(kiemelt fotó: EnvatoElements)
Még mindig inkább fájdalmas költségként tekintenek az üzleti döntéshozók a kiberbiztonságra, de az is látszik, hogy felnőtt egy olyan menedzsergeneráció, amely tudatosan foglalkozik a témával – számolt be a tapasztalatokról Szirmay Kristóf, a Gloster Networks Kft. IT Security üzletfejlesztési vezetője. A szakember szerint azzal a hozzáállással, hogy a kisebb cégek nincsenek veszélyben, szakítani kell, hiszen a támadások egy része már automatizált, és bárki célkeresztbe kerülhet.
„Azzal szembesülünk, hogy egyre kifinomultabbak a támadások, arra is van példa, hogy a zsarolóvírusok küldői ügyfélszolgálatot is működtetnek. Azt, hogy mekkora a fenyegetés, jól érzékelteti, hogy a tavalyi év első felében csak az adathalász támadások száma 61 százalékos emelkedést mutatott globális szinten. Természetesen ezt az is befolyásolja, hogy egy cégnél mennyire foglalkoznak az informatikai biztonság kérdésével, hogy mekkora az adott társaság, illetve bizonyos iparágakban piaci és jogszabályi elvárás is a megfelelő védelem kialakítása. Míg a kis- és középvállalatok szintjén jellemzően a hálózatért felelős rendszergazdák felelnek a kiberbiztonságért is, addig nagyvállalati körben vagy épp a pénzügyi szektor szereplőinél egyre gyakrabban találkozunk IT-biztonsági vezetővel, vagy akár egy egész osztállyal, amely ezzel foglalkozik. Itt van az a pont, ahol elválik, hogy csupán költségként vagy befektetésként tekintenek-e a biztonságra” – mutatott rá a Gloster üzletfejlesztési vezetője.
Szirmay Kristóf, a Gloster Networks Kft. IT Security üzletfejlesztési vezetője (fotó: Gloster)
Ismerni kell az adatvagyont
A szakember szerint ha egy vállalat tűzfallal, végponti védelemmel, biztonsági mentéssel vértezte fel magát, akkor már komoly előrelépést tett a biztonságos működés felé. Viszont ha magasabb szintű védelemre van szükség, akkor az adott problémákra, fenyegetésekre megoldást kínáló eszközök, szolgáltatások beszerzése miatt emelkedni kezdenek a költségek, de nyilván vannak olyan iparágak, illetve cégek, ahol az átlagosnál jóval nagyobb biztonság az elvárás.
„A kiberbiztonsági projekteket érdemes házon belül az adatvagyon összegyűjtésével, beárazásával, felmérésével kezdeni. Emellett meg kell nézni, hogy milyen rendszerek, licencek vannak a cégnél, azok mikor járnak le. A helyzet az, hogy ha az elhatározás megvan, hogy növeljük a védelem szintjét, az már egy nagyon örvendetes dolog, ezt követően pedig mindenképp érdemes szakértővel konzultálni. Azt látjuk, hogy a mostani helyzetben sok cégnél visszafogják a fejlesztéseket, egy felmérés szerint idén a hazai vállalatok 66 százalékra tervezi csökkenteni az informatikai beruházásait – amelynek részét képezi a kibervédelem is –, jelentős részben az energiaárak emelkedése miatt. Ilyen környezetben lehet nagyon hasznos a cégek számára az a megközelítés, amit mi is alkalmazunk. Az elmúlt években nagyon széles portfóliót építettünk ki a biztonság területén is, és ezt szolgáltatásként is elérhetővé tettük a piac számára. Így a felhasználók csak azután fizetnek, amit tényleg használnak, és ez a rendkívül rugalmas megoldás lehetővé teszi azt is, hogy azok a cégek is erősítsék a kibervédelmüket, amelyek a bizonytalan jövő miatt nem mernek belevágni komoly beruházásba” – fűzte hozzá Szirmay Kristóf.
Elkötelezett vezetők
„A kiberbiztonsági projektek sikeréhez kulcsfontosságú a vállalat vezetőinek elkötelezettsége a fejlesztés és a beruházás mellett, illetve fontos feladat az is, hogy a cég informatikáért felelős szakemberei elfogadják, hogy nem az ő munkájukat akarják megítélni, auditálni, nem fenyegeti az állásukat egy ilyen fejlesztés” – közölte érdeklődésünkre Regyep György, a 4iG Nyrt. IT-biztonsági üzletágának presales menedzsere. „Meg kell találni a szinergiákat, hogy a megoldásszállító a helyi
IT-sokkal szorosan együttműködve alakítsa ki a védelmet, hiszen a vállalatnál dolgozó szakembereknek megvan a szükséges helyismerete. Az a tapasztalat, hogy nem feltétlenül szerencsés, ha a biztonsági költések egy átfogó informatikai büdzsének csak egy szeletét teszik ki. A megfelelő eredményhez fontos, hogy átlátható legyen a projekt, érdemes egy stratégiát kidolgozni és az abban meghatározott mérföldköveken végigmenni. Ha pedig sikeres a bevezetés, akkor jöhet a következő lépcsőfok, az IT-biztonság üzemeltetése és naprakészen tartása, amihez természetesen megfelelő szakértői gárdát kell kiképezni, akár belső erőforrásokra támaszkodva, akár külső szolgáltató segítségét igénybe véve. A belső kompetencia kialakítása sokkal több költséggel jár, mint külső szolgáltatót megbízni a feladattal” – tette hozzá Regyep György.
A szakember tapasztalatai szerint a járvány nagyon sokat változtatott a hazai vállalkozások kiberbiztonsághoz való hozzáállásán is, most már sokkal nyitottabbak az ilyen jellegű beruházások iránt. A felhasználói tudatosság kapcsán ugyanakkor még mindig rengeteg tennivaló van, egyelőre ritka, hogy ilyen jellegű képzést is kapjanak a munkavállalók. „Pedig nagyon fontos lenne, hogy tisztában legyenek azzal, hogy milyen veszéllyel jár egy ismeretlen forrásból érkező levél megnyitása, már csak azért is, mert a támadások 94 százaléka során e-maileken keresztül jutnak be a céges rendszerekbe a kiberbűnözők. Ezt felismerve elkezdtünk kidolgozni egy olyan szolgáltatást, ami segít ennek a tudatosságnak a növelésében” – jelezte a szakember.
Veszélyben a mobilok is
Regyep György szerint a közeljövőben nem várható nagy változás abban, hogy melyek lesznek a leggyakoribb fenyegetések, az adathalászat és a zsarolóvírus-támadások továbbra is rendkívül sok problémát okoznak. Emellett megfigyelhető, hogy egyre sűrűbben történnek olyan támadások, amelyek során kémprogramokat használnak a kiberbűnözők, úgyhogy ezzel a kockázattal is egyre inkább számolni kell.
„Ezek a kémprogramok hosszú ideig észrevétlenül figyelhetik a tevékenységet a megfertőzött eszközökön, és nagyon komoly károkat okozhatnak az adatok ellopásával. Ráadásul ilyen szoftverek már korántsem csak a céges számítógépekre települnek, hanem mobiltelefonokra, táblagépekre is. A vállalatoknak fel kell ismerniük, hogy a mobileszközöket is védeniük kell. Fontos azonban hangsúlyozni, hogy a veszélyeket ismerni kell ugyan, de azért nem szabad engednünk, hogy paranoiássá váljunk ezek miatt” – emelte ki Regyep György.
Regyep György, a 4iG Nyrt. IT-biztonsági üzletágának presales menedzsere (fotó: 4iG)
