Rosszul elköltött pénz

0

Elképesztően megugrott a vállalkozások kibervédelemre fordított költése az elmúlt időszakban, a jelek szerint azonban ez roppant kevés. Nem a ráfordítás mértéke, sokkal inkább a módja, a jó gyakorlatok, koncepciók hiánya okozza a gondot a szakértők szerint. Éppen ebben lehet kulcsszerepe a biztosítóknak.

Jelenleg az amerikai vállalatok 70 milliárd dollárt költenek évente kibervédelemre, és több mint 3 milliárd dollárt kiberbiztosítási díjakra, az eredményeket elnézve azonban a hatás elmarad. Ennek számos oka van, egyfelől a kibertámadások erősödésével a biztonsági megoldások kínálata is elképesztő tempóban kibővült, a potenciális vásárlóknak pedig még nehezebb eldönteni, hogy ezek közül melyikek lennének számukra valóban hatékonyak. Másfelől ezek a megoldások többnyire teljesen ignorálják a meglévő vállalati kultúrát éppen ezért alkalmazásuk is akadozik, vagy épp meg sem valósul. Habár egy korszerűen működő vállalattól elviekben elvárható lenne, hogy saját  – akár belsős, akár megbízásos alapon külsős – kiberbiztonsági szakértőt alkalmazzanak, a hétköznapi realitások persze egészen mások, ennek csak egyik része az, hogy az ilyen szakemberek az egyik legnagyobb hiányszakmát jelentik manapság, nagyjából fej-fej mellett haladva az analitikai szakértőkkel.

A helyzet alapvetően elég egyszerű: a vállalkozásoknak szakértő iránymutatásra van szükségük, emellett pedig a lehető legmagasabb szintű elköteleződés is nélkülözhetetlen a vállalatvezetés részéről. Adja magát a helyzet, hogy a biztosítók vállalják fel ezt az edukációs szerepet, még szorosabbra fűzve a kapcsolatot ügyfeleivel. A feladat nem egyszerű, hiszen az együttműködésnek minden eddiginél mélyebbnek, ráadásul folyamatosnak kell lennie. A biztosítónak valós időben kell tájékoztatást nyújtania a lehetséges fenyegetésekről, azok természetéről, a védelem legjobb elhárításának módjáról, sőt utóbbiban akár tevékenyen részt is kell venniük.

A lehetséges kooperáció elég széles skálán mozoghat a tanácsadástól a kibervédelem kialakításán át az annak fenntartásában való aktív részvételig. Az azonban bizonyos, hogy a biztosítók egyfelől kiváló lehetőséget kapnának ügyfélkörük bővítésére, másrészt egy hosszútávon is releváns szolgáltatással bővíthetnék tevékenységi körüket. A másik oldalt nézve a vállalatok valóban hatékony iránymutatást és védelmet kapnának az egyre növekvő mértékű kiberfenyegetés ellen. Ez ugyan némileg felrúgná a jelenlegi status quo-t hiszen a biztosítói szerepvállalásnak klasszikusan nem része a védelemben való részvétel, de a biztosítási szakma eleve az eddig tapasztalt legnagyobb átalakuláson megy jelenleg keresztül, miért ne lehetne ennek éppenséggel ez is része.

Különösen annak fényében, hogy a kiberfenyegetettség egyáltalán nem egy távolból fenyegető rém, hanem nagyon is aktuális problémakör. David Garrett, a kaliforniai székhelyű Tensyl Security biztonsági tanácsadó cég alapítója szerint az elmúlt nyolc év során szinte mindenkinek eltulajdonították legalább egyszer az online identitását. A kis és középvállalkozások több, mint 20 százaléka már volt kiberincidens áldozata, számuk pedig éves szinten legkevesebb 15 százalékkal nő egyelőre, ám az ütem rohamosan gyorsul. Ráadásul ezek csak azok a cégek, akik bejelentették a támadás tényét, rengetegen rejtve maradnak, félve a hírnevükön eső csorbától és egyéb retorzióktól. A Ponemon Institute becslése szerint 2015-ben mintegy 75 milliárd dollárt fordítottak kibervédelemre, 2020-ra pedig 101,6 milliárdra is nőhet ez az összeg.

