Elemzések

Globális kiberbiztonsági vezetői tájékoztató

A digitális technológiák és digitális információ uralta világunkban a kiberbiztonság több, mint egyszerűen a stratégia része. Az üzleti működés elengedhetetlen része. Ennek ellenére a kiberbiztonság fogalma továbbra is homályos és bonyolult az igazgatóság és felsővezetők számára. Lehet, hogy a stratégiai napirend része de mit is jelent valójában? Hogyan tud egy szervezet megfelelően védekezni a kibertámadások ellen? Komoly tévedés azt hinni, hogy kibertámadások csak bizonyos szervezeteket érinthetnek, például jelentős technológiai cégeket. A valóság az, hogy minden cégnek vannak értékes adatai. Sőt, a leggyakoribb támadások nem válogatnak - olyan automatizált eszközökről van szó, amelyek akármilyen gyengeséget azonosítanak és kihasználnak.

Tanúlságok

A kibertámadások kifejezetten károsak tudnak lenni. A pénzügyi károk az ellopott összegektől és megrongált rendszerektől a szabályozói bírságokig, jogi károkig és kárpótlásig terjedhet. Ami azonban még ennél is rosszabb lehet, azok az immateriális károk, mint a versenypiaci előny elvesztése az ellopott szellemi termék miatt, a vevői vagy partneri bizalom elvesztése, az integritás sérülése a digitális eszközök elsajátítása után, és összességében a szervezet hírnevét és a márkanevet érő kár, ami végső soron a részvényár zuhanásához, vagy akár a vállalat bezárásához is vezethet.

A kiberkockázatoknak való ellenállóképesség az igazgatóság tudatosságával kezdődik: annak elismerésével, hogy egyszer az Önök cégét is támadás éri majd. Ismerni kell a legkomolyabb veszélyeket, és hogy mely eszközök vannak azoknak leginkább kitéve -- a vállalat küldetése szempontjából leglényegesebb eszközök.

Ki vehet célba a vállalatot, és milyen okból? Mely eszközök lehetnek a támadók számára a legértékesebbek? Milyen forgatókönyve lehet egy esetleges támadásnak (lásd 1. sz. táblázat), és milyen hatással lesz ez a működésre?

Ezek a kérdések segíthetnek annak meghatározásában, hogy mennyire komolyak és kitartóak lehetnek a kibertámadások. Ez a tudás segítheti Önt mint felsővezetőt vagy igazgatósági tagot, hogy felmérje a vállalat kockázattűrő képességét, és iránymutatást adjon, hogy a belső és külső biztonsági szakemberek a megfelelő kibervédelemmel elfogadható szintre csökkentsék a kitettséget. Száz százalékos védelmet ugyan egyetlen cégnél sem lehet biztosítani, mégis elmondható, hogy a támadások megelőzését, azonosítását és elhárítását szolgáló rendszerek alkalmazásával a kiberkockázatok szintje a vezetőség által előre meghatározott szint alá csökkenthető, így biztosítható, hogy a cég a lehető legkevesebb fennakadással működjön.

Ahhoz, hogy egy cégnél a kibervédelem hatékonyan és kiegyensúlyozottan működjön, a rendszernek három fő tulajdonsággal kell rendelkeznie: legyen biztonságos, éber és ellenálló.

Biztonságos: A biztonság azt jelenti, hogy kiemelt cél a vállalkozás küldetésének teljesítéséhez szükséges kockázatérzékeny eszközök védelme – azoké az eszközöké, amelyek a cég és az ellenség szerint is a legértékesebbek.

Éber: Az éberség arra vonatkozik, hogy a cég tudatosítja a szervezet tagjaiban a fenyegetéseket, és olyan viselkedésminták után kutat, amelyek a kritikus eszközök elleni támadásokra utalhatnak, illetve akár előre is jelezhetik azokat.

Ellenálló: Az ellenállóképesség azt jelenti, hogy a cég képes azonnal megfékezni a támadást, és hamar mozgósítani tudja azokat az erőforrásokat, amelyek segítségével minimalizálni lehet a károkat, így többek között az anyagi károkat, a tevékenység megbénulását, valamint a márkanév és a cég jó hírnévének csorbulását.

Vezetői tájékoztatónk olyan kiindulópontként szolgál a cégek számára, amely segít abban, hogy jobban megismerjék az őket érintő legfontosabb kiberfenyegetéseket. Ennek érdekében bemutatjuk, hogy a hét kulcsfontosságú iparág (a kiskereskedelem, a gyáripar, az e-kereskedelem és az online fizetés, az online média, a csúcstechnológiai ipar, a telekommunikáció és a biztosítási szektor) milyen fenyegetéseknek van leginkább kitéve, emellett gyakorlati példákkal és elemzésekkel segítünk a cégeknek azonosítani az őket érintő fenyegetéseket, illetve túljárni a kiberbűnözők eszén.

