámadások számának 2022-es alakulásáról, a hazai vállalkozások felkészültségéről, a jogszabályi kötelezettségek változásairól és a kockázatarányos védekezés szükségességéről a 4iG Nyrt. biztonsági üzletágának igazgatójával, Bánszki Zsolttal beszélgettünk.

A szakemberek számára az egyik legnehezebben megválaszolható kérdés, hogy az adott védekezés elmulasztása milyen potenciális kárértékkel áll szemben. Mégis milyen jellegű kár érheti a vállalatot, ha támadás áldozatává válik?

Van, ami pénzben nagyon egyszerűen kifejezhető, gondoljunk csak egy webáruházra, aminek a napi forgalmát súlyosan érinti, ha elérhetetlenné válik. A bankszámla-adatokhoz való hozzáférés, vagy egy összeg kizsarolása szintén könnyen számszerűsíthető. A nehezebben meghatározható károk közül egyet emelnék ki, a reputációt ért sérelmet. Ez talán a legnehezebben „árazható”, viszont egy cégnek ez tud a legjobban fájni. Ha egy nagyvállalatot ér támadás, még akkor is komoly a reputációs kockázat, ha a jelentős anyagi károk elkerülése érdekében megtett intézkedéseknek köszönhetően a ténylegesen okozott kár minimális.

Ha a sikeres támadás híre eléri a nyilvánosságot, az megingathatja a cég ügyfeleinek bizalmát. Ezek forintban nehezebben meghatározható, ám a cég sikerét komolyan veszélyeztető káresemények. 

Az orosz-ukrán konfliktus nemcsak a fizikai valóságban, de a kibertérben is aktív, hogyan hat ez a magyar cégeket érő kibertámadások számára?

Nagyon viharos évet zárunk. Tapasztaltunk támadást olyan magyar cégnél, amelynek a tulajdonosi körében orosz érdekeltségű vállalkozók voltak, de támadtak olyan magyar vállalatot is, aminek Ukrajnában volt gyártókapacitása. Vannak célzott támadások, de mivel a kibertérben sokszor nehéz pontosan célozni, annak ellenére, hogy egyre profibbak, azért „el tudnak tévedni” ezek a támadások. Már egy adathalász e-mail továbbításával is áldozatokká válhatunk, hiába nem mi voltunk az eredeti célpont. 

banszki zsolt
Bánszki Zsolt Fotó: 4iG

Februárban, amikor elindult az orosz-ukrán konfliktus, minden erről szólt, az előző év azonos időszakához képest 25-30 százalékkal nőtt meg a támadások száma. A nyár közepére kicsit csökkent a támadások mennyisége, ezt tekinthetjük azóta az új normál értéknek. Ennek oka már csak részben vezethető vissza az orosz-ukrán konfliktusra: a korábbi években bekövetkezett digitalizációs robbanás több lehetőséget teremtett, a home office elterjedése nagyobb kitettséget jelent, ezzel automatikusan növekedett a támadások száma is.

A piaci szereplők felkészültsége egyenlőtlen kiberbiztonsági értelemben, teljesen más eszközök állnak egy kkv, és egy nagyvállalat rendelkezésére. Hogyan fogjunk hozzá a kitettségünk csökkentéséhez?

Volt egy jelmondatom idén: védekezzünk lokálisan, hogy eredményt érjünk el globálisan. Vannak minimumstandardok, de hogy mit lehet tenni az adatok védelméért, azt mindig helyi szinten kell eldönteni. Van egy hierarchia, melynek legalsó szintjén kell védeni a felhasználót és eszközét, a tetején a kiszolgáló infrastruktúrát, amit utána monitorozni kell, és az egészet beilleszteni egy információbiztonsági irányítási rendszerbe. Akkor érjük el az optimális biztonsági szintet, ha erről komplexen gondolkodunk. Lennie kell végpontvédelemnek, szükség van a monitoringra, és talán a legfontosabb, hogy kockázatarányos legyen minden intézkedés, amit végrehajtunk. 

