Csillagászati összegeket emésztenek fel a kibertámadások, mégis háttérbe szorul a kockázatelemzés

Az Accenture multinacionális tanácsadó vállalat és az amerikai Ponemon Intézet már egy 2019-es becslésben előre jelezte azt a jelentős mértékű pénzügyi kockázatot, amellyel a globális gazdaság szereplőinek az elmúlt években szembe kellett nézniük. Elemzésük szerint 2024-ig a kibertámadások következtében a cégek mintegy 5,2 ezer milliárd amerikai dollárnyi értékteremtési lehetőséget veszíthetnek el.

Az összeg nagyságát jól jelzi, hogy gyakorlatilag majdnem megegyezik három jelentős európai gazdaság, Franciaország, Olaszország és Spanyolország együttes GDP-jével. 

Emellett tavaly a bejelentett adatvédelmi incidensek száma jelentősen megugrott: 2025-ben átlagosan 443 incidenst jelentettek naponta Európában, ami 22 százalékos növekedést jelent az előző évi, napi 365 esettel összevetve.

Felvetődik tehát a kérdés, hogy a nemzetközi helyzet ismeretében a hazai szervezetek vajon számolnak-e ezekkel, illetve más jellegű kockázatokkal a mindennapi működésük során.

“A tapasztalatok alapján aggasztó tendencia rajzolódik ki a magyar piacon. Az információvédelem és a biztonságirányítási módszertanok évtizedes alapkövei – például az adat- és információsvagyon-leltár, valamint a kockázatelemzés és a kockázatmenedzsment – a NIS2 irányelvnek való megfelelési kényszer hatására érezhetően háttérbe szorultak. Bár ezek is a jogszabályi követelmények részei, nem erre helyeződik a hangsúly, hanem az audit módszertan kérdéseinek kipipálására” - mondta Solymos Ákos, a Tigra Zrt. kiberbiztonsági szakértője.

A bankok és az energetikai szektor fordítják a legnagyobb figyelmet akibervédelemre

A szakember kiemelte, hogy mind az ügyfelek, mind a szakértők hajlamosak elfordulni a klasszikus megközelítéstől és a szervezetek biztonsági állapotát gyakran túlzottan leegyszerűsítve, fekete-fehérben szemlélni, ami miatt csak kevés szervezet mondhatja el magáról, hogy folyamatosan, rendszerszinten értékeli a fenyegetettségeket.  

A szakértő szerint jellemző kivételt a NIS2 hatálya alatt alapvető fontosságúnak számító pénzintézeti, illetve részben az energetikai szektor jelent, ahol a szabályozói környezet és a kockázati kitettség már korábban kikényszerítette ezt a fajta tudatosságot. A legtöbb szervezetnél azonban egyszerűen nincs kialakult gyakorlata a kockázatok feltárásának, elemzésének, értékelésének és kezelésének. 

Ha a kockázatalapú gondolkodásmód nagyobb teret nyerne, és szervesen beépülne a szervezetek biztonsági kultúrájába, a jogszabályi megfelelés is lényegesen egyszerűbbé válna”

- részletezte Solymos Ákos. 

Azok a követelmények, amelyeket most a NIS2 irányelv és a 7/2024. MK rendelet a szervezetek fókuszába állít, nem jelentenének meglepetést a felkészült cégeknek. Megfelelő alapok mellett az Alap biztonsági osztály követelményei magától értetődők lennének, és a Jelentős, illetve a Magas biztonsági osztály elvárásainak teljesítése is könnyebben menne.

A vállalatvezetők elméletben ismerik a fenyegetések kockázatát

A szakértő szerint érdekes kettősség, hogy bár a vállalatvezetők felmérések során a kiberincidenseket nevezik meg az egyik legjelentősebb kockázatként, a gyakorlatban sokszor mégsem fordítanak rájuk kellő figyelmet.

Ez különösen veszélyes, mert a mesterséges intelligencia és a kiberbűnözés a humán faktort célzó támadásokkal együtt, folyamatos fenyegetést jelentenek: csak a 2024 és 2025 közötti időszakban a kiberbűnözők közel 50 milliárd forint kárt okoztak a magyar lakosságnak, esetenként pedig akár 10 millió forintra is rúghat egy-egy támadás költsége.

Noha a szervezeteknek kötelező lenne bejelenteniük a hatóságok felé a kiberbiztonsági és az ezekkel összefüggő adatvédelmi incidenseket, a statisztikák szerint erre igen csekély a hajlandóság.

“A vezetők a kockázatelemzések során gyakran nem gondolják végig, hogy egy incidens esetén nem csupán az érintett információs vagyonelem sérül. A költségek és a végső veszteség számbavételekor számos egyéb tételt is figyelembe kell venni: a bírságokat, a kiesett hasznot, a helyreállítás költségeit, valamint a szervezeten belüli és kívüli bizalom megingásának, majd újjáépítésének árát” – összegezte Solymos Ákos.

Noruas– proaktív védelem és biztonság a digitális térben

A Tigra Zrt. által fejlesztett Noruas egy átfogó kiberbiztonsági ökoszisztéma, amely az információszerzés, elemzés és védelem új szintjét képviseli. Egyesíti az OSINT-alapú kutatást, a támadási felület menedzsmentet, a fenyegetéskezelést és a személyre szabott védelmi megoldásokat.

Emellett, ha egy adott biztonsági szinten működő szervezetnél kárral járó incidens következik be, nem elegendő pusztán ugyanarra a szintre visszaállni; fejlesztésre is szükség van, ami sok tíz- vagy akár százmillió forintnyi extra költséget is jelenthet.

A megfelelő kockázatmenedzsmettel nemcsak védelem, hanem költségcsökkenés is járhat

Hosszútávon kizárólag a kockázatmenedzsment tudatos alkalmazása biztosíthatja a szervezet számára az optimális költség- és erőforrás-felhasználást. Ha egy vállalat nem ismeri a saját, még elviselhető kockázati szintjét, könnyen két véglet között ingadozhat. Vagy indokolatlanul sokat költ védelemre, vagy hamis biztonságérzetbe ringatja magát, és rövid távú megtakarítások reményében csökkenti a védelmi költségeket. Ez a stratégia azonban legfeljebb az első komolyabb incidensig tartható fenn, utána elkerülhetetlen a szembesülés a valósággal.

A kockázatkezelésnek ugyan van ára, ez az összeg azonban jól tervezhető és kalkulálható. Ezzel szemben az ad hoc döntések, a kapkodó beruházások és a védelmi költségek mesterségesen alacsony szinten tartása beláthatatlan következményekhez vezethet”

– foglalta össze Solymos Ákos. 

A szakember kiemelte: ahhoz, hogy a kiberincidensek okozta károk ne rendítsék meg végzetesen a szervezet működését, nem a százszázalékos biztonság elérhetetlen hajszolása a megoldás, hanem a folyamatos és tudatos kockázatmenedzsment.

A cikk megjelenését a Tigra Zrt. támogatta.

A címlapkép illusztráció. Címlapkép forrása: Getty Images