Highway

48_1.jpg
Forrás: ITB
A 2019-es ISACA-jelentés Magyaroszágról

Forráshiányos a magyar IT-biztonság

Elméletileg, adminisztratív szinten a magyar vállalatok az információbiztonság magas szintjét állnak, ám amikor mélyebbre ásunk, kiderül, hogy egy sor gyakorlati intézkedés sokszor hiányzik a mixből. A magyar vállalatok tavalyi évét a GDPR-ra való felkészülés határozta meg. Nőttek az IT-biztonsági büdzsék is, miközben fontos területek továbbra is forráshiányosak maradtak.

Az elméleti kép egy Magyarországon működő magyar vagy más tulajdonú nagyvállalatról az, hogy alaposan körülbástyázta magát a legjobb és legszuperebb IT-biztonsági megoldáshalmazzal – ha valakinek, hát a nagyobb cégeknek mindenképp kell legyen pénze IT-biztonságra. Hiszen nagyot kockáztat az a cég, amely bármilyen kis rést is hagy a vállalati hálózaton. Első pillantásra az ISACA magyarországi szervezetének 2019-es információbiztonsági kutatása ezt alá is támasztja: elméletileg a nagy vállalatok és állami intézmények felkészültek a kiberbiztonság kihívásaira. A gyakorlatban azonban nincs meg minden eszköz és megoldás, mely az elméleti síkon kidolgozott információbiztonságot megteremtené a valóságban.

A kutatás szerint a vizsgált szervezetek 76 százaléka rendelkezik ugyanis átfogó biztonsági szabályzattal és eljárásrenddel, és 73 százalékuknál van katasztrófaelhárítási terv. Szándékosan a skála másik feléről idézünk, mikor kiemeljük, hogy csupán a szervezetek 34 százaléka rendelkezik sérülékenységet elemző eszközökkel, pedig ez eléggé fontos egy támadás elhárítása és megelőzése szempontjából. A legnagyobb penetrációval rendelkező megoldás az információs eszközökhöz való hozzáférés monitorozása: a vizsgált szervezetek 68 százalékánál találtak hasonlót. És ha optimista szemüveggel nézzük az adatokat, akkor az is nagy eredmény, hogy a vállalatok és intézmények 53 százalékánál vannak adatszivárgást megelőző eszközök, ahogy 44 százalékuknál a mobil eszközökön tárolt adatokat titkosítják.

SOC, a központosított biztonsági tudás

A kutatás által is feltárt forráshiányosságra a megoldás a menedzselt IT-biztonsági szolgáltatásokat nyújtó SOC használata. A SOC vagyis Security Operations Center egy olyan IT-biztonsági központ, ahonnan előfizetéses, software as a service (SaaS-) modellben lehet az IT-biztonságot megvásárolni. A SOC-ot egy adott vállalati méret felett érdemes saját erőforrásból kiépíteni és működtetni. Azonban mindenki tudja, hogy az IT-biztonsági szakembereket fenntartani költséges, nehéz megtalálni és elcsábítani őket, továbbá folyamatosan képezni is kell őket, tudások nem avulhat el. Egy ehhez hasonló központot 7×24 órában kell működtetni, hiszen a kibertámadások a legváratlanabb pillanatokban érkezhetnek. Támadások esetében a kritikus idő, amíg még van időnk bármit is hatékonyan tenni a támadás sikeressége ellen, percekben mérhető. Emiatt nem meglepő, hogy még a nagyobb vállalatok is SaaS-megoldásban gondolkodnak, amikor vállalati SOC-ról beszélnek.

A SOC-ban kiemelten fontos a különböző törvényeknek, szabályoknak megfelelni, ezek közül is a személyes adatok védelme került fókuszba az utóbbi időben. Az ehhez hasonló központokban nemcsak a támadások elhárítására, hanem azok előre jelzésére, megelőzésére is komoly energiákat fektetnek a szakemberek és a mesterséges intelligencia alapú megoldások.