VISSZATEKINTÉS ÉS JÖVŐKÉP AZ IT-BAN

A Portfolio és a 4iG rövid kutatása azt méri fel, hogyan élték meg a vállalatok a 2022-es év IT-kihívásait és mit várnak a jövő évtől. KATTINTS, és töltsd ki!

A kkv-knak is meg kell tenniük a szükséges minimumot, és külső segítséggel felépíteni a védelmet. Egy nagyvállalat sok esetben saját információbiztonsági rendszert használ, de elindult az átrendeződés, és egyre többen külső szolgáltatásként veszik már igénybe ezeket a biztonsági megoldásokat. Tény, hogy egy nagyvállalat kitettsége természetszerűleg nagyobb, mint egy kkv-é, mert jóval több adatot kezel, de ugyanolyan jellegű támadások érhetik a kis- és középvállalkozásokat is, mint a nagyokat. A támadók mindig a gyenge láncszemet keresik, és sokszor a támadható kis cégen keresztül jutnak be egy-egy nagyvállalat rendszereibe. Gondoljunk egy nagy autóipari gyárra, aki dollármilliókat képes költeni, hogy megteremtse a saját védelmét, miközben egy magyarországi beszállítója valószínűleg nincs ilyen lehetőségek birtokában.

Mennyire állnak tudatosan a magyar kkv-k a kibertámadások elleni védekezéshez? Érezhető, hogy rájuk is hatottak a közelmúlt változásai, vagy ez számukra továbbra is a holnap problémája?

Nagyon megosztott a piac. Vannak vállalkozások, akik felismerték a kockázatot, de vannak olyan esetek is, amikor az üzletmenet folytonossága érdekében anélkül állítják vissza egy kompromittálódott rendszer működését, hogy azonosították volna a sérülékenységet.

Nem ritka a kiberbiztonsági értelemben felelőtlen hozzáállás, de tény, hogy elindult egy pozitív tendencia a védekezés terén.

Most már többen vannak, akik felkapják a fejüket egy-egy támadás hírére, még akkor is, ha nem is őket érte, és érdeklődnek, hogy mit lehetne tenni a hasonló esetek elkerülése, elhárítása érdekében.

Magyarországon a kiberbiztonsági intézkedésre kötelezettek köre hamarosan bővülni fog, mit jelent majd ez a gyakorlatban a vállalkozások számára? Mely vállalkozások az érintettek?

A 2013. évi L. törvény az állami és önkormányzati szervek kiberbiztonsági megfelelését biztosítja, egy olyan jogszabály, ami Európában is élen járónak mondható. A magyar állam működésében kritikusnak számító vállalatok és vállalatcsoportok kerülnek a hatálya alá, és mint ilyenek, kötelesek lesznek bizonyos biztonsági intézkedések megtételére. Egyetlen félelmemet fogalmaznám csak meg ezzel kapcsolatban:

remélem, a szabályozás nem lép majd át a túlszabályozottság határán, és a gyakorlatban valóban alkalmazható és hatékony intézkedésekre ösztönzi majd ezeket a cégeket.

A kiberbiztonság ugyanis akkor működik, ha nem akadályozza, hanem szolgálja az üzletet. A jogszabály előírásai kötelező érvényűek, de a megfelelés mikéntjének kockázatarányosnak kell lennie, ez sosem lehet fehér vagy fekete. Az egyik legfontosabb szempont, hogy a védekezés költsége mindig álljon arányban a kockázattal, mert ahogy mondani szokták, minden rendszer biztonsága fokozható egészen annak használhatatlanságáig.

Közeledik a DORA, az EU-s kiberbiztonsági rendelet hatályba lépése is, ami a pénzügyi szervezetek, például a bankok, a biztosítók és a befektetési vállalkozások informatikai rendszereinek biztonsági megerősítését írja elő. Milyen változásokat hozhat ez a magyar vállalkozások életébe, hogyan tudunk erre felkészülni?

Hozzávetőlegesen ugyanolyan hatású lesz, mint a GDPR, de a DORA végrehajtásban már előrébb tartunk, mint a GDPR megjelenésekor. A pénzintézetek számára létezik egy MNB által kiadott ajánlás, amely alapján kell a védelmét felépíteni. Az olyan Ha a vállalkozás működése eddig is megfelelt az MNB ajánlásának, akkor csak néhány változtatásra van most szükség. Az ajánlásnak nem megfelelők pedig eddig sem dolgozhattak Magyarországon pénzintézeti területen, így elmondható, hogy ebben is nagyon jól állunk. A rendelet tartalmaz technológiai jellegű újdonságokat: az egyik ilyen szerint a pénzintézet informatikai rendszerének biztonsági tesztelését kvázi aktív módon, kívülről is el lehet majd végezni, de ezen felül megfogalmaztak egy állandó tesztelési kötelezettséget is.

A rendeletnek célja az új technológiák elterjesztése is: hatálya alá kerülnek olyan tevékenységek is, amelyekre eddig nem vonatkoztak ilyen előírások, nekik egy kicsit nehezebb dolguk lesz. Itt is a kockázatarányos védekezésben látom a kulcsot, a DORA első alappillére pedig éppen a kockázatmenedzsment, nem véletlenül.

A cikk megjelenését a 4iG Nyrt. támogatta.

Címlapkép: 4iG

RSM Blog

A HR hatása az M&A ügyletekre

Az emberi erőforrásokkal összefüggő kérdések és kockázatok megértése egy tranzakciós folyamat során általában a második legfontosabb lépés egy tranzakciós célpont értékelésekor. A H

Kasza Elliott-tal

PepsiCo Inc - kereskedés

Folyamatosan keresek olyan osztalékfizetőket, amiket nem örök tartásra, hanem pár hónapos kereskedésre vennék meg. Azért osztalékfizetőket, mert ha nem jön be az elképzelésem és nem emelked

Holdblog

Egy szendvics hatása (?) a tőkepiacokra

Ne keressünk ott mintázatot, ahol nincs! Alakokat látunk a felhőkben, jelentést a csillagokban, emberi arcokat a Mars felszínén, de az elvetemültebbek még sátánista szövegeket is... The post Eg

Holdblog

New Yorkban nyafogunk

Óceánon innen és túl, podcastünk így is dúl. Jó szórakozást! Milyen platformokon találjátok még meg? A HOLD After Hours podcastek megtalálhatók a Spotify, YouTube, Apple Podca

FRISS HÍREK
NÉPSZERŰ
Összes friss hír
Megvan a nagy bérmegállapodás! Itt van, mennyivel nő a minimálbér és a garantált bérminimum

Vezető modellező/ pénzügyi modellező

Vezető modellező/ pénzügyi modellező
Díjmentes előadás

Kisokos a befektetés alapjairól, tippek, trükkök a tőzsdézéshez

Előadásunkat friss tőzsdézőknek ajánljuk, összeszedünk, minden fontos információt arról, hogy hogyan működik a tőzsde, mik a tőzsde alapjai, hogyan válaszd ki a számodra legjobb befektetési formát.

Díjmentes előadás

Hogyan vágj bele a tőzsdei befektetésbe?

Mire kell figyelned? Melyek az első lépések? Mely tőzsdei termékeket célszerű mindenképpen ismerned?

Portfolio hírlevél

Ne maradjon le a friss hírekről!

Iratkozzon fel mobilbarát hírleveleinkre és járjon mindenki előtt.

Kiadó modern irodaházak

Az iroda ma már több, mint egy munkahely. Találják meg most cégük új otthonát.

Agrárszektor Konferencia 2024
2024. december 4.
Graphisoft - Portfolio Construction Technology & Innovation 2024
2024. november 27.
Mibe fektessünk 2025-ben?
2024. december 10.
Property Awards 2024
2024. november 28.
Hírek, eseményajánlók első kézből: iratkozzon fel exkluzív rendezvényértesítőnkre!
Ez is érdekelhet
dunaferr dunaujváros