Thycotic kutatás: A cégek fele bukásra áll kiberbiztonságból
A vállalatok harmada vakon vásárol kiberbiztonsági eszközöket, és nem méri ezek hatékonyságát
A Thycotic bemutatta 2017-es kiberbiztonsági felmérését. A Cybersecurity Metrics Report (CMR) szerint a cégek 58%-a 1-esre vagy 2-esre értékeli cége biztonsági beruházásainak és teljesítményének mérését.
A cégek és kormányzati szervek évente több mint 100 milliárd dollárt költenek kiberbiztonságra, de a vállalatok 32%-a vakon, mérés nélkül vásárolja meg a biztonsági technológiákat – derül ki a jelszókezeléssel és privilegizált (adminisztrátori) felhasználói fiókok menedzselésével foglalkozó Thycotic felméréséből. 80% szerint a védelmi eszközök vásárlásakor nem vonják be eléggé a döntésekbe az üzleti felhasználókat, és nem értékelik ki megfelelően a biztonsági beruházások üzleti hatásait és a felmerülő kockázatokat.
Célkeresztben a kisvállalkozások
Az ISO 27001-es információbiztonsági szabványon alapuló, világszerte 400 cég megkérdezésével készült felmérés szerint a kibertámadások jelentős része a kisvállalkozásokat célozza, akik általában nem a fő célpontot jelentik, hanem a támadók rajtuk keresztül az ellátási láncot vagy megosztott adatokat támadva jutnak be a nagyobb vállalatokhoz.
A kutatás legfontosabb megállapításai:
- 3-ból 1 cég vásárol úgy biztonsági eszközöket, hogy nem méri azok hatékonyságát.
- A cégek 80%-a nem tudja hol tárolják bizalmas adatait és hogyan védje meg őket.
- 3-ból 2 cég nem tudja felmérni, hogy a támadások utáni helyreállítási terv megfelelően működik-e majd.
- 5-ből 4 cég még sosem mérte a biztonsági tréningek hatékonyságát.
- Az adatszivárgások 80%-át ellopott vagy gyenge azonosítók okozzák de a cégek 60%-a még mindig nem védi megfelelően a privilegizált (adminisztrátori) fiókokat.
„Az IT-biztonság nem néhány termék vagy szolgáltatás, amit az IT-sok vagy IT-securitysek megoldanak, hanem tudatos üzleti stratégia eredménye. Ahogy a termelés paramétereit, úgy az IT-t, azon belül az IT-biztonságot is mérni és fejleszteni kell. A felmérés lesújtó eredményei azt mutatják, hogy ebben a hazai vállalatok se tudnak nagyon lemaradni a nemzetközi átlagtól, de – különösen a GDPR-ral a nyakunkon – sürgős szemléletbeli változásra van szükség az üzleti vezetők és az IT-sok oldaláról egyaránt” – mondta Nemes Dániel, a hazánkban a Thycotic-ot képviselő biztributor elnöke.
Javasolt intézkedések
A Thycotic szakemberei az alábbi lépéseket javasolják a biztonság növelésére, mérésére:
Oktatás
- Oktassuk munkavállalóinkat és mérjük cégünk biztonsági felkészültségét
- Végeztessünk etikus hackelést
- Alkalmazzuk a legkisebb jogosultság elvét
Védelem
- A rendszeres biztonsági mentések mellett készítsünk egyedi helyreállítási tervet a különböző támadásokhoz, majd teszteljük is ezeket
- Használjunk többfaktoros azonosítást
- Erősítsük a személyazonosság-kezelést és hozzáférést, illetve védjük a privilegizált (adminisztrátori) felhasználói fiókokat.
- Készítsünk és alkalmazzunk incidenskezelési tervet
Követés
- Kövessük, ellenőrizzük és jelentsük az admin fiókokból érkező rendszerhozzáféréseket
- Figyeljünk és reagáljunk a biztonsági naplókra
Mérés
- Állapítsuk meg a legfontosabb üzleti és kiberbiztonsági mérőszámokat
- Végezzük el a Security Measurement Index Benchmark és a Password Management Benchmark felméréseket.
Kapcsolódó cikkek
- A menedzselt szolgáltatások piaca várhatóan eléri a 65 billió forint összbevételt 2022 végéig
- A Kaspersky Lab és a DS Virgin Racing kiterjeszti együttműködését
- Az emberi tényező szerepe a vállalati támadások során
- Több mint testőr: védelem a kibertámadások ellen
- A cégek bíznak a határvédelemben, de adataikat nem érzik biztonságban
- Minden második gyerek veszélynek van kitéve a neten
- IT biztonság közérthetően: új, ingyenes tankönyvet tesz hozzáférhetővé az NJSZT
- Nincsenek biztonsági rések a Xerox új irodai gépein
- Egy online banki kibertámadás akár 4,8 milliárd forint veszteséggel járhat
- Korunk kiemelkedően fontos témája lett a biztonság
Biztonság ROVAT TOVÁBBI HÍREI
Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz
Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére.