A szakemberek számára az egyik legnehezebben megválaszolható kérdés, hogy az adott védekezés elmulasztása milyen potenciális kárértékkel áll szemben. Mégis milyen jellegű kár érheti a vállalatot, ha támadás áldozatává válik?
Van, ami pénzben nagyon egyszerűen kifejezhető, gondoljunk csak egy webáruházra, aminek a napi forgalmát súlyosan érinti, ha elérhetetlenné válik. A bankszámla-adatokhoz való hozzáférés, vagy egy összeg kizsarolása szintén könnyen számszerűsíthető. A nehezebben meghatározható károk közül egyet emelnék ki, a reputációt ért sérelmet. Ez talán a legnehezebben „árazható”, viszont egy cégnek ez tud a legjobban fájni. Ha egy nagyvállalatot ér támadás, még akkor is komoly a reputációs kockázat, ha a jelentős anyagi károk elkerülése érdekében megtett intézkedéseknek köszönhetően a ténylegesen okozott kár minimális.
Ha a sikeres támadás híre eléri a nyilvánosságot, az megingathatja a cég ügyfeleinek bizalmát. Ezek forintban nehezebben meghatározható, ám a cég sikerét komolyan veszélyeztető káresemények.
Az orosz-ukrán konfliktus nemcsak a fizikai valóságban, de a kibertérben is aktív, hogyan hat ez a magyar cégeket érő kibertámadások számára?
Nagyon viharos évet zárunk. Tapasztaltunk támadást olyan magyar cégnél, amelynek a tulajdonosi körében orosz érdekeltségű vállalkozók voltak, de támadtak olyan magyar vállalatot is, aminek Ukrajnában volt gyártókapacitása. Vannak célzott támadások, de mivel a kibertérben sokszor nehéz pontosan célozni, annak ellenére, hogy egyre profibbak, azért „el tudnak tévedni” ezek a támadások. Már egy adathalász e-mail továbbításával is áldozatokká válhatunk, hiába nem mi voltunk az eredeti célpont.
Februárban, amikor elindult az orosz-ukrán konfliktus, minden erről szólt, az előző év azonos időszakához képest 25-30 százalékkal nőtt meg a támadások száma. A nyár közepére kicsit csökkent a támadások mennyisége, ezt tekinthetjük azóta az új normál értéknek. Ennek oka már csak részben vezethető vissza az orosz-ukrán konfliktusra: a korábbi években bekövetkezett digitalizációs robbanás több lehetőséget teremtett, a home office elterjedése nagyobb kitettséget jelent, ezzel automatikusan növekedett a támadások száma is.
A piaci szereplők felkészültsége egyenlőtlen kiberbiztonsági értelemben, teljesen más eszközök állnak egy kkv, és egy nagyvállalat rendelkezésére. Hogyan fogjunk hozzá a kitettségünk csökkentéséhez?
Volt egy jelmondatom idén: védekezzünk lokálisan, hogy eredményt érjünk el globálisan. Vannak minimumstandardok, de hogy mit lehet tenni az adatok védelméért, azt mindig helyi szinten kell eldönteni. Van egy hierarchia, melynek legalsó szintjén kell védeni a felhasználót és eszközét, a tetején a kiszolgáló infrastruktúrát, amit utána monitorozni kell, és az egészet beilleszteni egy információbiztonsági irányítási rendszerbe. Akkor érjük el az optimális biztonsági szintet, ha erről komplexen gondolkodunk. Lennie kell végpontvédelemnek, szükség van a monitoringra, és talán a legfontosabb, hogy kockázatarányos legyen minden intézkedés, amit végrehajtunk.
VISSZATEKINTÉS ÉS JÖVŐKÉP AZ IT-BAN
A Portfolio és a 4iG rövid kutatása azt méri fel, hogyan élték meg a vállalatok a 2022-es év IT-kihívásait és mit várnak a jövő évtől. KATTINTS, és töltsd ki!
A kkv-knak is meg kell tenniük a szükséges minimumot, és külső segítséggel felépíteni a védelmet. Egy nagyvállalat sok esetben saját információbiztonsági rendszert használ, de elindult az átrendeződés, és egyre többen külső szolgáltatásként veszik már igénybe ezeket a biztonsági megoldásokat. Tény, hogy egy nagyvállalat kitettsége természetszerűleg nagyobb, mint egy kkv-é, mert jóval több adatot kezel, de ugyanolyan jellegű támadások érhetik a kis- és középvállalkozásokat is, mint a nagyokat. A támadók mindig a gyenge láncszemet keresik, és sokszor a támadható kis cégen keresztül jutnak be egy-egy nagyvállalat rendszereibe. Gondoljunk egy nagy autóipari gyárra, aki dollármilliókat képes költeni, hogy megteremtse a saját védelmét, miközben egy magyarországi beszállítója valószínűleg nincs ilyen lehetőségek birtokában.
