A profi hackerek és a szervezett bűnözés célba vették a világ legnagyobb pénzintézeteit

forrás Prim Online, 2006. július 31. 14:48
A világ legnagyobb pénzintézetei soha nem látott mennyiségű biztonsági támadást észleltek az elmúlt évben, elsősorban külső forrásokból. A válaszadók több mint háromnegyede (78%, szemben a 2005-ös 26%-kal) nyilatkozott úgy, hogy a szervezetet kívülről induló biztonsági támadás érte, és csaknem felük (49%, szemben a 2005-ös 35%-kal) észlelt legalább egy illetéktelen belső behatolást.
A fenti adatok a Deloitte Touche Tohmatsu (DTT) tagvállalataiban működő Pénzügyi Szolgáltatási Szektor munkacsoport közelmúltban megjelent Globális Biztonsági Felméréséből származnak. A negyedik éves felmérés a világ legjelentősebb pénzintézeteinél dolgozó vezető biztonsági szakemberekkel készített interjúkból áll, és globális benchmarknak számít a pénzügyi szolgáltatási szektor IT biztonsága és a titokkezelése területén.

Az elmúlt 12 hónapban a globális pénzügyi ágazatban leggyakrabban tapasztalt három (külső és belső) támadási típus célja valamiféle pénzügyi előny illegális megszerzése volt. A külső támadások több mint felét (51%) a "phishing" (adatlopás) és "pharming" (adatfertőzés) adták, és ezt követte a "spyware/malware" felhasználása (48%). A válaszadók szerint a három leggyakrabban előforduló belső támadás között szerepelnek a belső visszaélések (28%) és az ügyféladatok kiszivárgása (18%).

"Az ilyen biztonsági támadások kiterjedése és jellege új helyzetet teremtett a globális pénzügyi szektorban. A támadások végrehajtása jelentős erőforrásokat és koordinációt igényel, amiből arra következtethetünk, hogy mára a profi hackerek és a szervezett bűnözés is megjelent ezen a területen, amely valaha a "kódoló kölykök" és a botcsinálta hackerek birodalma volt" - vélekedett Szendrey Attila, a magyarországi Deloitte Kockázatkezelési szolgáltatások üzletágának szenior menedzsere. "Ez a trendváltás nem csak azt jelenti, hogy a szervezetek kifinomultabb és nehezebben nyomon követhető támadásokkal néznek szembe, hanem azt is, hogy nagyobb kockázatnak és potenciális veszteségeknek vannak kitéve. A pénzintézeteknek ezeket a tényezőket is figyelembe kell venniük általános biztonsági stratégiájuk kialakítása során."

Természetesen a pénzügyi szolgáltatási szektor sem megy el szó nélkül az on-line behatolók kriminalizálódása és az általuk képviselt kockázatok mellett, hanem - már most is látható módon - lépéseket tesznek az új fenyegetés kivédése érdekében. Idén a személyes adatokkal és bankszámlákkal való visszaélés (58%), valamint a személyazonosság és hozzáférés menedzsment (41%) is bekerült 2006 öt legfontosabb biztonsági kezdeményezése közé. A pénzügyi szektor aktuális eseményekre és növekvő fenyegetésekre adott gyors válaszának további bizonyítéka, hogy a katasztrófa-helyreállítás és az üzletfolytonosság (49%) szintén szerepel az öt legfontosabb biztonsági kezdeményezés között. Az üzletfolytonossági terv jelentőségét tükrözi - különös tekintettel a közelmúltban a világ számos pontját érintő természeti katasztrófa sorozatra -, hogy a pénzintézetek meglepően nagy hányada (88%) nyilatkozott úgy, hogy rendelkezik a teljes vállalkozásra kiterjedő, hatályos üzletfolytonossági tervvel.

"A Deloitte felméréséből kitűnik, hogy a pénzintézetek rajta tartják kezüket a gyorsan fejlődő és változó biztonsági környezeten. Folyamatosan áthelyezik a hangsúlyokat, és meghozzák a különböző biztonsági kockázatok és kihívások mérsékléséhez szükséges intézkedéseket", tette hozzá Szendrey. "Míg természetesnek tekinthető a hangsúlyok áthelyezése a leginkább fenyegető, erősödő kockázatokra, a vállalkozásoknak el kell kerülniük, hogy szemellenzőssé váljanak, és mindent el kell követniük a biztonsági tevékenységek és kezdeményezések kiegyensúlyozottabb, holisztikus kezelése érdekében."

