Az EU-s Adatvédelmi Rendelet (GDPR) négy évvel ezelőtti bevezetése óta az adatvédelmi szervek legalább 963 alkalommal szabtak ki bírságot a szabályok megsértése vagy a megfelelés hiánya miatt. A messze a legnagyobb összegű bírságot, 746 millió eurót az Amazon fizette 2021 júliusában.* Ám az adatbiztonsági kockázatok nemcsak a nagy, hanem a kis-és közepes vállalatokat (KKV-k) is fenyegetik.
A Telekom és a BellResearch friss kutatása** szerint a magyar mikro-, valamint kis- és közepes vállalkozások kétharmada nem veszi komolyan az adathalászat veszélyeit, védelmüket viszont túlértékelik, ami miatt könnyen a hackertámadások célkeresztjévé válhatnak. A Kingston Technology szakértő partnere, Sally Eaves 12 hasznos kiberbiztonsági tanácsát megfogadva a kis- és középvállalkozások hatékonyan felvértezhetik magukat a támadások ellen.
Az adatbiztonság 2022-ben is kritikus fontosságú a vállalatok túlélése szempontjából, hiszen a világ különböző pontjairól jelentett adatvédelmi incidensek, hackertámadások és emberi visszaélések folyamatosan figyelmeztetnek a fennálló fenyegetésekre és kockázatokra. Egyes KKV-k viszont ennek ellenére sem foglalkoznak a biztonság kérdéskörével, vagy nem rendelkeznek a megteremtéséhez szükséges erőforrásokkal, készségekkel. Ám az adatvédelmi incidensek számukra is súlyos következményekkel és magas költségekkel járhatnak. Az IBM Security és a Ponemon Institute közös felmérése szerint az 500 főnél kisebb létszámú vállalkozásoknál 2,35 millió dollárról 2,98 millió dollárra nőttek az adatvédelmi incidensekhez kapcsolódó költségek 2020 és 2021 között, ami 26,8%-os emelkedést*** jelent. Ezért lényeges, hogy a vállalatok néhány kiemelten fontos biztonsági tipp megfogadásával védjék működésüket most és a jövőben.
A Kingston Technology szakértő partnere, Sally Eaves az alábbi tanácsokat javasolja a KKV-k számára:
1. Mindig naprakész szoftvereket használjunk
A szoftverszállítók rengeteg okból bocsátanak ki új szoftververziókat (pl. továbbfejlesztett funkcionalitás, hibajavítások, biztonsági patchek). Ezek megjelenésekor mindig frissítsünk a legújabb verzióra.
2. Automatizáljuk a biztonsági megfelelést
Tekintve, hogy a kiberbiztonság, az adatvédelem és az adatirányítás terén több mint 1000 különböző jogszabály van érvényben – és számuk folyamatosan nő –, a megfelelés komplex kihívást jelent. Így amikor csak lehet, automatizáljuk a folyamatokat a megfelelés hatékonyabb vizuális megjelenítése, kézben tartása, mérése és megszilárdítása érdekében.
3. Cseréljük le az elavult hardvereket
Nem mindig szükséges a legújabb technológiai innovációkat követni, de a hardvereknek mindenképpen lépést kell tartaniuk a szoftverfrissítésekkel. A szoftverek sérülékenységeire reagálva a szoftverfejlesztők rendszeres frissítéseket kínálnak termékeikhez. Előfordulhat azonban, hogy a frissítések nem kompatibilisek az adott eszköz hardverével, így az elavul, mivel nem elég fejlett a legújabb szoftververziók futtatásához. Ezt a kockázatot mindenképpen kerüljük el az idejétmúlt hardverek lecserélésével.
4. Őrizzük meg adataink biztonságát mentési tervvel
A biztonságos adatmentés minden KKV számára kritikus tényező, különösen, ha az adatok helyben, a munkatársaknál vannak. A veszélyek és támadások lényege nem feltétlenül az adatok ellopása: a zsarolóvírusoknál például az adatok titkosítása vagy törlése a végcél. Az ilyen támadásokkal szemben pedig a reziliens adatvisszaállítás a legjobb védelem. Ehhez jó megoldást nyújtanak a titkosított USB-k, mint pl. az Ironkey Vault Privacy 50 és titkosított SSD-k, mint pl. az Ironkey Vault Privacy 80, amelyekkel a kényes adatok a lehető legbiztonságosabban tárolhatók és továbbíthatók. A vállalati adatokkal így akkor sem lehet visszaélni, ha a laptopot ellopják vagy elvesztik.
5. Használjunk VPN-t
A virtuális magánhálózat, azaz VPN hangsúlyos eleme az adatvédelmi stratégiának – főleg, amikor a kollégák nyilvános wifi-hálózatot használnak. Így nem is csoda, hogy ma már számos cég alkalmaz szoftveres VPN-megoldásokat. A VPN használatával az internetszolgáltatóval szemben is megvédhetjük privát adatainkat, de tartsuk észben, hogy ez nem jelent teljes körű adatvédelmi megoldást.
6. Kapcsoljuk ki a Bluetooth-t
Mivel nagyon sok alkalmazás használja ezt a csatlakozási protokollt, a bluetoothos eszközök gyakran esnek hackertámadás áldozatául. A támadás sok esetben olyan adathalász üzenetekhez köthető, amelyek azt kérik tőlünk, hogy kattintsunk rá egy adott hivatkozásra. Ne dőljünk be ezeknek!
7. Ne kattintsunk meggondolatlanul
A kártékony hivatkozások többféle módon okozhatnak kárt. Fontos, hogy a munkatársakat felkészítsük az ilyen hivatkozások felismerésére. Mindig vizsgáljuk meg a hivatkozásokat, és kattintás előtt ellenőrizzük, hogy ismert, megbízható forrásból származnak-e.