Mennyire állnak tudatosan a magyar kkv-k a kibertámadások elleni védekezéshez? Érezhető, hogy rájuk is hatottak a közelmúlt változásai, vagy ez számukra továbbra is a holnap problémája?
Nagyon megosztott a piac. Vannak vállalkozások, akik felismerték a kockázatot, de vannak olyan esetek is, amikor az üzletmenet folytonossága érdekében anélkül állítják vissza egy kompromittálódott rendszer működését, hogy azonosították volna a sérülékenységet.
Nem ritka a kiberbiztonsági értelemben felelőtlen hozzáállás, de tény, hogy elindult egy pozitív tendencia a védekezés terén.
Most már többen vannak, akik felkapják a fejüket egy-egy támadás hírére, még akkor is, ha nem is őket érte, és érdeklődnek, hogy mit lehetne tenni a hasonló esetek elkerülése, elhárítása érdekében.
Magyarországon a kiberbiztonsági intézkedésre kötelezettek köre hamarosan bővülni fog, mit jelent majd ez a gyakorlatban a vállalkozások számára? Mely vállalkozások az érintettek?
A 2013. évi L. törvény az állami és önkormányzati szervek kiberbiztonsági megfelelését biztosítja, egy olyan jogszabály, ami Európában is élen járónak mondható. A magyar állam működésében kritikusnak számító vállalatok és vállalatcsoportok kerülnek a hatálya alá, és mint ilyenek, kötelesek lesznek bizonyos biztonsági intézkedések megtételére. Egyetlen félelmemet fogalmaznám csak meg ezzel kapcsolatban:
remélem, a szabályozás nem lép majd át a túlszabályozottság határán, és a gyakorlatban valóban alkalmazható és hatékony intézkedésekre ösztönzi majd ezeket a cégeket.
A kiberbiztonság ugyanis akkor működik, ha nem akadályozza, hanem szolgálja az üzletet. A jogszabály előírásai kötelező érvényűek, de a megfelelés mikéntjének kockázatarányosnak kell lennie, ez sosem lehet fehér vagy fekete. Az egyik legfontosabb szempont, hogy a védekezés költsége mindig álljon arányban a kockázattal, mert ahogy mondani szokták, minden rendszer biztonsága fokozható egészen annak használhatatlanságáig.
Közeledik a DORA, az EU-s kiberbiztonsági rendelet hatályba lépése is, ami a pénzügyi szervezetek, például a bankok, a biztosítók és a befektetési vállalkozások informatikai rendszereinek biztonsági megerősítését írja elő. Milyen változásokat hozhat ez a magyar vállalkozások életébe, hogyan tudunk erre felkészülni?
Hozzávetőlegesen ugyanolyan hatású lesz, mint a GDPR, de a DORA végrehajtásban már előrébb tartunk, mint a GDPR megjelenésekor. A pénzintézetek számára létezik egy MNB által kiadott ajánlás, amely alapján kell a védelmét felépíteni. Az olyan Ha a vállalkozás működése eddig is megfelelt az MNB ajánlásának, akkor csak néhány változtatásra van most szükség. Az ajánlásnak nem megfelelők pedig eddig sem dolgozhattak Magyarországon pénzintézeti területen, így elmondható, hogy ebben is nagyon jól állunk. A rendelet tartalmaz technológiai jellegű újdonságokat: az egyik ilyen szerint a pénzintézet informatikai rendszerének biztonsági tesztelését kvázi aktív módon, kívülről is el lehet majd végezni, de ezen felül megfogalmaztak egy állandó tesztelési kötelezettséget is.
A rendeletnek célja az új technológiák elterjesztése is: hatálya alá kerülnek olyan tevékenységek is, amelyekre eddig nem vonatkoztak ilyen előírások, nekik egy kicsit nehezebb dolguk lesz. Itt is a kockázatarányos védekezésben látom a kulcsot, a DORA első alappillére pedig éppen a kockázatmenedzsment, nem véletlenül.
A cikk megjelenését a 4iG Nyrt. támogatta.
Címlapkép: 4iG
Lassan megszületik az egyezség: sorkatonaság jöhet Európa legerősebb országában
Készülődnek az orosz veszélyre.
