Átlagosan 20-30 feltárt biztonsági probléma jut ma Magyarországon a vállalati informatikai rendszerekre, de akadnak cégek ahol ezek száma a 100-at is megközelítette – derül ki a Hunguard Kft. belső felméréséből.
Bár a cégek egyre jobban figyelnek az adatok sértetlenségére és biztonságára, ma még jellemzően gyerekjáték bejutni egy-egy vállalati rendszerbe. Felmérések szerint a Magyarországon működő vállalkozások mintegy harmada már átélt valamilyen külső támadást, több mint felük mégsem rendelkezik kellő erősségű információbiztonsági védelmet nyújtó megoldással, miközben egy-egy ilyen támadás akár dollármilliókban mérhető károkat is okozhat.
„Csak nagyon kevés cég esetében tártak fel szakértőink darabszámban 10 alatti problémát, akadtak viszont olyan társaságok, ahol akár 50-70 különböző súlyosságú biztonsági hiányosságot is azonosítottunk” – mondta Lengyel Csaba, a Hunguard Kft. szakmai vezetője.
A vállalkozások leggyakrabban adatlopás áldozatai lesznek, így például az üzleti levelezések, ügyféladatok, személyzeti nyilvántartások, pénzügyi adatbázisok jelentik a támadások célpontjait. Habár az ilyen jellegű adatok pénzbeli értékét nehéz megadni, a nemzetközi felmérések szerint egy-egy elem (például egy címlista egyik eleme, dolgozói adatokat tartalmazó fájl) az előállításába fektetett erőforrásokat figyelembe véve nagyságrendileg 160 dolláros veszteséget jelent.
Sok kicsi sokra megy
Egy-egy támadás a nemzetközi felmérések alapján átlagosan 3,5 millió dolláros károkat okozott a cégeknek 2014-ben. A kis- és közepes vállalkozásoknál ez a kárösszeg jellemzően alacsonyabb, de a nagyvállalatok esetében jelentősen meg is haladhatja ezt. Igaz, hogy ez már elsősorban ipari kémkedést, a know-how és a terméktervek eltulajdonítását feltételezi” – tette hozzá a szakértő.
Egy biztonsági rés rossz szándékú felhasználása akár egy egész termelő vállalatot is megbéníthat. Tavaly decemberben egy németországi acélműben vették át az irányítást az olvasztó kohó automatizált rendszerei felett a hackerek, ami az eszközök fizikai sérüléseihez vezetett.
A saját munkatárs is veszélyforrás lehet
„Adatbiztonsági szempontból megengedhetetlen, hogy a céges adatbázisokhoz ellenőrizetlenül hozzáférhessenek a munkatársak, számlázási vagy egyéb üzleti és ügyféladatokat is kinyerhessenek a rendszerből” – sorolta a szakmai vezető. Szerinte már a jogosultságok részletes belső szabályozása és egy naplózási rendszer is sokat tehet az ilyen kockázatok minimalizálásáért.
100 százalékos biztonságot nyújtó védelem nem létezik, de a támadók jelentős részének kedvét már minimális odafigyeléssel is el lehet venni az online vagy akár a belülről érkező támadásoktól. A hálózatok megfelelő kialakítása, a biztonsági igényeknek megfelelő hardveres elemek beépítése és a jogtiszta, a biztonsági lyukakat folyamatosan frissítésekkel lezáró szoftverek alkalmazása ma már elengedhetetlen.
„A szakemberek által lefolytatott sérülékenység-vizsgálat, az etikus hackelés, valamint a belső biztonsági auditok feltárják a hiányosságokat. Az érdemi munka viszont ezután kezdődik, egy folyamatos párbeszéd mentén külső és vállalaton belüli szakértők bevonásával javítják az észlelt hibákat a társaságok” – részletezte Lengyel Csaba.
