Még mindig nem látjuk az IT biztonság jelentőségét

A munka világa Webkereskedelem Adatvédelem
Vass Enikő Dátum Legutoljára frissítve: 2022.03.21

Olvasási idő: 7 perc

Ez a tartalom 760 napja jelent meg, lehetséges, hogy az itt szereplő információk már nem aktuálisak. Legfrissebb tartalmainkat itt érheti el.

A vállalati adatok soha nem voltak értékesebbek és érzékenyebbek, mint napjainkban. A fejlesztési ciklusok felgyorsultak, app-ok szolgálják ki az ügyfeleket és a kollégákat is, okos eszközök számtalan változatát használjuk mindennapi munkánk során. A járványhelyzet által előidézett hibrid munkavégzés megnövelte a támadási felületeket, és egy kevésbé biztonságos otthoni környezetbe tette át a vállalati adatokat. Mit tehetünk az IT biztonság fontosságának tudatosításáért?

Magyarországon, bár sok szó esik a témáról, a szakemberek szerint messze vagyunk attól, hogy megfelelő helyen kezeljük az IT-biztonság kérdését. Az is előfordul, hogy a vállalatok sokszor (sajnálatos módon) csak egy-egy audit vagy egyéb megfelelési követelmény kipipálása miatt szerveznek tudatosítást a témában. Ez önmagában nem hatékony. Ebben a kérdésben a felsővezetés felelősségét lenne jó tudatosítani. Hogy ne csak akkor foglalkozzunk a kérdéssel, ha már megtörtént a baj, elszenvedtük a támadást vagy incidenst, és saját bőrünkön tapasztaltuk meg, mekkora pénzügyi veszteséggel jár egy adatvesztés vagy adatszivárgás.
Az IBM a Ponemon Intézettel közösen évente kiszámolja, hogy mennyibe is került az adatszivárgási incidens átlagosan egy világvállalatnál. A 2021-es tanulmány szerint a globális átlag 10 százalékkal nőtt, 4,24 millió dollárra (1,2 milliárd forint). Beszédesebb adat, hogy ennek a 4,24 millió dollárnak a 38 százalékát az elvesztett üzleti lehetőségek teszik ki. Nyilvánvaló tehát, hogy egy-egy incidenssel sokat kockáztat a vállalat.

A vállalat IT-biztonsága nem csak hardverek és technológiák megfelelő használatát jelenti, hanem a kollégákkal közösen kell IT-biztonsági kultúrát kialakítani a szervezeten belül. 

A kollégák általában azt gondolják, hogy az IT-biztonság megteremtése egy olyan IT-feladat, mellyel a szakembereknek kell foglalkozniuk. Miközben a szakemberhiánnyal küzdő IT-csapatnak alig jut ideje még a biztonsággal is törődnie, a napi teendők mellett. 
Ellentmondás van a vállalati hiedelmek és a valóság között is. Az 1Password The guide to creating a culture of security kutatása szerint például az IT-szakemberek az gondolják, mindenki erős jelszót használ a vállalatnál, miközben az amerikai felnőttek 45 százaléka 8 karakternél rövidebb jelszóval védekezik. Ugyanígy a vállalatok azt vélik, hogy a céges IT-biztonsági előírásokat mindenki követi, miközben az amerikai alkalmazottak 70 százaléka szerint a vállalatok felelőssége védeni a munkához használt felhasználói fiókokat.

Így építsük fel a vállalati IT-kultúrát!

A vállalati IT-biztonsági kultúra a csapat közös erőfeszítésének eredménye, melyben minden egyes kolléga szerepet vállal. Ebben a kollégák biztonságtudatosságának kiemelt szerep jut.
Hogyan is fogjunk neki kialakításának? Első körben készüljünk fel! Nézzük át meglévő IT-biztonsági szabályzatainkat, vagy írjuk meg őket, ha nincsenek. A folyamatba vonjuk be a felsővezetést, csapatvezetőket, HR osztályt, IT- és biztonsági vezetőket egyaránt – elköteleződésük kulcsfontosságú. 
Készítsünk oktatási és kommunikációs tartalmakat, hogy mindenki tudja, mi az elvárt. Építsük be az onboarding folyamatba az IT-biztonsági tudatosítást is. Az alkalmazottak tevékenységének értékelésékor vegyük figyelembe a biztonsági előírások betartását is. Szervezzünk egy céges eseményt, ahol a kollégák és külső partnerek egyaránt értesülnek a biztonsági változásokról. 
A vállalati IT-biztonsági kultúrát csakis a kollégák (és a külső partnerek) tehetik sikeressé. Az új szabályokat kötelező, de érdekes és izgalmas oktatások segítségével mélyítsük el, mindezt rendszeres időközönként frissítsük fel. A biztonságtudatosságot ezután vállalatszerte erősítsük meg. 