Csúcstechnológiás nagyberuházást jelentettek be Mosonmagyaróváron
Ismét bővül a svéd cégcsoport legnagyobb üzeme.
Titokzatos orosz harckocsi készült: kiszivárgott dokumentumok rántják le a leplet a legújabb tankprogramról
Egyelőre nagyon keveset tudni a T-90M2-esről.
Franciaország partjainál bukkant fel egy orosz tengeralattjáró – Úgy tűnik, nagy a baj
Szorosan kíséri a francia haditengerészet.
EU-s fizetése ötszörösét veszi fel az Ursula von der Leyen puccsolását beindító román képviselő
Az európai képviselők több mint negyedének van egyéb bevallott jövedelme, egy részüknél pedig súlyos összeférhetetlenségek is feltételezhetők.
Tombolni kezdett a légúti járvány Magyarországon: már több mint 200 ezren keresték fel az orvost – És ez még csak a kezdet!
Felfutás előtt a megbetegedések száma.
Váratlant húzott Trump, és ezzel majdnem borította a gázai béketárgyalásokat
Komoly diplomáciai botrány alakult ki az amerikai elnök lépése miatt.
Figyelmeztetés érkezett: komoly esés előtt állhat az amerikai tőzsde
10 százaléknál is nagyobb lehet a veszteség.
Otthon Start: Van amikor 10 cm-en múlik több millió Ft
Előfordulhat, hogy a négyzetméterárra vonatkotó korlát az utolsó pillanatban a hitelfelvétel során húzza keresztül a vevő számítását. Hiába körültekintő a vevő és nézte meg a tulajdo
Mi az AI-rali mérlege? Kipukkanhat a buborék?
A mesterséges intelligencia körüli tőkepiaci eufória a modern gazdasági ciklus egyik legjelentősebb strukturális kérdésévé vált. Az AI nem csupán technológiai áttörés, hanem egy új álta
Pénz bőven van, de portfólió alig: miért nem fektetnek be a nők?
A világ vagyonának egyre nagyobb része van női kézben, a nők mégis jóval ritkábban fektetnek be, mint a férfiak. Akik úgy döntenek belevágnak, hasonlóan jól... The post Pénz bőven van, de
Fókuszban a KKV-k
A mikro-, kis- és középvállalkozások (KKV-k) gazdasági szerepe kiemelten fontos, ezért nem véletlen, hogy a társasági adó rendszerében is számos adóalap- és adókedvezmény érhető el kimon
Öveket bekapcsolni, rázós szakasz a globális pályán! - Erről írt a világ 18 vezető think tankje 2024-ben
A világ vezető agytrösztjeinek elemzéseit 2024-ben a világ darabokra szakadása és a szuverenitás témája uralja. A világban a bizalom csökken, az együttműködés helyére egyre inkább az ön
Balásy Zsolt az üdvözítő egyenlőtlenségről
Egy amerikai, nyári out-of-office email sajnálkozik, hogy most néhány órával később fog csak válaszolni, amíg visszaér a strandról. Az európai megkéri a küldőt, hogy várjon... The post Bal
Top 10 osztalék részvény - 2025. október
Október másodikán kijött Justin Law listája az osztalékfizető részvényekről, sorba is rendeztem őket gyorsan, itt az eredmény.Fontosabb infók a lista összeállításával kapcsolatbanElőző
Mi az AI-rali mérlege? Kipukkanhat a buborék?
A mesterséges intelligencia körüli tőkepiaci eufória a modern gazdasági ciklus egyik legjelentősebb strukturális kérdésévé vált. Az AI nem csupán technológiai áttörés, hanem egy új álta
Limit, Stop, vagy Piaci? Megbízások, amikkel nem lősz mellé!
Ismerd meg a tőzsdei megbízások világát, és tanulj meg profin navigálni a piacokon!
Tőzsdei adrenalin vs. nyugodt hozam – te melyiket választod?
Tőzsdéznél, de nem tudod, merre indulj? Ismerd meg egy aktív trader és egy alapkezelő gondolkodását a Portfolio Investment Services online előadásán Vidovszky Áronnal!
Béke Gázában: Trumpnak tényleg sikerült lezárnia egy háborút?
Végre elhalkulnak a fegyverek?
Áttörés jöhet az agykutatásban – eddig ilyet csak filmekben láttunk
Rózsa Balázzsal, a BrainVisionCenter alapítójával beszélgettünk.
Megszólalt az Erste-vezér: kiderült, mekkora növekedést hoz az Otthon Start
Megjelent a Portfolio Checklist csütörtöki adása.
