A profi hackerek és a szervezett bűnözés célba vették a világ legnagyobb pénzintézeteit
forrás Prim Online, 2006. július 31. 14:48
A világ legnagyobb pénzintézetei soha nem látott mennyiségű biztonsági támadást észleltek az elmúlt évben, elsősorban külső forrásokból. A válaszadók több mint háromnegyede (78%, szemben a 2005-ös 26%-kal) nyilatkozott úgy, hogy a szervezetet kívülről induló biztonsági támadás érte, és csaknem felük (49%, szemben a 2005-ös 35%-kal) észlelt legalább egy illetéktelen belső behatolást.
A fenti adatok a Deloitte Touche Tohmatsu (DTT) tagvállalataiban működő Pénzügyi Szolgáltatási Szektor munkacsoport közelmúltban megjelent Globális Biztonsági Felméréséből származnak. A negyedik éves felmérés a világ legjelentősebb pénzintézeteinél dolgozó vezető biztonsági szakemberekkel készített interjúkból áll, és globális benchmarknak számít a pénzügyi szolgáltatási szektor IT biztonsága és a titokkezelése területén.
Az elmúlt 12 hónapban a globális pénzügyi ágazatban leggyakrabban tapasztalt három (külső és belső) támadási típus célja valamiféle pénzügyi előny illegális megszerzése volt. A külső támadások több mint felét (51%) a "phishing" (adatlopás) és "pharming" (adatfertőzés) adták, és ezt követte a "spyware/malware" felhasználása (48%). A válaszadók szerint a három leggyakrabban előforduló belső támadás között szerepelnek a belső visszaélések (28%) és az ügyféladatok kiszivárgása (18%).
"Az ilyen biztonsági támadások kiterjedése és jellege új helyzetet teremtett a globális pénzügyi szektorban. A támadások végrehajtása jelentős erőforrásokat és koordinációt igényel, amiből arra következtethetünk, hogy mára a profi hackerek és a szervezett bűnözés is megjelent ezen a területen, amely valaha a "kódoló kölykök" és a botcsinálta hackerek birodalma volt" - vélekedett Szendrey Attila, a magyarországi Deloitte Kockázatkezelési szolgáltatások üzletágának szenior menedzsere. "Ez a trendváltás nem csak azt jelenti, hogy a szervezetek kifinomultabb és nehezebben nyomon követhető támadásokkal néznek szembe, hanem azt is, hogy nagyobb kockázatnak és potenciális veszteségeknek vannak kitéve. A pénzintézeteknek ezeket a tényezőket is figyelembe kell venniük általános biztonsági stratégiájuk kialakítása során."
Természetesen a pénzügyi szolgáltatási szektor sem megy el szó nélkül az on-line behatolók kriminalizálódása és az általuk képviselt kockázatok mellett, hanem - már most is látható módon - lépéseket tesznek az új fenyegetés kivédése érdekében. Idén a személyes adatokkal és bankszámlákkal való visszaélés (58%), valamint a személyazonosság és hozzáférés menedzsment (41%) is bekerült 2006 öt legfontosabb biztonsági kezdeményezése közé. A pénzügyi szektor aktuális eseményekre és növekvő fenyegetésekre adott gyors válaszának további bizonyítéka, hogy a katasztrófa-helyreállítás és az üzletfolytonosság (49%) szintén szerepel az öt legfontosabb biztonsági kezdeményezés között. Az üzletfolytonossági terv jelentőségét tükrözi - különös tekintettel a közelmúltban a világ számos pontját érintő természeti katasztrófa sorozatra -, hogy a pénzintézetek meglepően nagy hányada (88%) nyilatkozott úgy, hogy rendelkezik a teljes vállalkozásra kiterjedő, hatályos üzletfolytonossági tervvel.
"A Deloitte felméréséből kitűnik, hogy a pénzintézetek rajta tartják kezüket a gyorsan fejlődő és változó biztonsági környezeten. Folyamatosan áthelyezik a hangsúlyokat, és meghozzák a különböző biztonsági kockázatok és kihívások mérsékléséhez szükséges intézkedéseket", tette hozzá Szendrey. "Míg természetesnek tekinthető a hangsúlyok áthelyezése a leginkább fenyegető, erősödő kockázatokra, a vállalkozásoknak el kell kerülniük, hogy szemellenzőssé váljanak, és mindent el kell követniük a biztonsági tevékenységek és kezdeményezések kiegyensúlyozottabb, holisztikus kezelése érdekében."