Mit sem ér azonban ez, ha nem megfelelő módon van elköltve. A már idézett Tensyl Security alapító Garrett öt alapvető tényezőt számolt össze, ami ezért a jelenségért felelős:

1. A kibervédelem nem IT probléma

A legtöbben a kiberbiztonságot kizárólag az IT hatáskörébe utalják, de ez legkevésbé sem így van. Az adott cég IT részlege és infrastruktúrája alapvető és megkerülhetetlen része a biztonsági rendszernek, de önmagában teljességgel elégtelen. Az egyes kiberincidensek leggyakrabban nem az IT-biztonság hiányosságaiból fakadnak, hanem a szervezeti kultúrából, a rossz előírásokból, vagy az azokat be nem tartó kollégákból, azokat be nem tartató vezetőkből. Hiába áll rendelkezésre a papíron közel tökéletes rendszer, ha a kollégákkal nem sikerült megértetni, ne nyissanak meg spam üzeneteket, ne kattintsanak kétes eredetű linkekre, ne használják privát készülékeiket a vállalat belső rendszerének elérésére.

2. Elavult biztonsági stratégiák

Hagyományosan a vállalati kockázatmenedzsment igen specializált, részekre tagolt terület. A pénzügyi részleg kezelő a financiális kockázatokat, a jogászok a jogiakat, a HR a munkabiztonságiakat és így tovább. Ez a megközelítés lényegében az, ami az első tényezőért is felelős, és ez az ami a káresemények kezelését is roppant nehézkessé teszi, hiszen a digitális kockázatok csak a legritkább esetben feleltethetők meg egy-egy területnek. Kezelésük ennélfogva nem lehet egy-egy részleg feladata, hanem komplex megközelítést igényelnek.

3. Nem betartatott szabályok

Vannak olyan viselkedésminták és munkavállalói szokások, amik erősen korrelálnak az incidensek előfordulásának valószínűségével. Ezek alapvetően mind egy dologra vezethetők vissza: a praktikum uralmával a biztonsággal szemben. Ez a kettő dolog egyszerre nem megvalósítható, és jellemzően mindig az első nyer. Egy hosszú, komplikált jelszót nehezebben memorizálnak az alkalmazottak, így kerül a rendszerbe a rengeteg “123456”, “jelszo” vagy “szivecskem” egy pillanat alatt. Ugyanígy nagyon hamar megbuknak azok a szabályok, amik lehetetlenné teszik egy munkavállaló számára, hogy bármit is telepítsen a gépére, hiszen a telepítendő programok valóban a munkavégzéshez kellenek, de rengeteg időt veszít, mire megkapja a szükséges engedélyeket és az valóban megtörténik. Épp emiatt rengeteg biztonsági céllal bevezetett szabályt pár héttel a bevezetése után már nem tartatnak be, hiszen mindig akad egy nagyon fontos, nagyon sürgős projekt, ami nem várhat egy percet sem. És ez lényegében az egyik legfőbb probléma, hiszen a legjobb szabályrendszer is éppannyit ér, amennyire azt betartják, avagy betartatják.

4. Kevés adat

Ugyancsak a felelősségi körök témakörébe tartozik, hogy míg egyrészt a biztonsági szakemberek rengeteg adattal rendelkeznek – például az esetleges támadások mibenlétéről, a támadó IP-címéről – addig elképesztő adathiánnyal is kénytelenek megbirkózni, ugyanis csak korlátozott ismeretekkel rendelkeznek a vállalati kultúra – gyakran csak papíron létező – sajátosságairól, amik az adott támadást lehetővé teszik. A biztonsági részleg nem képes önmagában érdemi munkát végezni, ha a vállalat belső működéséről, az egyes munkafolyamatok milyenségéről nem rendelkezik kellő információval, legjobb esetben is csak tűzoltásra képes.

