Milliós adatszivárgási károk Magyarországon
Lezárult a Compliance Data Systems Kft., az ITBN 2012 konferencián bejelentett online felmérése a hazai adatszivárgás elleni védelem magyarországi helyzetéről. A több szektorból érkező válaszok objektív képet adnak a hazai IT biztonsági állapotról, amelynek elemzésekor látható, hogy a hazai vállalatok informatikai biztonsága egyelőre nem tud megfelelő választ adni a felmerülő biztonsági kihívásokra, illetve a cégek döntő többsége még felbecsülni sem tudja, hogy mekkora kár éri a vállalatot egy adatszivárgási incidens alkalmával.
Az adatszivárgás elleni védelem témában eddig csak külföldi adatokon alapuló kutatások álltak rendelkezésre, amelyek nem ültethetőek át teljes egészében a hazai környezetre. A mostani nem reprezentatív felmérés célja, hogy a magyarországi viszonyokról kapjunk egy objektív képet, amelynek segítségével feltérképezhetjük az IT biztonsági piac jelenlegi állapotát, az uralkodó trendeket, illetve megtaláljuk azokat a gyenge pontokat, ahol a biztonság megerősítésére lehet szükség a vállalatok adatkezelési szabályrendszerében.
A kutatás kulcsmegállapításai
A válaszolók legnagyobb része bár ismeri az adatvédelmi technológiákat, azokat a gyakorlatban csak kis mértékben alkalmazzák, csak minden ötödik-tizedik cég használ merevlemez titkosítást, email titkosítást, portvédelmet vagy adatszivárgást megelőző szoftvert, harmaduk semmilyen védelemmel nem rendelkezik.
A bizalmas adatok felmérése, osztályozása a vállalatok felénél történik meg, de többnyire ott sem megfelelően kontrollált módon.
Minden második cégnél használnak a dolgozók személyes tulajdonú eszközt a munkavégzéshez, amelyek védelme esetleges.
Az adatszivárgási esetekről a cégek kétharmada nem értesül, a bekövetkezett károk nagyságát 80%-uk felbecsülni sem tudja.
Az adatvédelmi törvényben megfogalmazott követelményeket a cégek felénél ismerik, megfelelő szervezeti és szabályozási környezet azonban még ennél is kevesebb esetben létezik.
Részletes eredmények
A Compliance Data Systems Kft. felmérése résztvevőinek többsége a kkv szektorból érkezett, de a nagyvállalatok képviselői is jelentős arányban képviseltették magukat. Az online felmérésben több mint százan vettek részt, így az eredmények jól tükrözik a mai magyar helyzetet.
A válaszadók számos területen tevékenykednek, a kutatás során több mint 30 szektor képviselőitől érkeztek visszajelzések. A legnagyobb válaszadói csoport a pénzügyi szektorból érkezett, amelyet az IT és a szolgáltatási területek követnek, valamint a kérdőív kitöltésében részt vettek a telekommunikációban, biztosításban, államigazgatásban, oktatásban, logisztikában tevékenykedő vállalatok képviselői, de számos más területről is érkeztek válaszok.
Bíztató adat, hogy a felmérésben résztvevők 70%-a már hallott valamilyen adatszivárgás elleni védelemről, ugyanakkor a válaszadók közel harmadánál nem használnak semmiféle adatvédelmi megoldást. A válaszadók cégeinél használt adatvédelmi megoldások közül a merevlemez titkosítás a legelterjedtebb (20%), amelyet a portvédelmi megoldás követ (17%), DLP szoftvert csak mintegy 14% használ.
A vállalatok több mint felénél osztályozva vannak az adatok, de jelentős részben a dolgozók saját maguk osztályozzák a cég adatait, ami biztonsági szempontból aggályos. Közel 15%-nál semmiféle osztályozás nincs, azaz a dolgozók és a vezetők nem mindig tudják megállapítani, hogy melyik adat a bizalmas és melyik nem. Az adatok használatának szabályozása, illetve az ezekhez kapcsolódó oktatás csak a cégek felénél jellemző, 23%-nál csak szabályozás van, oktatás nincs, a válaszadók ötödénél pedig se szabályozás, se oktatás nincs.
A vállalatok 45 százalékánál használnak dolgozói tulajdonú hordozható, vagy asztali számítógépet, amelyeknek csupán 30 százalékán van ugyanolyan szintű védelem, mint a vállalatnál, és a gépek 15%-án semmiféle védelmi megoldás nincs. A manapság kulcsfontosságú téma, a mobileszközök védelmével kapcsolatban a tapasztalt, hogy a vállalatok felénél használnak okostelefont és táblagépet és ezek negyede a munkavállalók tulajdonában van. A dolgozók tulajdonában lévő okostelefonok aránya nagyobb, de a magántulajdonú táblagépek is kezdenek elterjedni vállalati környezetben, ami kritikus tényező lehet az adatszivárgás elleni védelemben.
Az azonosítással kapcsolatos kérdések értékelésekor kiderült, hogy a vállalatok több mint felénél nincs kétfaktoros azonosítás, ahol van, ott a fizikai tokenes azonosítás a legelterjedtebb megoldás, amelyet a szoftveres azonosítás követ.