Érdekes módon a legutóbbi felmérés óta a biztonság-tudatosság és -oktatás kikerült az öt legfontosabb terület közül. Bár a válaszadók 96%-a nyilatkozta, hogy aggodalommal tölti el az IT rendszerek munkavállalók általi helytelen használata, mindössze egy harmaduk (34%) tartott valamilyen információ-biztonsági és titokkezelési oktatást a dolgozóinak. A pénzintézetek leggyakrabban (63%) a weboldalon elhelyezett tájékoztatást és az e-mailt használják a biztonsági oktatások és tudatosság erősítése céljára. Más, talán hatékonyabb módszereket - pl. orientációs tréning (35%) és a példamutató viselkedés elismerése (9%) - lényegesen ritkábban alkalmaznak.


A felmérés további fontosabb megállapításai:



Regionális áttekintés

Európa, Közel-Kelet és Afrika (EMEA): Idén az EMEA régió bizonyult a legjobbnak az információbiztonsági vezető (CISO) kinevezések területén. Ebben a régióban található a legtöbb (91%) olyan pénzintézet, ahol már létezik és be van töltve a CISO munkakör. Míg az EMEA régió stabil pozíciókkal rendelkezik a legtöbb információbiztonsági paraméter területén a világ többi részével való összehasonlításban, a munkatársak képzésében és tudatosságának erősítésében elmarad a versenytársaktól, mivel a pénzintézetek mindössze 41%-a nyilatkozta, hogy biztonsági iránymutatást ad dolgozóinak, szemben a globális 49%-os átlaggal.

Ázsia és a Csendes-óceáni térség, Japán nélkül (APAC): Az APAC az egyik vezető régió a teljes vállalkozásra kiterjedő üzletfolytonossági programok bevezetésében, és a titoktartás kezelésében (92% illetve 85%), ami valószínűleg részben a régiót a közelmúltban érintő természeti csapásoknak tudható be. Ugyanakkor az információbiztonság más területein, pl. CISO kinevezése (23%) és biztonsági stratégia bevezetése (33%), ez a régió elmarad a világ többi részétől. Továbbá, az APAC régió valamennyi válaszadója legalább egy illetéktelen behatolást tapasztalt az elmúlt évben.

Japán:
A japán válaszadók lettek az idei év bajnokai, mivel nyolc különböző kategóriában szerezték meg az első helyet, többek között a biztonsági stratégia megléte (93%), a dolgozók oktatása és tudatosságának erősítése (90%), a titoktartásért felelős felső vezető kinevezése (100%) és a titoktartás garantálását szolgáló program bevezetése (100%). A japán pénzintézetek számoltak be a legkevesebb illetéktelen behatolásról is (32%).

Egyesült Államok: A felmérés kezdete óta először fordul elő, hogy valamennyi amerikai válaszadónál van hatályos üzletfolytonossági program. Ez egyáltalán nem meglepő, figyelembe véve a Katrina hurrikán pusztítását, ami szörnyű pusztítást vitt végbe az országban, és a pénzügyi szektorban is felrázta a kedélyeket. Míg a régió pénzintézeteinek háromnegyede (74%) fogadott el információbiztonsági stratégiát, csak 71% érzi úgy, hogy ehhez megszerezte a menedzsment szükséges támogatását is. Idén az amerikai válaszadók 91%-a (ami meghaladja a globális 82%-os átlagot) nyilatkozta, hogy valamilyen formában tapasztalt illetéktelen behatolást.

Kanada:
Kanada Japán után a második helyezett, mivel hat kategóriában szerezte meg az elsőséget: az összes kanadai válaszadó (100%) rendelkezett a teljes vállalkozásra kiterjedő üzletfolytonossági programmal, valamint a titoktartás kezelését szolgáló programmal (100%), amelyet egy kifejezetten ezzel megbízott felső vezető irányít (100%). Kanada szintén az első helyet szerezte meg a biztonságnak az üzleti tevékenység kritikus területeként való elismerésében és felső vezetői kezelésében (64%), ahol rendelkezésre állnak a szabályozói követelmények teljesítéséhez szükséges elkötelezettség és források (91%). A spektrum másik végéről elmondhatjuk, hogy ebben a régióban volt a legtöbb olyan pénzintézet (100%), amely illetéktelen behatolást szenvedett el 2005-ben, és egyben itt volt az egyik legalacsonyabb az olyan vállalkozások száma (55%), amelyek biztonsági továbbképzést nyújtanak a dolgozóinak.

Latin-Amerika és a Karib szigetek (LACRO):
Már a második egymást követő évben tapasztaltuk, hogy a LACRO régió válaszadóit nem foglalkoztatja túlságosan a titoktartás kérdése. Erre elsősorban a gyenge szereplésükből következtethetünk az olyan területeken, mint a titoktartás kezelését szolgáló program alkalmazása (25%), amelyet egy kifejezetten ezzel megbízott felső vezető irányít (26%), üzletfolytonossági terv megléte (67%) vagy CISO kinevezése (57%). Másrészről a válaszadók többsége (90%) vélekedik úgy, hogy megfelelő elkötelezettséggel és forrással rendelkeznek a szabályozói követelmények kezeléséhez.