5. Túl sok lehetőség

A túlkínálat egyrészt jó, hiszen jó eséllyel megtalálja mindenki a számára ideális megoldást, ám míg ebben sok cég élen jár, addig a egyes – főleg kisebb – vállalkozások lényegében megfulladnak a lehetőségek tengerében, és hasraütésszerűen választják ki a védelmi rendszert vagy eszközt. De még ez is a jobbik eset, szakértelem hiányában ugyanis jellemzőbb, hogy a vezetés halogatja ezek beszerzését, gyakran odáig, hogy az meg sem valósul.

Hogyan változtathat ezen a biztosító? Nem egyszerű feladat, hiszen alapvetően kell megváltoztatni a biztosító-biztosított párbeszédet. Egyfelől segíteniük kell meghonosítani a rendszerszintű szemléletet, ez ugyanis mindennek az alapja. Mindenképpen meg kell változtatniuk az adatgyűjtési gyakorlatukat, mivel jelenleg roppant felszínes információkat gyűjtenek, sok esetben érdemes lenne mélyebbre ásni. Nem lehet elég például egy írásos nyilatkozat arról, hogy biztosított rendelkezik az XY szabványnak megfelelő biztonsági rendszerrel, teljes mélységben meg kell ismernie az alkalmazott stratégiát, eszközöket, lehetséges fenyegetéseket. Az így feltárt hiányosságokra már lehet ajánlásokat megfogalmazni az alkalmazandó szabályozásbéli változásokról, beszerzendő eszközökről és szoftverekről, melyek megvalósulását ellenőrizni kell, esetlegesen díjkedvezményhez kötni azt.

Nem elhanyagolható az edukáció jelentősége sem, akár esettanulmányok, gyakorlati példák, de szemináriumok segítségével is. Mivel a kibervédelem soha nem véget érő feladat, ezért a minimum éves felülvizsgálat, az új fenyegetések bemutatása szintén alapvető kell legyen. Akár a biztosítási szerződés megkötésének részeként is megvalósulhat egy teljes kiberbiztonsági átvilágítás, a jelenlegi helyzet megismerése, az elérendő célok kitűzése. A megfelelő adatok gyűjtésébe bele kell tartozzon a betörésekről szóló információk átadása is, a lehető legnagyobb mélységben, ami nyilvánvalóan az egyik legkényesebb területe lehet a jövőbeli biztosító-biztosított kapcsolatnak. Ugyanakkor ez megkerülhetetlen, hiszen eredendően szükségesek ezek a biztosító számára, hogy megfelelő modelleket állítson fel, amik segítségével nagy pontossággal tudja beazonosítani a legnagyobb veszélyeket, akár a vállalat tevékenységi körével összefüggésben is, illetve tud rájuk megfelelő megoldásokat kínálni.