Érdekes módon a legutóbbi felmérés óta a biztonság-tudatosság és -oktatás kikerült az öt legfontosabb terület közül. Bár a válaszadók 96%-a nyilatkozta, hogy aggodalommal tölti el az IT rendszerek munkavállalók általi helytelen használata, mindössze egy harmaduk (34%) tartott valamilyen információ-biztonsági és titokkezelési oktatást a dolgozóinak. A pénzintézetek leggyakrabban (63%) a weboldalon elhelyezett tájékoztatást és az e-mailt használják a biztonsági oktatások és tudatosság erősítése céljára. Más, talán hatékonyabb módszereket - pl. orientációs tréning (35%) és a példamutató viselkedés elismerése (9%) - lényegesen ritkábban alkalmaznak.
A felmérés további fontosabb megállapításai:
Regionális áttekintés
Európa, Közel-Kelet és Afrika (EMEA): Idén az EMEA régió bizonyult a legjobbnak az információbiztonsági vezető (CISO) kinevezések területén. Ebben a régióban található a legtöbb (91%) olyan pénzintézet, ahol már létezik és be van töltve a CISO munkakör. Míg az EMEA régió stabil pozíciókkal rendelkezik a legtöbb információbiztonsági paraméter területén a világ többi részével való összehasonlításban, a munkatársak képzésében és tudatosságának erősítésében elmarad a versenytársaktól, mivel a pénzintézetek mindössze 41%-a nyilatkozta, hogy biztonsági iránymutatást ad dolgozóinak, szemben a globális 49%-os átlaggal.
Ázsia és a Csendes-óceáni térség, Japán nélkül (APAC): Az APAC az egyik vezető régió a teljes vállalkozásra kiterjedő üzletfolytonossági programok bevezetésében, és a titoktartás kezelésében (92% illetve 85%), ami valószínűleg részben a régiót a közelmúltban érintő természeti csapásoknak tudható be. Ugyanakkor az információbiztonság más területein, pl. CISO kinevezése (23%) és biztonsági stratégia bevezetése (33%), ez a régió elmarad a világ többi részétől. Továbbá, az APAC régió valamennyi válaszadója legalább egy illetéktelen behatolást tapasztalt az elmúlt évben.
Japán: A japán válaszadók lettek az idei év bajnokai, mivel nyolc különböző kategóriában szerezték meg az első helyet, többek között a biztonsági stratégia megléte (93%), a dolgozók oktatása és tudatosságának erősítése (90%), a titoktartásért felelős felső vezető kinevezése (100%) és a titoktartás garantálását szolgáló program bevezetése (100%). A japán pénzintézetek számoltak be a legkevesebb illetéktelen behatolásról is (32%).
Egyesült Államok: A felmérés kezdete óta először fordul elő, hogy valamennyi amerikai válaszadónál van hatályos üzletfolytonossági program. Ez egyáltalán nem meglepő, figyelembe véve a Katrina hurrikán pusztítását, ami szörnyű pusztítást vitt végbe az országban, és a pénzügyi szektorban is felrázta a kedélyeket. Míg a régió pénzintézeteinek háromnegyede (74%) fogadott el információbiztonsági stratégiát, csak 71% érzi úgy, hogy ehhez megszerezte a menedzsment szükséges támogatását is. Idén az amerikai válaszadók 91%-a (ami meghaladja a globális 82%-os átlagot) nyilatkozta, hogy valamilyen formában tapasztalt illetéktelen behatolást.
