To top

IT-biztonság nem csak a nagyoknak jár

aug 13

IT-biztonság nem csak a nagyoknak jár

 

Mindenkit érint az IT-biztonság. Vagy azért, mert volt már áldozat (még ha esetleg nem is tud róla), vagy ezután éri valamilyen támadás, incidens. Védekezni tehát muszáj, de a konkrét módszerekkel kapcsolatban sok még a kérdőjel, különösen a kisebb vállalkozások körében.

Az információbiztonsággal kapcsolatos egyik nagy kérdés éppen az, hogy mennyit is kellene költeni információbiztonságra. Egzakt választ nem lehet adni, mert mindig lehetne a ténylegesnél több pénzt fordítani a védelemre, és hiába veszi meg a legmodernebb eszközöket, mire üzembe helyezi őket, azok már nem is a legmodernebbek. „Ezért inkább azt tanácsoljuk: annyit költsenek, hogy az IT-biztonsági kollégák nyugodtan alhassanak” – érzékeltette a helyzet képlékeny voltát Papp László, a Gartner hazai képviseletének vezetője a júniusi ITB Clubon tartott előadásában.

 

Gondok mindkét oldalon

Sem az IT-biztonsági ipar szereplői, sem a felhasználók nincsenek könnyű helyzetben – tette hozzá Gölcz Dénes, a Panda Security Hungary ügyvezető igazgatója. A védelmi rendszerek gyártóinak szembe kell nézni, hogy egyre több az olyan támadás (nulladik napi vagy file nélküli), amit a hagyományos eszközökkel nem lehet kiszűrni, és ezek gyorsabban indulnak el, mint ahogy a cégek reagálni tudnának rá. A sérülékenységek száma sem csökken: becslések szerint 100 ezer(!) szoftver tartalmazhat még fel nem tárt – ezért aztán sikeresen kihasználható – hibát. Komoly probléma a szakemberhiány, és nemcsak Magyarországon, hanem a világon mindenütt, mert a képzés messze nem tud lépést tartani az igényekkel. Ehhez járul még az is, hogy a védendő rendszerek is mind komplexebbek, a vállalatok pedig egyre nagyobb mértékben függnek az informatikától.

 

Gölcz Dénes, Panda Security Hungary

 

Még inkább gondokkal küzdenek a felhasználók. Információhiányban szenvednek, a régi, megszokott védekezési technológiákat és módszereket alkalmazzák. Sokan még mindig a vírusirtónál ragadtak le, miközben a hagyományos végpontvédelem alapelvei nem sokat változtak az elmúlt 20-30 évben. Számos vállalat rugalmatlanul áll hozzá az információbiztonsághoz, lassan reagálnak az új kihívásokra, sokára hozzák meg a szükséges döntéseket – ehhez persze hozzájárul a már említett információhiány, illetve a rájuk is jellemző szakemberhiány.

Komoly hiányosságok mutatkoznak a biztonsággal kapcsolatos szervezeti és belső szabályozási kérdésekben. Gölcz Dénes szerint a GDPR egyik pozitív hozadéka lehet, hogy a cégek többé nem vehetik annyira komolytalanul az IT-biztonságot, mint tették eddig, és igenis el kell fogadni, hogy a számviteli, jogi és egyéb megfelelőségi kötelezettségek mellett megjelennek az IT-biztonsági kötelezettségek is. És a kicsik sem tehetik meg, hogy figyelmen kívül hagyják a biztonságot – számtalan példa volt arra, hogy a nagyvállalati rendszerekbe az alvállalkozóján keresztül törtek be. Végül pedig az informatika szerepe és használati módja is erősen megváltozott. Keverednek a céges és magánhasználatú eszközök, a céges és magánadatok, terjed az otthoni munkavégzés – egyre kevésbé egyértelmű, hogy hol és mit kell megvédeni.

A Gartner szerint…
• 2022-re az üzleti kockázatok értékelésében a kiberbiztonsági minősítés ugyanolyan fontos szempont lesz, mint a hitelminősítés.

• 2021-re legalább egy olyan vállalat lesz, amely nyilvánosan elismeri, hogy 1 milliárd dollár bevételkiesést okozott neki valamilyen kártékony program támadása.

