Az előírások azokra a jellemzően közép- és nagyvállalatokra vonatkoznak, amelyek kritikus vagy kiemelt jelentőségű ágazatokban működnek. Ide tartoznak többek között az energetikai, közlekedési és egészségügyi szereplők, a gyártás területén tevékenykedő vagy digitális infrastruktúrát működtető vállalatok, valamint számos élelmiszeripari és informatikai szolgáltató cég is.

„Az informatikai biztonság kérdése ma már messze túlmutat az előírásoknak való megfelelésen. A globális kockázati rangsorok szerint a kiberincidensek 2026-ra a legjelentősebb üzleti fenyegetések közé emelkedtek, miközben a kiberbűnözés becsült éves költsége idén világszinten elérheti a 10,29 milliárd amerikai dollárt. Kiemelt jelentősége van tehát annak, hogy minden érintett cég komolyan vegye a kötelezettségeket” – hangsúlyozta Zala Mihály, az EY partnere.

A felkészülés első lépése a szervezet teljes digitális ökoszisztémájának átfogó feltérképezése. A kockázatok azonosítása során gyakran évek óta nem frissített szerverek vagy régen elfeledett eszközök bizonyulnak veszélyforrásnak. Az ilyen „vakfoltok” felszámolása nélkül nem építhető stabil védelem, ezért szükséges a vizsgálat szakszerű és alapos elvégzése. A következő szakaszban olyan testre szabott, a szervezet működéséhez illeszkedő IT-biztonsági keretrendszert kell kialakítani, amely nemcsak elméletben, hanem a mindennapi gyakorlatban is alkalmazható.

„A sikeres támadások 85 százaléka továbbra is a munkatársak megtévesztésére épül, ezek ellen pedig a legfejlettebb technológiai megoldások sem nyújtanak önmagukban védelmet. Az EY tapasztalatai szerint az adathalász támadást szimuláló tesztek során a munkatársak 40 százaléka kattint a megtévesztő levélre a képzések előtt, míg a tudatosságnövelő programokat követően ez az arány 8 százalékra csökken” – hangsúlyozta az EY partnere.

A problémák észleléséhez szükséges képességek fejlesztése szintén kulcsfontosságú. A sérülékenységvizsgálatok, valamint a támadói módszereket modellező technikai auditok feltárják azokat a gyenge pontokat, amelyek egy esetleges behatolás kiindulópontjai lehetnek. Ezt követi a megfelelő válaszlépések és helyreállítási eljárások kialakítása. Gyakori, hogy egy szervezet rendelkezik katasztrófakezelési tervvel, ám azt soha nem tesztelte, ami hamis biztonságérzetet kelthet. Egy tényleges támadást követő leállás miatt akár többnapos kiesés is előfordulhat, ami súlyos üzleti veszteséggel jár. A rendszeres, független szakértők által végzett ellenőrzések ezért létfontosságúak a valódi felkészültség biztosításához, amelynek a vészhelyzeti szerepkörök meghatározása is alapvető része.

„A kiberbiztonságra szánt ráfordítás ma már nem luxus, hanem üzleti kényszer a cégek számára. Az egyszeri megfelelés kevés, hiszen működőképes, tesztelt és folyamatosan fejlesztett védelmi rendszert kell kialakítanunk. A megelőzött leállások, az elkerült adatvesztések és a minimálisra csökkentett reputációs kockázatok értéke messze meghaladhatja a felkészülés költségeit. A kiberreziliencia kiépítése tehát nemcsak jogszabályi kötelezettség, hanem stratégiai lehetőség, gyorsan megtérülő befektetés is az érintett szervezetek számára” – hangsúlyozta Zala Mihály.

A koronavírus-járvány hatására megnőtt az igény a bárhonnan könnyen elérhető, digitális megoldásokra. Az átalakuló piaci elvárások arra késztették a társaságokat, hogy fejlesszék IT-rendszereiket, viszont azok biztonságos működésével már nem foglalkoznak megfelelően. A felmérésben megkérdezett szakemberek háromnegyede (77%) egyre több, például zsarolóvírusos támadásról számolt be az elmúlt egy évben, ennek ellenére tízből nyolc (81%) vállalat vezetősége még csak nem is egyeztet a kiberbiztonsági osztállyal vagy külső tanácsadóval amikor új üzleti tevékenységbe kezd.

„Az online vállalati működés napról napra növeli a kockázatát annak, hogy bármely cég a hackerek és adathalászok áldozatává váljon. Tapasztalataim szerint Magyarországon akár több tízmilliós kárt szenvedhet az a szervezet, amelyik nem rendelkezik megfelelő kiberbiztonsági eszközökkel és folyamatokkal” – hangsúlyozza Zala Mihály, az EY információbiztonsággal foglalkozó vezetője. „Nagyon fontos, hogy az informatikai vezetők hangsúlyozzák az adatvédelem szerepét és forrásokat szerezzenek be a hatékony technológiai megoldások kialakítására. Szintén megkerülhetetlen, hogy egy tapasztalt külsős szakértő még időben ellenőrizze, hogy megfelelően biztonságosak-e a rendszerek, hiszen egy hacker pillanatok alatt kihasználja a sérülékenységeket” – tette hozzá Zala Mihály.