8. Védjük a mobileszközöket
Nem csak az irodai vagy otthoni asztali gépet kell védeni, hanem a mobileszközök védelmének is rutinná kell válnia. Ennek érdekében használjunk kétfaktoros hitelesítést, erős jelszavakat és biometrikus funkciókat.
9. Ne hagyjuk befolyásolni magunkat
Ha a támadók nem találnak biztonsági sérülékenységet, más módon próbálnak behatolni, például a pszichológiai befolyásolás (social engineering) módszerével. Az ilyen típusú támadás az eszköz helyett a felhasználó gondolkodását és aggodalmait veszi célba, így próbál hozzáférést szerezni a rendszerekhez és adatokhoz. A személyes adatokra vagy jelszavakra vonatkozó kéréseket azonnal töröljük! Soha semmi nem indokolja azt, hogy bárki személyes adatok megszerzéséért lépjen kapcsolatba velünk. Ügyeljünk az ilyen jellegű kockázatokra!
10. Készítsünk tervet az incidensek kezelésére
A kiberbiztonsági fenyegetések körének folyamatos bővülésével nem az a kérdés a cégek számára, hogy éri-e őket incidens, hanem az, hogy mikor. Ezt figyelembe véve nehéz mindig egy lépéssel az egyre kifinomultabb rosszindulatú támadók előtt járni, ezért érdemes kidolgozni egy készenléti tervet a potenciális incidens kezelésére, és rendszeresen gyakorolni/tesztelni a reagálást.
11. Készítsük fel a munkatársakat a támadásokkal szemben
A kiberbiztonság világában az ember az egyik legnagyobb kockázati tényező. Mivel a pszichológiai befolyásolás, az adathalászat és a zsarolóvírus-támadás már napi szintű probléma, célszerű felkészülni ezekre és rendszeresen tájékoztatni a kollégákat, folyamatosan fenntartani az éberséget. A Kingston Technology Twitter-szavazásának eredménye szerint a vállalatoknál a kiberbiztonsági oktatás a legfontosabb eszköz (41,8%) az ilyen típusú támadások elleni védekezésben. A KKV-któl a nagyvállalatokig mindenféle méretű szervezetek számára érhetők el rendkívül jó és gyakran ingyenes tananyagok erre a célra.
Milyen módszerrel védheti meg vállalatát a kiberbiztonsági támadásokkal szemben?
Többfaktoros hitelesítés
Kiberbiztonsági oktatás
Végponttitkosítás
Egyéb
12. Működjünk együtt az ökoszisztéma széttagoltságának elkerüléséhez
A biztonsági kockázatok semlegesítéséhez a technológiának, az irányításnak, a megfelelésnek, a jogszabályoknak, az oktatásnak és a biztosításnak együtt kell működnie. Vizsgáljuk meg a tudásmegosztás lehetőségeit, a bevált gyakorlatokra épülő javaslatokat, és „lépjünk akcióba”. A biztonsági feladatok megosztásának kreatív együttműködésre épülő, nyílt megközelítése mindenki számára előnyös.
Az adatbiztonsági célok elérése szempontjából kulcsfontosságú, hogy a megfelelő technológiai partnerrel dolgozzunk. A Kingston Technology bevált, megbízható partner a titkosított USB-meghajtók és SSD-k szegmensében. A vállalat személyre szabott támogatást nyújt az előnyök kiaknázásához és a megoldások konkrét üzleti igényekre szabásához. A Kingston Technology szakértői konzultációs („Ask an Expert”) szolgáltatása egyéni tanácsadást biztosít a konkrét adattárolási környezet és szükségletek mellett elérhető előnyökkel kapcsolatban.
Sally Eaves professzor a Cyber Trust elnöke, a Global Foundation of Cyber Studies and Research vezető tanácsadója. „Az etikus technológia élharcosa,” az ENSZ-ben átadott Frontier Technology and Social Impact Award első díjazottja. Szakmai hátterét tekintve technológiai vezérigazgató-helyettes, jelenleg a fejlett technológiák professzora és globális stratégiai tanácsadó az új technológiákkal kapcsolatos kérdésekben. Díjnyertes nemzetközi szerző, népszerű moderátor és előadó, a digitalizáció (MI, 5G, felhő, blokklánc, kiberbiztonság, irányítás, IoT, adattudomány), a kultúra, a készségfejlesztés, a fenntarthatóság, a sokszínűség, az egyenlőség, a befogadás és a társadalmi hatás témáinak szakértője.
Sally Eaves professzorként és mentorként aktívan hozzájárul a tehetséges technológiai szakemberek következő generációjának oktatásához. Megalapította az Aspirational Futures nevű szervezetet, amelynek célja a befogadás, a sokszínűség és az egyenlőség ösztönzése az oktatás és a technológia világában. Legújabb könyve („Tech for Good”) várhatóan 2022-ben jelenik meg. A szakértőt különféle vezető szakmai testületek, például az Onalytica, a globális technológiai ágazat befolyásos személyiségeként ismerik el. Több tudományterületen (pl. MI, 5G és fenntarthatóság) is szerepel a világ top 10-es szakértői listáján.
________________
* https://www.statista.com/statistics/1133337/largest-fines-issued-gdpr/
** https://roamingcsomagok.telekom.hu/rolunk/sajtoszoba/sajtokozlemenyek/2022/aprilis_20
*** Cost of a Data Breach Report 2021, 66. oldal: https://www.ibm.com/downloads/cas/OJDVQGRY