• 2020-ra az M&A folyamatok 60 százalékában a kiberbiztonság vizsgálata kritikus elem lesz.

• 2020-ban a nemzeti hatóságoknak Nagy Britanniában és az USA-ban lesz központi nyilvántartása a biztonsági sérülésekről és információs kiszivárgásokról.

 

Válogatott módszerekkel

Ilyen helyzetben nagyon nem mindegy, hogy a szerteágazó IT-védelmi megoldások közül mire költ a vállalat. A Gartner ötféle módszert különböztet meg a védekezésben, annak helyétől és időbeliségétől függően. Védekezni lehet a végpontokon, a terhelésnél és a hálózatban, mindezeket pedig meg lehet tenni valós vagy közel valós időben, illetve utólag elemezve. A valós idejű védekezési módok között van a hálózati forgalom elemzése, a forgalomfelügyelet, illetve a végpontviselkedés elemzése, a „post mortem” körébe pedig a hálózat és a végpontok felülvizsgálata tartozik. (Azért van csak öt módszer, mert a forgalmat csak valós időben lehet figyelni.)

 

Papp László, Gartner

 

A probléma abban áll, hogy mind az öt módszert gyakorlatilag lehetetlen alkalmazni, mert az óriási erőforrásokat emésztene fel. A IT-biztonsági stratégiának a cég meglévő infrastruktúrájára és alkalmazás-portfóliójára alapozva ki kell választania, hogy hol akarja a vállalat kiépíteni a védelmi vonalait, az öt módszer közül milyen konfigurációban választ legfeljebb kettőt-hármat. Megoldás lehet például a valós idejű forgalomfelügyelet és a végpontok vagy a hálózat utólagos felülvizsgálata, esetleg csak a hálózat védelme – említett néhány lehetséges példát Papp László. A jövőre való felkészülés azonban nem állhat a pusta védekezésből, a jelen biztonsági problémáinak megoldásából. Az előrelátó szervezeteknek van néhány közös jellemzőjük. A Gartner a kutatásai alapján ezek közé sorolja, hogy az üzleti, stratégiai döntések előkészítésében az IT-biztonsági szempontok is megjelennek, mert a döntéshozók rájöttek, hogy a biztonságnak jelentős hatása van az üzleti célok elérésére, a vállalat megítélésére. Egy másik, hogy a cég jó előre felkészül a jogi és szabályozási környezetnek a tevékenységét alapvetően befolyásoló változásaira. Jó példa erre a GDPR, amely két éves átmeneti időszak után lépett életbe, a vállalkozások döntő többsége mégis csak az utolsó hónapokban kezdett kapkodni, hogy megfeleljen az előírásoknak. A proaktív cégek a felhőszolgáltatásokat és a mesterséges intelligenciát is felhasználják az információbiztonság növelésére. Végül pedig a biztonsági megoldások kiválasztásánál tekintettel van a geopolitikai szempontokra (milyen nemzetiségű és mennyire monopolhelyzetben lévő cégtől vásárol eszközöket, szolgáltatásokat, milyen régiókkal áll üzleti kapcsolatban).

 

Pénzgyár
A globális kiberbűnözésből egy év alatt származó bevétel eléri az 1500 milliárd dollárt – idézte egy amerikai kutató megállapítását Gölcz Dénes. Ennek túlnyomó részét (860 milliárd dollárt) a tiltott, illegális online piacok termelik meg, másik 500 milliárdra pedig a szellemi tulajdon ellopásából tesznek szert a bűnözők. De az ellopott adatok kereskedelméből is befolyik évente 160 milliárd dollár – márpedig ellopható és értékesíthető adatok minden magánszemélynél is kisvállalkozásnál vannak. Ezekhez képest aprópénznek tűnik az az 1 milliárd dollár, amit a zsarolóvírusok termelnek meg. Ugyancsak kisebb összeg, viszont veszélyes tendenciát jelez, hogy a szolgáltatásként kínált kiberbűnözői eszköztár (crimeware-as-a-service) forgalma is elérte az 1,6 milliárd dollárt.

