Miközben a fenyegetés napról napra nagyobb, a kibervédelmi ismeretek hiánya miatt a vállalatok egyre kiszolgáltatottabbá válnak. Ez a probléma különösen a kis- és középvállalkozásokat (kkv-kat) érinti, amelyek a jelenlegi gazdasági környezetben kénytelenek csökkenteni kiadásaikat. Az ESET kiberbiztonsági kutatói a közelmúltban több mint 700, különböző iparágakban tevékeny kkv körében azt mérték fel, képesek-e felismerni a legújabb kiberfenyegetéseket, és tudnak-e reagálni rájuk. A különbségek szembetűnőek.
Az ESET 2022-es SMB Digital Security Sentiment Report című jelentése egyértelmű képet ad arról, miként reagálnak a vállalatok a kialakult biztonsági helyzetre. A megkérdezett kkv-k 32 százaléka számolt be arról, hogy használ végpontvédelem és válaszadás (EDR), kiterjesztett észlelés és elhárítás (XDR) vagy felügyelt észlelés és reagálás (MDR) technológiát, míg 33 százalék tervezi ezen kiberbiztonsági szolgáltatások igénybevételét. A kiterjesztett észlelési és elhárítási (XDR) funkció lehetővé teszi az IT infrastruktúra fokozott átláthatóságát, megkönnyítve a biztonsági incidensek elkerülését vagy azok kivizsgálását.
Nézzük meg, mi jellemzi a különböző ágazatokat:
• Üzleti és szakmai szolgáltatások
Az adatok szerint az üzleti és szakmai szolgáltatásokat nyújtó kkv-k több mint negyede (26%) nem, vagy alig bízik a vállalaton belüli saját kiberbiztonsági ismereteikben. Alig egyharmaduk (31%) kevéssé bízik abban, hogy csapatuk tisztában van a legújabb fenyegetésekkel. A résztvevők egyharmada (33%) véli úgy, hogy a vállalatuk nehezen tudná azonosítani egy kibertámadás kiváltó okát.
Az üzleti és szakmai szolgáltatásokat nyújtó kkv-k 38 százaléka saját maga gondoskodik a kiberbiztonságról, az összes megkérdezett kkv esetében ez az arány némileg alacsonyabb, 34 százalék. Ám van törekvés ennek megváltoztatására: mindössze 24 százalékuk szeretné tartósan házon belül tartani a biztonsági felügyeletet. Az üzleti és szakmai szektorban tevékeny kkv-k 54 százaléka már kiszervezi ezt a feladatot. További 8 százalék tervezi, hogy a következő 12 hónapban külső szakértőkre bízza a kibervédelmi intézkedéseket.
• Pénzügyi szolgáltatások
A pénzügyi szektorban működő kkv-k 29 százaléka alig vagy egyáltalán nem bízik a saját kiberbiztonsági szakértelmében. Még ennél is többen (36%) kevéssé vagy nem bíznak abban, hogy alkalmazottaik tisztában vannak a kiberbiztonsági fenyegetésekkel. A pénzügyi szolgáltatásokat nyújtó kkv-k mindössze 26 százaléka gondolja azt, hogy a vállalat nehezen tudná megállapítani egy kibertámadás kiváltó okát.
A megkérdezett pénzügyi vállalkozások mindössze 28 százaléka kezeli az IT-biztonságot házon belül, ami a vizsgált ágazatok közül a legalacsonyabb arány. Csaknem kétharmaduk (65%) inkább kiszervezi a feladatot, az összes kkv esetében ez az arány 59 százalék.
• Gyártás és ipari termelés
A szektor kis- és középvállalkozásainak egyharmada (33%) alig vagy egyáltalán nem bízik a saját kiberbiztonsági szakértelmében, ami jóval több az összes kkv átlagánál (25%). Tízből négyen (40%) kevéssé vagy egyáltalán nem bíznak abban, hogy alkalmazottaik felismerik a biztonsági fenyegetéseket, ami minden más ágazatnál magasabb arány. Ugyanakkor mindössze 29% aggódik amiatt, hogy nehezen tudná azonosítani egy esetleges kibertámadás kiváltó okát.
10 gyártás és ipari termelés területén dolgozó kkv közül mindössze 3 kezeli saját maga az IT-biztonságot. Több mint kétszer annyian (63%) inkább kiszervezik a védelmüket.
• Kiskereskedelem, nagykereskedelem, forgalmazó ipar
Ötből négy (80%) kis- vagy nagykereskedelmi, illetve forgalmazással foglalkozó kkv bízik mérsékelten vagy nagyon a saját kiberbiztonsági szakértelmében, ami a legmagasabb arány az összes ágazat közül. A szektorban működő vállalatok háromnegyede (74%) mérsékelten vagy nagyon bízik abban, hogy az alkalmazottak felismerik a biztonsági fenyegetéseket, míg a pénzügyi iparágban tevékenykedő cégeknek például csak 64 százaléka bízik ebben. Emellett a kis- vagy nagykereskedelmi és forgalmazó vállalatok 79 százaléka úgy véli, képesek azonosítani egy kibertámadás kiváltó okát, ami minden más vizsgált iparághoz képest kimagasló arány.
Ezen cégek 41 százaléka kezeli a kiberbiztonságot házon belül, és mindössze 53 százalék szervezi ki jelenleg az IT feladatokat. Az iparági válaszadók 6 százaléka tervezi, hogy a következő egy évben külső szakértőre bízza a vállalati kibervédelmet.
• Technológia és távközlés
A technológiai és távközlési kis- és középvállalkozások negyede (25%) alig vagy egyáltalán nem bízik a belső kiberbiztonsági szakértelemben. Ugyanakkor az ágazaton belül több kkv (78%) ért egyet mérsékelten vagy nagyon azzal az állítással, hogy alkalmazottai tisztában vannak a biztonsági fenyegetésekkel, ami minden vizsgált szektor közül a legmagasabb szám. Több mint háromnegyedük (77%) úgy véli, hogy egy esetleges támadás esetén képesek azonosítani a kiváltó okot.
Talán nem meglepő, hogy a technológiai és távközlési kkv-k körében magasabb (37%) azoknak az aránya, akik saját kezükben tartják a kiberbiztonságot, szemben az összes megkérdezett vállalat arányával (34%). Mégis, több cég szervezi ki a biztonsági intézkedéseket, mint a kiskereskedelmi szektorban (58% és 53%).
Hamis biztonságérzet?
Míg bizonyos ágazatokban a kkv-k nagyobb önbizalommal rendelkeznek, és másoktól eltérő megközelítéseket alkalmaznak a kiberbiztonság terén, gyakran ezek a vállalkozások teljes mértékben maguk kezelik az IT-védelmet, ami hamis biztonságérzetet adhat. Az ESET kiberbiztonsági szakértői szerint akkor is érdemes rendszeresen harmadik fél által végzett ellenőrzéseket végrehajtani, biztonsági irányelveket létrehozni és rendszeresen frissíteni azokat, ha a feladatok házon belül maradnak. Erről a témáról rendszeresen szó esik az ESET IT-biztonsági podcastjében, a Hackfelmetszők – Veled is megtörténhet! adásaiban: a szakértők a legújabb adásban a sokszor magáncélra is használt céges mobileszközök védelmével kapcsolatban adnak tanácsokat – hiszen a céges adatok ezeken az eszközökön keresztül is illetéktelenek kezébe kerülhetnek.