Kanada: Kanada Japán után a második helyezett, mivel hat kategóriában szerezte meg az elsőséget: az összes kanadai válaszadó (100%) rendelkezett a teljes vállalkozásra kiterjedő üzletfolytonossági programmal, valamint a titoktartás kezelését szolgáló programmal (100%), amelyet egy kifejezetten ezzel megbízott felső vezető irányít (100%). Kanada szintén az első helyet szerezte meg a biztonságnak az üzleti tevékenység kritikus területeként való elismerésében és felső vezetői kezelésében (64%), ahol rendelkezésre állnak a szabályozói követelmények teljesítéséhez szükséges elkötelezettség és források (91%). A spektrum másik végéről elmondhatjuk, hogy ebben a régióban volt a legtöbb olyan pénzintézet (100%), amely illetéktelen behatolást szenvedett el 2005-ben, és egyben itt volt az egyik legalacsonyabb az olyan vállalkozások száma (55%), amelyek biztonsági továbbképzést nyújtanak a dolgozóinak.
Latin-Amerika és a Karib szigetek (LACRO): Már a második egymást követő évben tapasztaltuk, hogy a LACRO régió válaszadóit nem foglalkoztatja túlságosan a titoktartás kérdése. Erre elsősorban a gyenge szereplésükből következtethetünk az olyan területeken, mint a titoktartás kezelését szolgáló program alkalmazása (25%), amelyet egy kifejezetten ezzel megbízott felső vezető irányít (26%), üzletfolytonossági terv megléte (67%) vagy CISO kinevezése (57%). Másrészről a válaszadók többsége (90%) vélekedik úgy, hogy megfelelő elkötelezettséggel és forrással rendelkeznek a szabályozói követelmények kezeléséhez.
Az elmúlt 12 hónapban a globális pénzügyi ágazatban leggyakrabban tapasztalt három (külső és belső) támadási típus célja valamiféle pénzügyi előny illegális megszerzése volt. A külső támadások több mint felét (51%) a "phishing" (adatlopás) és "pharming" (adatfertőzés) adták, és ezt követte a "spyware/malware" felhasználása (48%). A válaszadók szerint a három leggyakrabban előforduló belső támadás között szerepelnek a belső visszaélések (28%) és az ügyféladatok kiszivárgása (18%).
"Az ilyen biztonsági támadások kiterjedése és jellege új helyzetet teremtett a globális pénzügyi szektorban. A támadások végrehajtása jelentős erőforrásokat és koordinációt igényel, amiből arra következtethetünk, hogy mára a profi hackerek és a szervezett bűnözés is megjelent ezen a területen, amely valaha a "kódoló kölykök" és a botcsinálta hackerek birodalma volt" - vélekedett Szendrey Attila, a magyarországi Deloitte Kockázatkezelési szolgáltatások üzletágának szenior menedzsere. "Ez a trendváltás nem csak azt jelenti, hogy a szervezetek kifinomultabb és nehezebben nyomon követhető támadásokkal néznek szembe, hanem azt is, hogy nagyobb kockázatnak és potenciális veszteségeknek vannak kitéve. A pénzintézeteknek ezeket a tényezőket is figyelembe kell venniük általános biztonsági stratégiájuk kialakítása során."
Természetesen a pénzügyi szolgáltatási szektor sem megy el szó nélkül az on-line behatolók kriminalizálódása és az általuk képviselt kockázatok mellett, hanem - már most is látható módon - lépéseket tesznek az új fenyegetés kivédése érdekében. Idén a személyes adatokkal és bankszámlákkal való visszaélés (58%), valamint a személyazonosság és hozzáférés menedzsment (41%) is bekerült 2006 öt legfontosabb biztonsági kezdeményezése közé. A pénzügyi szektor aktuális eseményekre és növekvő fenyegetésekre adott gyors válaszának további bizonyítéka, hogy a katasztrófa-helyreállítás és az üzletfolytonosság (49%) szintén szerepel az öt legfontosabb biztonsági kezdeményezés között. Az üzletfolytonossági terv jelentőségét tükrözi - különös tekintettel a közelmúltban a világ számos pontját érintő természeti katasztrófa sorozatra -, hogy a pénzintézetek meglepően nagy hányada (88%) nyilatkozott úgy, hogy rendelkezik a teljes vállalkozásra kiterjedő, hatályos üzletfolytonossági tervvel.