Egy-egy globális vállalatnál az okozott kár nagysága már több száz millió dollárt is elérheti. Magyarországról nincsenek pontos számok, de a Panda Security gyakorlatilag minden szegmensben és cégméretben találkozott áldozatokkal, és a károk itthon is jelentősek lehetnek – ha egy támadás miatt egy online áruház a karácsony előtti szezonban három-négy napig nem tudja kiszolgálni vevőit, az egész évi nyereségének búcsút inthet.

 

Kisebbségben a tudatosság

Az ITB Club résztvevői között egyetértés volt abban, hogy Magyarországon (de Papp László szerint külföldön is) elenyésző kisebbségben vannak azok a vállalatok, amelyek valamennyire is tudatosan kezelik az információbiztonságot, a fent említett előrelátás pedig nagyon kevés cégre jellemző. Tapasztalatai alapján Gölcz Dénes is úgy látja, hogy a kkv-k rendszerint csak akkor ébrednek tudatára saját fenyegetettségüknek (és kezdik komolyabban venni a védekezést), amikor már megtörtént a baj. A tavalyi nagy zsarolóvírus-hullám arra legalább jó volt, hogy ráirányítsa a figyelmet az ilyen típusú fenyegetettségekre és az adatvesztések veszélyére, és ennek köszönhetően már mind többen tesznek lépéseket a fokozottabb biztonság felé.

Több tanáccsal is szolgáltak a magyar kkv-knak a klub résztvevői. Egyrészt be kellene látniuk, hogy az IT-biztonság alapvetően már nemcsak az informatika, hanem a vállalat egész üzletmenetének biztonságáról szól, mondta Papp László. Ha egy kibertámadás miatt akár csak egy-két napra leáll egy gyártóüzem, az óriási közvetlen (termeléskiesés) és közvetett (partnerbizalom) tud okozni. Szoftverfejlesztőknél és -szolgáltatóknál pedig kimondottal piacvesztéshez vezethet egy-egy komolyabb incidens. Különösen oda kell figyelni a ma rohamtempóban terjedő IoT-technológiákra és -eszközökre, ezeket ugyanis biztonsági szempontból senki nem minősíti; emiatt gyakran egészen banális biztonsági rések maradnak bennük. Növelni kell a dolgozók biztonságtudatosságát is, amelyhez sokféle háttéranyag áll rendelkezésre. Az NJSZT honlapján elérhető és ingyenesen letölthető IT-biztonsági kézikönyvnek például július végén jelenik meg a frissített kiadása, árulta el lapunknak Alföldi István, a szervezet ügyvezető igazgatója.

 

Azt is be kellene látni, hogy az IT-biztonság nem az IT-üzemeltetési csapat feladata, azt külön kell kezelni. Mivel pedig a szakemberhiány aligha oldódik meg a közeljövőben, érdemesebb lehet (különösen a kisebb vállalkozásoknak) a szolgáltatásként (is) igénybe vehető biztonsági megoldások felé fordulni, azt pedig el kell fogadni, hogy a jó szolgáltatást, a hatékony védelmet nem adják olcsón. A jó termék/szolgáltatás kombináció kis infrastruktúrát igényel, könnyen üzemeltethető, nagy hangsúlyt fektet a megelőzésre, leveszi a terheket a felhasználó válláról (például kiszűri a hamis riasztásokat), ugyanazt kínálja a kisebb és nagyobb vállalatoknak, és a hatékonyabb, gyorsabb reagálás érdekében mindinkább alkalmazza a mesterséges intelligencia technológiákat – sorolta az ismérveket Gölcz Dénes.

Felmerülhet persze a kérdés, hogy melyik szolgáltatóban bízhat meg a vállalat. Erre egyelőre nehéz választ adni, biztosan számtalan szolgáltató jelenik meg a piacon, de a rosszabbak, gyengébbek előbb-utóbb kihullanak a piacról. A vállalatok és szolgáltatók független biztonsági minősítésére pedig hamarosan kialakulnak azok a módszerek és szolgáltatások, amelyek a hitelminősítésben már jó ideje jelen vannak, sőt, a szereplők is hasonlók lehetnek (hitelminősítők, Big Four), tette hozzá Papp László.

 

forrás: IT Business

Blog
No Comments

Sorry, the comment form is closed at this time.