A biztonság szerepe a vállalati sikerben: Miért nem elég csak az informatikusra hagyatkozni?

“Majd az informatikus megoldja.” - Ismeretlen KKV cégvezető

A vállalatbiztonság vajon mi?

A modern vállalatok számára a biztonság kérdése soha nem volt még ennyire kritikus. Míg sok cégvezető úgy gondolja, hogy a cég védelme kizárólag az informatikusok feladata, valójában a munkavállalók és vezetők tudatossága alapvetően meghatározza a cég sikerét és ellenálló képességét a kiberfenyegetésekkel szemben.

Az alábbi blogcikkből kiderül, hogy miért nem elég csak az informatikusra hagyatkozni, amikor a cégünk biztonságáról van szó!

Miért nem elég az IT szakember?

A vállalatok nagy része technikai megoldásokra támaszkodik a kiberbiztonság terén, de számos támadási forma az emberi oldalról érkezik. A social engineering, phishing és egyéb pszichológiai trükkök a cég alkalmazottainak gyenge pontjait célozzák meg, nem a technikai rendszereket.

Példa: Az egyik legismertebb eset a Target 2013-as hackertámadása, ahol a támadók nem közvetlenül a cég IT rendszerein keresztül törtek be, hanem egy HVAC (fűtési és hűtési) beszállító partneren keresztül, aki nem rendelkezett megfelelő biztonsági protokollokkal. Az eredmény? 40 millió bankkártya-adat került nyilvánosságra.

A dolgozók hiszékenysége: A támadók kapuja

Az egyik leggyakoribb hiba, amit vállalatok elkövetnek, hogy alábecsülik a social engineering támadások veszélyét. A phishing e-mailek egyre kifinomultabbak, és gyakran nehéz megkülönböztetni őket a valós levelektől. Ezért kritikus fontosságú, hogy a dolgozók rendszeres biztonságtudatossági képzéseken vegyenek részt, amelyek felkészítik őket a kockázatok felismerésére, kezelésére, valamint arra, hogy mi a teendő, ha véletlenül mégis megtörtént a baj.

Példa: 2020-ban egy magyar cég esett áldozatul egy CEO-fraude néven ismert támadásnak, ahol egy hamis e-mail a cég pénzügyi osztályától kért egy nagyobb összegű átutalást. Az e-mail kinézete megegyezett a valódi vezérigazgatói levelekkel, és a cég több millió forintot veszített.

A megelőzés fontossága: Egy kis tudatosság nagy károkat előzhet meg

Az IT rendszerek karbantartása és fejlesztése mellett elengedhetetlen, hogy a cégvezetők felismerjék az emberek képzésének fontosságát is. Egyetlen hiba – például egy ártalmatlannak tűnő linkre kattintás – elegendő ahhoz, hogy egy cég teljes rendszere veszélybe kerüljön.

Példa: A brit NHS (National Health Service) 2017-ben súlyos károkat szenvedett egy zsarolóvírus támadás miatt, amely az egészségügyi rendszert hónapokra lebénította. A támadás egy fertőzött e-mail melléklet megnyitásával kezdődött, ami rávilágít arra, hogy a digitális higiénia hiánya milyen súlyos következményekkel járhat.

Említhetnék magyar vonatkozású eseteket is, mint például az az informatikai cég, amely az oktatási intézmények informatikai rendszerét fejleszti, és amely ellen tinédzserek hajtottak végre sikeres adathalász támadást, egy üzenet segítségével, melyre a cég munkatársa rákattintott. Ezzel a kalandvágyó tiniknek hozzáférhetővé váltak a rendszerben tárolt adatok, a cég pedig egy csinos 100 milliós bírsággal gazdagodott, mert nem vigyázott kellően az ügyféladatokra.

Vezetők és munkatársak szerepe a biztonságban

Nemcsak a beosztottaknak, hanem a vezetőknek is részt kell venniük a biztonságtudatossági képzésekben. Egy cég biztonsági protokolljai csak akkor lehetnek hatékonyak, ha mindenki – a cégvezetőtől az adminisztratív dolgozóig – érti és betartja azokat. Vannak kifejezetten olyan támadási formák, melyek a pénzügyi osztályt, vagy éppen a felsővezetést célozzák.

Magyar KKV horror story

Végezetül álljon itt egy valós beszélgetés, melyet egy haza KKV képviselőjével folytattam, miután egy hozzájuk hasonló profilú céget ért adathalász támadás, és megérdeklődtem, hogy ők mennyire mérik fel a munkatársak biztonságtudatossági szintjét, illetve milyen képzéseket nyújtanak nekik ennek fokozására.

A válasz: "Semmilyet. Ezzel a képességgel rendelkeznie kell, amikor hozzánk jön. Nem mérjük, hogy megvan-e neki, de ha kárt okoz, akkor kirúgom."

Nem tudom, hogy ki hogy van vele, de én azt tanultam, hogy javítani azt tudod, amit mérsz is, meg még olyasmit is, hogy számonkérni azt tudod, amit meg is tanítottál.

Összegzés

A cég biztonságának megőrzése közös felelősség, amely túlmutat az informatikusok feladatain. A megfelelő képzés, a tudatosság és a folyamatos tájékoztatás mind hozzájárulnak a cég sikeréhez és a súlyos károk megelőzéséhez. Ne várjuk meg, hogy egy hiba milliókba kerüljön!