"A Deloitte felméréséből kitűnik, hogy a pénzintézetek rajta tartják kezüket a gyorsan fejlődő és változó biztonsági környezeten. Folyamatosan áthelyezik a hangsúlyokat, és meghozzák a különböző biztonsági kockázatok és kihívások mérsékléséhez szükséges intézkedéseket", tette hozzá Szendrey. "Míg természetesnek tekinthető a hangsúlyok áthelyezése a leginkább fenyegető, erősödő kockázatokra, a vállalkozásoknak el kell kerülniük, hogy szemellenzőssé váljanak, és mindent el kell követniük a biztonsági tevékenységek és kezdeményezések kiegyensúlyozottabb, holisztikus kezelése érdekében."
Érdekes módon a legutóbbi felmérés óta a biztonság-tudatosság és -oktatás kikerült az öt legfontosabb terület közül. Bár a válaszadók 96%-a nyilatkozta, hogy aggodalommal tölti el az IT rendszerek munkavállalók általi helytelen használata, mindössze egy harmaduk (34%) tartott valamilyen információ-biztonsági és titokkezelési oktatást a dolgozóinak. A pénzintézetek leggyakrabban (63%) a weboldalon elhelyezett tájékoztatást és az e-mailt használják a biztonsági oktatások és tudatosság erősítése céljára. Más, talán hatékonyabb módszereket - pl. orientációs tréning (35%) és a példamutató viselkedés elismerése (9%) - lényegesen ritkábban alkalmaznak.
A felmérés további fontosabb megállapításai:
- A résztvevők 95%-a mondta azt, hogy információbiztonsági költségvetésének összege növekedett az elmúlt évben. A biztonsági költségvetésből a legtöbbet a logikai hozzáférés-korlátozási termékekre fordították (a válaszadók 76%-a).
- A biztonsági támadást átélt pénzintézetek csaknem háromnegyede (72%) nyilatkozta, hogy a vállalkozást ért közvetlen és közvetett kár összege 1 millió USD körülire tehető.
- Idén a válaszadók 71%-a mondta azt, hogy már kialakította az információbiztonság-irányítási struktúráját (pl. a felelősségi köröket, szabályzatokat és eljárásokat), míg 24%-uknál ugyanez folyamatban van.
- Az információbiztonsági stratégiát bevezető pénzintézetek száma 61%-ra csökkent, míg további 21% jelezte, hogy jelenleg dolgoznak ilyen stratégia megalkotásán vagy a meglévő frissítésén.
- A válaszadók kétharmada (65%) mondta, hogy rendelkezik titoktartási programmal, ami 3%-os csökkenés az előző évhez képest.
Regionális áttekintés
Európa, Közel-Kelet és Afrika (EMEA): Idén az EMEA régió bizonyult a legjobbnak az információbiztonsági vezető (CISO) kinevezések területén. Ebben a régióban található a legtöbb (91%) olyan pénzintézet, ahol már létezik és be van töltve a CISO munkakör. Míg az EMEA régió stabil pozíciókkal rendelkezik a legtöbb információbiztonsági paraméter területén a világ többi részével való összehasonlításban, a munkatársak képzésében és tudatosságának erősítésében elmarad a versenytársaktól, mivel a pénzintézetek mindössze 41%-a nyilatkozta, hogy biztonsági iránymutatást ad dolgozóinak, szemben a globális 49%-os átlaggal.
Ázsia és a Csendes-óceáni térség, Japán nélkül (APAC): Az APAC az egyik vezető régió a teljes vállalkozásra kiterjedő üzletfolytonossági programok bevezetésében, és a titoktartás kezelésében (92% illetve 85%), ami valószínűleg részben a régiót a közelmúltban érintő természeti csapásoknak tudható be. Ugyanakkor az információbiztonság más területein, pl. CISO kinevezése (23%) és biztonsági stratégia bevezetése (33%), ez a régió elmarad a világ többi részétől. Továbbá, az APAC régió valamennyi válaszadója legalább egy illetéktelen behatolást tapasztalt az elmúlt évben.
Japán: A japán válaszadók lettek az idei év bajnokai, mivel nyolc különböző kategóriában szerezték meg az első helyet, többek között a biztonsági stratégia megléte (93%), a dolgozók oktatása és tudatosságának erősítése (90%), a titoktartásért felelős felső vezető kinevezése (100%) és a titoktartás garantálását szolgáló program bevezetése (100%). A japán pénzintézetek számoltak be a legkevesebb illetéktelen behatolásról is (32%).