A való életből vett példák segítségével szeretnénk felhívni a figyelmet arra, hogy nem kell szégyenkeznie egy cégnek csak azért, mert meghackelték. Minden cégnél történnek biztonsági incidensek, és nem feltétlenül azért, mert a vezetőség alkalmatlan a feladatra, hanem azért, mert a hackerek és a kiberbűnözők napról napra agyafúrtabbak. Ha megosztjuk egymással a támadásokkal kapcsolatos tapasztalatainkat, akkor mindenki jobban meg tudja majd védeni magát – ezt az elképzelést támogatja a Világgazdasági Fórum „Partnering for Cyber-Resilience 2” elnevezésű kezdeményezése is.

A történetek egyértelmű tanulsága, hogy a biztonsági incidensek elkerülhetetlenek – előbb-utóbb minden cég áldozatául esik egy támadásnak. A történetekből az is kiderül, hogy mindannyiunknak közös feladata a kibertér védelme. Az online médián keresztül például kártékony szoftverek terjedhetnek, a csúcstechnológiai szektor sérülékenységei más, digitális technológiai megoldásokat alkalmazó iparágakat is érinthetnek, az online fizetési megoldásokban jelentkező problémák pedig az e-kereskedelemre is kihathatnak. Mindannyian tehetünk érte, hogy biztonságosabb legyen a kibertér, ha megosztjuk egymással ezeket a történeteket, és a felsővezetők vállalják a felelősséget a kiberbiztonságért.

Töltse le a jelentést. Ha iPad-en szeretné megjeleníteni, javasoljuk az ingyenes Adobe Reader alkalmazás letöltését. A pdf megnyitásához válassza a Single Page nézetet.

Konklúzió

Jelentésünkben megvizsgáltuk azt a hét iparági szektort, amelyek a leginkább ki vannak téve a kibertámadásoknak. A későbbiekben azokat a kiberfenyegetéseket is górcső alá vesszük, amelyek más, ugyancsak sérülékeny kulcsiparágakat érintenek. Az itt ismertetett történetek és megállapítások fő tanulsága, hogy a biztonsági incidensek elkerülhetetlenek – és nincs olyan iparág vagy cég, amely immunis lenne velük szemben. Előbb vagy utóbb minden cég áldozatául esik egy kibertámadásnak.

A támadások által okozott károk az anyagi és tárgyi veszteségtől a szabályozói bírságokig, jogi károkig és kártérítésekig terjedhetnek. De mindez csak a jéghegy csúcsa. Az igazán súlyos veszteségek nem kézzelfoghatók: ilyen például a versenyelőny és a fogyasztók bizalmának elvesztése, illetve a márka és a cég jó hírnevének csorbulása. Az ilyen nem kézzelfogható károk nagyban gyengíthetik a cég stratégiai piaci pozícióját, a részvényárfolyam pedig nagyot zuhanhat.
Jó hír, hogy a kibertámadásokat vissza lehet szorítani. Ahogy korábban is említettük, a kiegyensúlyozott kibervédelem kulcsa a biztonság, az éberség és az ellenállóképesség. Bár egyetlen vállalkozás esetében sem garantálható a száz százalékos biztonság, az említett három jellemző középpontba állításával nagyon is lehetséges minimalizálni a kiberbiztonsági fenyegetések hatásait és a vállalkozást ért esetleges károkat.

Zárásként álljon itt öt olyan kérdés, amely segít annak megítélésében, hogy egy kiberbiztonsági rendszer kellően biztonságos, éber és ellenálló-e:

  1. A megfelelő területekre koncentrálunk?
    Gyakran felmerülő kérdés, de nehéz rá megoldást találni. Meg kell vizsgálni, hogy milyen módon teremt értéket a cég, melyek a kritikus eszközök, és mennyire vannak kitéve fenyegetésnek. A mélységi védelem is fontos eszköz.
  2. Megfelelő a munkaerőnk?
    A minőség fontosabb, mint a minőség. Előfordulhat, hogy nincs meg a megfelelő munkaerő ahhoz, hogy mindent házon belül meg lehessen oldani, ezért a beszerzési döntések kapcsán stratégiai megközelítést kell alkalmazni. A biztonságért felelős szakértők valóban a legfontosabb üzleti területekkel foglalkoznak?
  3. Proaktívak vagy reaktívak vagyunk?
    A biztonsági megoldások utólagos kiépítése rendkívül drága tud lenni. Ezeket célszerű jó előre beépíteni a vezetési folyamatokba, az alkalmazásokba és az infrastruktúrába.
  4. Ösztönözzük a nyitottságot és az együttműködést?
    Fontos, hogy jó kapcsolatot alakítsunk ki a partnerekkel, a hatóságokkal, a szabályozókkal és a szolgáltatókkal. Ösztönözni kell a csoportok és funkciók közötti belső együttműködést, és meg kell bizonyosodni róla, hogy a dolgozók nem hallgatnak el potenciális kockázatokat csak azért, hogy magukat védjék.
  5. Tudunk alkalmazkodni a változásokhoz?
    A szabályzatok felülvizsgálatait, a vizsgálatokat és a válságkezelési eljárások próbáit szabályozni kell, ezáltal biztosítani lehet a folyamatos alkalmazkodást az újabb és újabb fenyegetésekhez és kockázatokhoz.


Hasznosnak találta?