A kialakult helyzetben az informatikai vezetők mintegy fele (43%) úgy látja, egyszerűen nincs elég eszközük ahhoz, hogy a közeljövőben felmerülő veszélyek ellen hatékonyan tudjanak védekezni. Harmaduk (36%) szerint a cégük bármikor elszenvedhet egy pusztító online betörést, ami megakadályozható lenne, ha kellő figyelmet és erőforrást biztosítanának a szervezetek kibervédelemre.

Fotó: FLY:D / Unsplash

Új korszakot hoz az azonnali fizetési rendszer az adatbiztonság terén, miután március 2-ától utalásaink, a hét minden napján, 0-24 órában másodperceken belül elérhetőek lesznek a fogadó fél számára. Ennek következményeként a bankok háttérműveleti és az IT üzemeltetési területek folyamatai jelentősen átalakulnak, így korábban nem látott csalási módok megjelenésére számítanak az EY szakértői. Az átállást követően a kiberbűnözők például hamis banki applikációk, mobiltelefonra specializálódott rosszindulatú pénzügyi szoftverek, hamisított SMS üzenetek vagy akár az utalásokhoz immár elegendő másodlagos azonosítók (mobiltelefonszám, e-mail cím, adóazonosító jel, illetve adószám) elleni technikai támadásokkal élhetnek annak reményében, hogy a pénzintézetek nem készültek fel a veszélyekre.

„Hatalmas feladat elé állítja a bankok technológiai rendszereit az azonnali fizetési rendszer bevezetése. Az erről szóló vélemények egyáltalán nem súlytalan ijesztgetések. Élő példák vannak, az Egyesült Királyságban a rendszer elindítása után a csalások száma és értéke egyaránt drasztikusan emelkedett. Mindez egyértelműen jelzi az intézmények számára, hogy a korábbi szűrési módszerek nem lesznek elegendőek” – mondta Zala Mihály, az EY Kibervédelmi szolgáltatásokért felelős vezetője.

Ezek alapján elengedhetetlenné válik a szűrő rendszerek részletes tesztelése, ráadásul folyamatos finomhangolása is. A számos meghatározó elem közül a fő feladat az lesz, hogy a fizetések közül a pénzintézeti rendszerek kiszűrjék a hamis tranzakciókat. Ennek biztosítása pedig olyan szerteágazó munka, amelynek elvégzéséhez sok esetben külső, integrált megoldásokat kínáló partner bevonása szükséges.

A döntéshozók többsége (63%) kiemelten kezeli az adatbiztonságot. A válaszadók szerint a legkomolyabb veszélyt a vállalat hírnevére ugyanis az adatszivárgás vagy a szolgáltatásnyújtás szünetelése jelenti. Tízből 6 szakember ráadásul már átélt rendszerbetörést, vagy másfél éven belül számít ilyen incidensre – derül ki az EY és a HFS Research globális tanulmányából.

A megkérdezettek 73 százaléka szerint a földrajzi terjeszkedés, 66 százalékuk szerint az új termékek és szolgáltatások miatt kritikus vagy nagyon fontos az adatvédelem. A cégek ugyanakkor kevésbé törődnek a régóta használatban lévő technológiák biztonsági hiányosságaival. Ennek oka egyrészt az, hogy a szervezetek jellemzően a fejlesztésekre fókuszálnak, és itt hajlandók a költségvetésükből többet áldozni a biztonsággal kapcsolatos szolgáltatásokra. Másrészt az új technológiák veszélyei is közismertebbek, míg az idejét múlt megoldásokkal járó kockázatok sokszor csak az incidensek után kerülnek nyilvánosságra.

„A fenyegetések mindig a leggyengébb ellenállás felől érnek célba – hívja fel a figyelmet Zala Mihály, az EY Kibervédelmi üzletágának vezetője. „A legkorszerűbb technológiákat már a kockázatok minimalizálásának figyelembevételével tervezik, a meglévő, örökölt rendszerek sérülékenysége viszont az egész szervezetet veszélyeztetheti” – tette hozzá a szakember. Zala Mihály arra is felhívta a figyelmet, hogy aki most lép a digitalizáció útjára, annak fontos, hogy már a kezdetektől figyeljen az IT-biztonságra, hiszen, ha utólag kényszerül rá – akár támadás, akár egy új szabályozás miatt –, akkor sokkal költségesebben építheti ki a védelmi rendszert, mintha a beruházás tervezésekor integráltan tekintett volna a fejlesztésre.

Ahogy a kormányzati szabályozás és az ügyfelek is egyre többet foglalkoznak az adat- és információbiztonsággal, a társaságoknak is konkrét lépéseket kell tenniük. A tanulmány szerint az üzlet fejlődésével külső szakértőt is érdemes bevonniuk a biztonság-fókuszú üzleti kultúra felépítéséhez, és meg kell teremteniük a végrehajtáshoz szükséges feltételeket a sérülékeny pontok megszüntetéséhez.