Egyesült Államok: A felmérés kezdete óta először fordul elő, hogy valamennyi amerikai válaszadónál van hatályos üzletfolytonossági program. Ez egyáltalán nem meglepő, figyelembe véve a Katrina hurrikán pusztítását, ami szörnyű pusztítást vitt végbe az országban, és a pénzügyi szektorban is felrázta a kedélyeket. Míg a régió pénzintézeteinek háromnegyede (74%) fogadott el információbiztonsági stratégiát, csak 71% érzi úgy, hogy ehhez megszerezte a menedzsment szükséges támogatását is. Idén az amerikai válaszadók 91%-a (ami meghaladja a globális 82%-os átlagot) nyilatkozta, hogy valamilyen formában tapasztalt illetéktelen behatolást.
Kanada: Kanada Japán után a második helyezett, mivel hat kategóriában szerezte meg az elsőséget: az összes kanadai válaszadó (100%) rendelkezett a teljes vállalkozásra kiterjedő üzletfolytonossági programmal, valamint a titoktartás kezelését szolgáló programmal (100%), amelyet egy kifejezetten ezzel megbízott felső vezető irányít (100%). Kanada szintén az első helyet szerezte meg a biztonságnak az üzleti tevékenység kritikus területeként való elismerésében és felső vezetői kezelésében (64%), ahol rendelkezésre állnak a szabályozói követelmények teljesítéséhez szükséges elkötelezettség és források (91%). A spektrum másik végéről elmondhatjuk, hogy ebben a régióban volt a legtöbb olyan pénzintézet (100%), amely illetéktelen behatolást szenvedett el 2005-ben, és egyben itt volt az egyik legalacsonyabb az olyan vállalkozások száma (55%), amelyek biztonsági továbbképzést nyújtanak a dolgozóinak.
Latin-Amerika és a Karib szigetek (LACRO): Már a második egymást követő évben tapasztaltuk, hogy a LACRO régió válaszadóit nem foglalkoztatja túlságosan a titoktartás kérdése. Erre elsősorban a gyenge szereplésükből következtethetünk az olyan területeken, mint a titoktartás kezelését szolgáló program alkalmazása (25%), amelyet egy kifejezetten ezzel megbízott felső vezető irányít (26%), üzletfolytonossági terv megléte (67%) vagy CISO kinevezése (57%). Másrészről a válaszadók többsége (90%) vélekedik úgy, hogy megfelelő elkötelezettséggel és forrással rendelkeznek a szabályozói követelmények kezeléséhez.
Kapcsolódó cikkek
- Aktív trójai elleni védelem bankoknak
- Továbbra is dinamikusan emelkedik a mobilbanki szerződéssel rendelkezők száma
- 1,1 millió dolláros banki csalás
- Újabb alattomos támadás - számlatulajdonosok figyelem!
- Saját azonosító hardver PayPal-hoz
- Budapest Bank: nincs károsult - újabb megtévesztő levelek
- Adathalász támadások Magyarországon
- Az ENSZ az adathalászatról
- Adathalász levelek a Budapest Bank nevében is
- Magyarországi kutatás a száznál több pc-vel rendelkező szervezetek adattárolásáról és adatmentéséről
Biztonság ROVAT TOVÁBBI HÍREI
Október 18 – újabb kiber-határidő közeleg
Az IT-szektor legtöbbet elhangzó hívószavai idén a „kiberbiztonság” és a „megfelelés”. Ennek oka az EU területén egységesen bevezetendő, ún. NIS2 direktíva, amellyel kapcsolatos feladatok az egész évet átölelik. Ráadásul, pár nap múlva már a második fázison is túl kell lépniük a hazai vállalkozásoknak. A Jalsovszky Ügyvédi Iroda szakértője, Kerekes Gábor segít áttekinteni az eddigieket és ami hátra van még a teendőkből.
2024. október 15. 11:42
Cikkgyűjtő
További fontos híreink
Országos kutatásból netezési körkép: a magyarok többségének élete elképzelhetetlen net nélkül
2024. szeptember 29. 15:24