Az adatszivárgási esetekről szóló kérdésekre adott válaszokból kiderül, hogy a vállalatok dolgozói közel 65 százalékának nincs tudomása adatszivárgási incidensekről, ami természetesen nem azt jelenti, hogy ezek az esetek nem léteznek, inkább arról van szó, hogy a legtöbb esetben a vállalat maga sem észleli ezeket, illetve a legtöbb felfedezett incidenst a vezetőség igyekszik titokban tartani. Ezt tükrözi az is, hogy a válaszadók 81 százaléka megbecsülni sem tudja, hogy mekkora kár érhette a cégét egy adatszivárgási esemény kapcsán. A CDSYS felmérésére adott válaszokból kitűnik, hogy százezres nagyságú kár a leggyakoribb, ugyan akkor a tízmillió forint feletti veszteség gyakoribb, mint a milliós kár.
A leggyakoribb adatszivárgási esetekben a munkavállaló küldött ki bizalmas adatokat e-mailben, vagy más módon hálózaton keresztül, de ugyanilyen gyakoriságú az elveszett laptopok okozta adatvesztés is. Ugyancsak gyakori az elveszett céges hordozható eszközök által bekövetkezett adatszivárgás, illetve a saját használatra, a dolgozó által hordozható eszközre kimásolt anyagok aránya.
A felmérés alapján kijelenthető, hogy a vállalatoknál nincs egységes koncepció az előforduló adatszivárgási esetek kezelésére. Egyharmaduk csak az incidens után hoz szabályokat, 30% utólagosan oktatja a munkavállalókat, 12% fegyelmi eljárásokat indít, és alig egytizedük tesz jogi lépéseket. Aggasztó, hogy csupán a válaszadók alig több mint felének van tudomása arról, hogy az új adatvédelmi törvény kapcsán milyen védelmi kötelezettségeknek kell eleget tenniük és milyen szankciókkal jár ezek elmulasztása. IT biztonsági vezető a cégek 12%-nál van, informatikai vezető a 35%-nál van alkalmazásban, és a vállalatok 40%-nál van mindkettő, illetve 13 százaléknál egyik sincs.
Összegzésként elmondható, hogy a vállalatok nagy része már hallott valamilyen adatszivárgás elleni megoldásról, de 30%-a a cégeknek semmiféle adatvédelmi megoldást nem használ. Az adatok megfelelő osztályzása is problémás, mivel hiába használ a többség valamilyen adatosztályozást, az adatok bizalmas jellegének megállapítását zömében maguk a munkavállalók végzik, ami nem minden esetben jelent hatékony megoldást, ráadásul a bekövetkezett adatszivárgási incidensek nagy része továbbra is belső eredetű. Sajnos az adatvédelmi szabályozás kialakítása és a megfelelő oktatás is csak a cégek felénél jellemző, illetve aggodalomra adhat okot a mobileszközök, ezen belül a dolgozói tulajdonú készülékek elterjedése a vállalati környezetben. Ahogy a CDSYS felméréséből kiderül a vállalatok munkatársai nincsenek tisztában az adatszivárgás okozta károk mértékével, és az ismert többmilliós nagyságrendű károkat okozó adatszivárgások mértéke arra enged következtetni, hogy a nem ismert adatszivárgási esetek összege jóval nagyobb lehet. A vállalatoknak tehát érdemes lehet elgondolkozni a megfelelő IT biztonsági szabályzatok bevezetésén és betartatásán, az alkalmazottak folyamatos biztonsági képzésén, illetve egy hatékony adatszivárgás elleni megoldás bevezetésén.
Kapcsolódó cikkek
- Majd minden negyedik ember választja inkább a mobilját, mint a szexet
- A neten tájékozódnak a nők randi előtt
- 1,2 millió hazai munkavállaló a munka mellett az adatokat is hazaviszi
- Megmondjuk, mit hoz a Jézuska
- Fiataloknál az előny – radikálisan megváltozott az információfogyasztás
- Milliós adatszivárgási károk Magyarországon
- Nemzetközi siker a műszeres rádiós közönségmérésben
- Magyarországon az európai átlagnál kevesebben vásárolnak internetes információk alapján
- Papírkorszaki magyar vállalatok
- Törli Blancco az érzékeny adatokat
Biztonság ROVAT TOVÁBBI HÍREI
Újonc adware a májusi vírustoplistán
Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes kártevők toplistáját, amelyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit.
Kiberbiztonság – növekvő veszély, nagyobb kihívás, több feladat
Megbénított ukrán villamoshálózat, megfertőzött Dél-Koreai közműszolgáltatók és kormányzati szervek, a világ legnagyobb szórakoztatóipari óriásától ellopott felhasználói adatok – egy közös van bennük: kifinomult kibertámadás áldozatai mind.
Az internetes bankolás veszélyei
Az internetes szervezett bűnözés első számú motivációja régóta a pénzügyi haszonszerzés, így nem meglepő, hogy a támadások jelentős része az online bankolást veszi célba. A G Data tanácsai segítenek elkerülni a bajt.
Helyzetbe hozhatja a magyar cégeket az új uniós elektronikus aláírási szabályzat
2016. július 1-én lép életbe az eIDAS, amely az unió területén egységesíti az elektronikus aláírás szabályozását – felvilágosító cikksorozatot indít a NETLOCK.
Az eddigi legnagyobb kiberbűnözési leszámolás: 45 millió dollárt loptak el
A Kaspersky Lab szakértői és a Sberbank, Oroszország egyik legnagyobb bankja az orosz rendvédelmi hatóságokkal szorosan együttműködve vizsgálta a Lurk hackercsoport tevékenységét, melynek eredményeképpen 50 személyt tartóztattak le.