Foglalkozzunk a láthatatlan rendszerszintű kockázatokkal!

Az üzleti vezetők gyakran hoznak olyan döntéseket, melyek a vállalat biztonsági felkészültségét negatívan befolyásolják: például nem hajlandóak leállítani egy szervert ahhoz, hogy megfelelően frissítsék vagy régi hardverekkel és szoftverekkel dolgoznak, hogy így spóroljanak némi pénzt. Néha ezek a döntések rejtve maradnak az IT-vezető előtt, ami hamis biztonságérzetet kelt a vállalatban, miközben megnöveli a kiberbiztonsági incidens bekövetkezésének lehetőségét.
Ezek a rendszerszintű kockázatok a vállalat működésének részei, ezért nem lehet a szőnyeg alá söpörni őket. 

A megfelelő szintű IT-biztonság megteremtésének érdekében a problémákat jelenteni kell és foglalkoznunk kell velük, bármennyire is kényelmetlen.

Kulturális disszonancia a vezetők között

A „nem IT-vezetők” természetesnek veszik az IT-biztonságot, az valahogy mindig ott van, mint a levegő vagy a víz. Ez azt is jelenti, hogy a kiberbiztonság nem részese az üzleti követelményeknek. Az az üzleti vezető, aki egy új alkalmazás fejlesztését kéri, nagy valószínűséggel a követelmények között nem sorolja fel a biztonsági megfelelőséget.
Ez az attitűd olyan termékeket és megoldásokat szül, melyek komoly kiberbiztonsági kockázatot hordoznak önmagukban, és nemcsak saját magunk részére. Például az IoT Security Foundation 2021. novemberi vizsgálata szerint a divatcégek vagy a konyhai eszközöket gyártó vállalatok IoT eszközei többnyire nem biztonságosak, míg az IT-fejlesztés területén tapasztalattal rendelkező cégek biztonságosabb (és drágább) eszközöket gyártanak.
A megoldás, ha az IT-vezető a kiberbiztonságot üzleti kontextusban tálalja, hogy az üzleti vezetők is szembesüljenek döntéseik hatásával.

Pénzzel igyekszünk megoldani a problémát

A világ összes pénzével is csak csökkenteni tudjuk a kiberbiztonsági incidensek megakadályozásának lehetőségét, de 100 százalékos biztonságot vásárolni nem tudunk. 

A top IT-biztonsági szakértők alkalmazása sem jelent teljes garanciát az incidensmentes működésre. Elég csak egy elégedetlen alkalmazott, és máris a sok pénzből megépített vár kapuja belülről nyílik. Erre a legutóbbi példa, az Ubiquiti esete, amikor kiderült, hogy egy elégedetlen fejlesztő, aki alapból hozzáfért a vállalat adataihoz, zsarolta és támadta a céget 2020-ban, nem pedig a cég rendszereihez fértek hozzá egy sérülékenységen keresztül.
A megoldás, ha az üzleti kockázattal arányosan költünk IT-biztonsági megoldásokra és szakértelemre, ezzel is segítve az üzleti célok elérését. 

Nem merünk felelősséget vállalni

Amikor elfogadjuk, hogy az üzleti működésnek kockázatai vannak, akkor ennek felelősségét valakinek vállalnia kell. Senki nem vállalja ezt a feladatot, ha a felelősség vállalása azt jelenti, hogy az illetőt kirúgják, ha valami baj történik. Az is problémát jelent, ha a vállalat által kényelmesnek tartott kockázati szinteket nem határozzuk meg pontosan. Előre meghatározott paraméterek mellett el lehet dönteni, hogy vállalható vagy sem a kockázat, mire van szükség a kockázat megfelelő szintre hozásához. A megoldás része, ha díjazzuk azokat a vezetőket, akik mernek egyensúlyozni az IT-biztonság és az üzleti elvárások között.

A transzparencia hiánya

Egyes igazgatói tanácstagok vagy vállalatvezetők egyszerűen nem hajlandóak elfogadni, hogy az IT-biztonság nem lehet tökéletes. A céges IT-biztonsági beszámolók csupa jó hírekkel van tele, hogy milyen téren mennyit fejlődött a biztonság, de a fejlesztési lehetőségeket vagy a hiányosságokat ritkán mutatják be. A megoldás a fejekben és a gondolkodás megváltoztatásában rejlik: az IT- és a nem IT-vezetők egyaránt el kell fogadják az IT-biztonság valóságait, és meg kell értsék a biztonság megteremtésének korlátait.