Az IoT-eszközök térnyerésével egyre több lehetőség nyílik a digitális fejlődésre. Ma már gyakorlatilag nincs olyan cég, amely ne használna digitális megoldásokat, mivel az általuk nyújtott sokoldalú funkciók és a szolgáltatott adatok kényelmesebbé, átláthatóbbá, valamint hatékonyabbá teszik a szervezetek működését.
Ugyanakkor ezek az online hálózatba kapcsolt, egymással kommunikáló eszközök egyben támadási felületet teremtenek a kiberbűnözőknek, így a vállalatok már a napi rendes működéssel is ki vannak téve a kibertámadásoknak, amelyek 2017-ben esetenként átlagosan 3,62 millió dollárnyi kárt okoztak. A McKinsey felmérése szerint ráadásul az érintettek átlagban 99 nap alatt észlelik a „betörést”. A Schneider Electric tisztában van vele, hogy más nemzetközi nagyvállalatokkal együtt jelentős fenyegetettségnek van kitéve, ezért osztja most meg a megfelelő kibervédelmi rendszer kialakításához saját maga által is alkalmazott intézkedéseket.
A veszély senkit sem kerül el
Napjainkban minden vállalkozás használ digitális eszközöket, amelyek a napi tevékenység szerves részét képezik. A vállalatok működését és fejlődését nagy mértékben segítik az egyre gyorsabban fejlődő IoT-megoldások, amelyek száma 2017-ben meghaladta a 20 milliárdot. Az egymással összeköttetésben álló eszközök miatt viszont a rendszer könnyebben megtámadható, így a hatékony védekezés kulcsfontosságú. A McKinsey adatai is alátámasztják a megfelelő és átfogó kibervédelmi stratégia szerepét. A mutatók szerint évente átlagosan 100 milliárd sornyi szoftverkódot kellene megvédeni a kiberbűnözőktől, a hackerek azonban ezalatt 120 millió új rosszindulatú programot (malware-t) alkotnak meg.
A cégvezetők rémálma
A PwC tanulmánya szerint a cégek egyre több pénzt fordítanak a támadások kivédésére. Csak a nyugat-európai vállalatok 2018-ban várhatóan több mint 25 milliárd dollárnyi összeget fordítanak majd kibervédelemre. Az óvintézkedés megalapozott, hiszen a betörések során a hackerek olyan adatokat szerezhetnek meg, amelyek negatívan befolyásolhatják a bevételt vagy a vállalat hírnevét, hozzáférhetnek rendszereszközökhöz (levelezés, vírusvédelmi programok stb.) de kihasználhatják a felhőalapú adattároló rendszerek sérülékenységét, vagy fizikai károsodást tudnak okozni a gépekben. Ez azonban csak pár lehetséges károkozási lehetőség a számtalan opcióiból.
Fontos, hogy a kibervédelmi fejlesztéseket már az üzleti stratégia kialakításánál figyelembe kell venni. Az alapvető nehézséget azonban nem feltétlenül az új biztonsági irányelvek bevezetése okozza, hanem azok megfelelő integrálása a szervezetbe, amely gondolkodásbeli átállást igényel. Világossá kell tenni, hogy a kibervédelmi intézkedések miatt nem lesz bonyolultabb használni a termékeket és a szoftvereket, illetve, hogy a biztonság megteremtése nem csak az IT-osztály feladata. Ehhez pedig kiberbiztonsági tréningekre van szükség.
A Schneider Electric szakemberei szerint a megfelelő védelmi rendszer kialakításához az alábbiakat mindenképp fontos figyelembe venni:
Mások kárán
A Schneider Electric is ennek mentén alakította ki kibervédelmi stratégiáját, hiszen a digitális gazdaság szereplőjeként önmaga is ki van téve a támadásoknak. A tapasztalatok alapján pedig nemcsak a saját védelmére tud megfelelő megoldásokat javasolni, hanem más, hasonló cipőben járó vállalatoknak is. A Schneider Electric digitális biztonsági módszertana az alábbi elemekből épül fel, amelyek könnyedén átültethetők egyéb szervezetek stratégiájába is:
1. A kockázatok felmérése: Az üzleti folyamatokat érintő kiberveszélyek azonosítása. Fel kell térképezni a támadási felületeket, valamint azokat a potenciális fenyegetéseket, amelyek képesek kihasználni a biztonsági réseket. Amennyiben ez előírás, fontos figyelembe venni a nemzetközi szabványokat, és ezekkel összhangban kialakítani a saját irányelveket, illetve házirendeket.
2. A védelmi eszközök megteremtése: A sérülékenységet leghatékonyabban orvosló biztonságtechnikai módszerek kialakítása. Ezek során figyelmet fordítanak a megfelelő technológiákra (pl.: végponti védelem) és folyamatokra (pl.: a behatolásokat folyamatosan figyelő biztonsági rendszer), valamint a kibertámadások által leginkább veszélyeztetett munkavállalók képzésére és tájékoztatására (pl.: biztonsági tréningek és tudatosságra nevelés).
3. A koronaékszerek védelme: A legértékesebb és legsérülékenyebb vállalati eszközök beazonosítása és megkülönböztetett védelemmel való ellátása. Biztosítani kell a megfelelő hátteret, technológiát és személyzetet, hogy megakadályozzák az üzletmenet folytonosságát érintő behatolásokat, illetve a szolgáltatáskiesést.
4. Folyamatos ellenőrzés: Az alkalmazott gyakorlatok, valamint az internetalapú szolgáltatások sebezhetőségeinek állandó felülvizsgálata. Rendszeres belső értékelések, illetve a levont tanulságok hasznosítása. A minél nagyobb biztonság érdekében ezeket érdemes kiegészíteni harmadik, független féltől származó minősítésekkel.