Forrás: www.biztositasiszemle.hu

Megosztás

Szóljon hozzá

IRATKOZZON FEL HÍRLEVELÜNKRE!
PGlmcmFtZSBzcmM9Ii8vd3d3LmZhY2Vib29rLmNvbS9wbHVnaW5zL2xpa2Vib3gucGhwP2hyZWY9aHR0cHMlM0ElMkYlMkZ3d3cuZmFjZWJvb2suY29tJTJGbG9naXN6dGlrYSZhbXA7d2lkdGg9NDg5JmFtcDtoZWlnaHQ9MjU4JmFtcDtjb2xvcnNjaGVtZT1kYXJrJmFtcDtzaG93X2ZhY2VzPXRydWUmYW1wO2hlYWRlcj1mYWxzZSZhbXA7c3RyZWFtPWZhbHNlJmFtcDtzaG93X2JvcmRlcj1mYWxzZSIgc2Nyb2xsaW5nPSJubyIgZnJhbWVib3JkZXI9IjAiIHN0eWxlPSJib3JkZXI6bm9uZTsgb3ZlcmZsb3c6aGlkZGVuOyB3aWR0aDo0ODlweDsgaGVpZ2h0OjI1OHB4OyIgYWxsb3dUcmFuc3BhcmVuY3k9InRydWUiPjwvaWZyYW1lPg==
CSATLAKOZZ HOZZÁNK FACEBOOKON IS!
A sorozat támogatója a:
PGlmcmFtZSBzcmM9Ii8vd3d3LmZhY2Vib29rLmNvbS9wbHVnaW5zL2xpa2Vib3gucGhwP2hyZWY9aHR0cHMlM0ElMkYlMkZ3d3cuZmFjZWJvb2suY29tJTJGbG9naXN6dGlrYSZhbXA7d2lkdGg9MzAwJmFtcDtoZWlnaHQ9MjkwJmFtcDtjb2xvcnNjaGVtZT1saWdodCZhbXA7c2hvd19mYWNlcz10cnVlJmFtcDtoZWFkZXI9dHJ1ZSZhbXA7c3RyZWFtPWZhbHNlJmFtcDtzaG93X2JvcmRlcj10cnVlIiBzY3JvbGxpbmc9Im5vIiBmcmFtZWJvcmRlcj0iMCIgc3R5bGU9ImJvcmRlcjpub25lOyBvdmVyZmxvdzpoaWRkZW47IHdpZHRoOjMwMHB4OyBoZWlnaHQ6MjkwcHg7IiBhbGxvd1RyYW5zcGFyZW5jeT0idHJ1ZSI+PC9pZnJhbWU+
PGlmcmFtZSBzcmM9Ii8vd3d3LmZhY2Vib29rLmNvbS9wbHVnaW5zL2xpa2Vib3gucGhwP2hyZWY9aHR0cHMlM0ElMkYlMkZ3d3cuZmFjZWJvb2suY29tJTJGbG9naXN6dGlrYSZhbXA7d2lkdGg9MzUwJmFtcDtoZWlnaHQ9MjkwJmFtcDtjb2xvcnNjaGVtZT1saWdodCZhbXA7c2hvd19mYWNlcz10cnVlJmFtcDtoZWFkZXI9dHJ1ZSZhbXA7c3RyZWFtPWZhbHNlJmFtcDtzaG93X2JvcmRlcj10cnVlIiBzY3JvbGxpbmc9Im5vIiBmcmFtZWJvcmRlcj0iMCIgc3R5bGU9ImJvcmRlcjpub25lOyBvdmVyZmxvdzpoaWRkZW47IHdpZHRoOjM1MHB4OyBoZWlnaHQ6MjkwcHg7IiBhbGxvd1RyYW5zcGFyZW5jeT0idHJ1ZSI+PC9pZnJhbWU+
PGlmcmFtZSBzcmM9Ii8vd3d3LmZhY2Vib29rLmNvbS9wbHVnaW5zL2xpa2Vib3gucGhwP2hyZWY9aHR0cHMlM0ElMkYlMkZ3d3cuZmFjZWJvb2suY29tJTJGbG9naXN6dGlrYSZ3aWR0aD02NTAmaGVpZ2h0PTI1OCZjb2xvcnNjaGVtZT1saWdodCZzaG93X2ZhY2VzPXRydWUmaGVhZGVyPWZhbHNlJnN0cmVhbT1mYWxzZSZzaG93X2JvcmRlcj10cnVlIiBzY3JvbGxpbmc9Im5vIiBmcmFtZWJvcmRlcj0iMCIgc3R5bGU9ImJvcmRlcjpub25lOyBvdmVyZmxvdzpoaWRkZW47IHdpZHRoOjY1MHB4OyBoZWlnaHQ6MjU4cHg7IiBhbGxvd1RyYW5zcGFyZW5jeT0idHJ1ZSI+PC9pZnJhbWU+
Csatlakozz hozzánk Facebook-on is!