Túlzott jogosultságok

A felmérés adataival az ISACA által elvégzett IT-auditok során feltárt hiányosságok is rímelnek: a feltárt leggyakoribb problémák között továbbra is a túlzott jogosultságok, a hiányos naplózás és a nem kielégítő változáskezelés szerepel.  Vagyis hiába van a szervezetek közel kétharmadánál valamilyen információs eszköz, mellyel képesek a különböző eszközökhöz való hozzáférést monitorozni, nem állítják be rendesen a jogosultságokat. Az ördög mikro szinten, a beállításokban, a részletekben rejlik.

Az auditok szerint az elmúlt két évben e hiányosságok területén javulás van, de még mindig fejleszthetők ezek a területek. Az IT-auditok eredményei szerint figyelemre méltó azonban, hogy az összeférhetetlen szerepkörök, valamint a nem megfelelő üzletmenet-folytonosság ebben a hullámban már csak kevesebb helyen jelentettek problémát. Továbbra is növekedő és fontos probléma a fizikai biztonság hiányosságainak orvoslása, az ebből adódó folyamatos és egyre bonyolultabb kihívások kezelése.


Célokban is az elmélet a fontos

A stratégia szintek fontossága a kitűzött célok és törekvések szintjén is megjelenik, a stratégia itt is fontosabb a gyakorlatnál. Legfontosabb célként a vállalatok és intézmények különösen gyakran említették a GDPR-t. Ez azt mutatja, hogy bár a GDPR felkészülési időszaka tavaly hivatalosan lezárult, és élesedtek az egyes adatvédelmi jogsérelmeket büntető szankciók, a szervezetek tekintélyes részénél a téma távolról sem került le a napirendről, éppen ellenkezőleg.

Tekintettel arra, hogy a GDPR milyen mértékű változást jelentett a különböző vállalati adatkezelési folyamatokban, és ezeknek mekkorák az információbiztonsági kihatásai, a jelenség egyáltalán nem meglepő. Bár a kutatás tárgyát képező nagyvállalati körben a legszükségesebb rendszerszintű változtatások többnyire végbementek határidőre, ugyanakkor számos olyan új biztonsági kihívást teremtettek, melyek megfelelő kezelése nagyvállalati környezetben akár még évekig is eltarthat.

A kutatásról

Az ISACA (Information Systems Audit and Control Association) nemzetközi szervezet, melynek magyar tagszervezete immár 1991 óta igen aktív szerepel vállal az auditorok szakmai képzésében. A szervezet elkészítette a tavalyi évet megvizsgáló „Információbiztonsági helyzetkép 2019” című kiadványt, melyben a magyar vállalatok és állami intézmények információbiztonsági gyakorlatai szerepelnek.

A kétévente elkészülő kutatás szakmai partnere a Bell Research, a tanulmányban olyan mintát képeztek le, amelybe a legalább 250 főt foglalkoztató és-vagy 4 milliárd forintnál magasabb éves árbevétellel rendelkező, Magyarországon működő vállalkozások és intézmények körét tartoznak. A kérdőívet 152 vállalat töltötte ki.

Partner cégeknek csökkentett hozzáférés

A kutatásban azt is megnézték, hogy a külső partnerekkel, vállalatokkal szorosabb kapcsolatokat ápoló cégektől hogyan védik meg a vállalat rendszereit. A kockázatokat legtöbbször úgy csökkentik, szerződésben vagy egyéb módon kötik ki az erre vonatkozó részeket (78 százalék) vagy a szolgáltatóknak titoktartási nyilatkozatot kell aláírniuk (69 százalék). Ez viszont csak jogi biztosíték arra az esetre, ha bekövetkezne egy incidens a partner hálózatából indulva, ennél többre van szükség.  Ezt a válaszadók 65 százaléka is belátja, ők csökkentett hozzáférést adnak a partnereknek a belső vállalati rendszerekhez, ezzel is csökkentve a felesleges kockázatokat. A szervezeteknek még mindig csak 17 százaléka kér tanúsítványt a szolgáltatóktól, bár az elmúlt két évben négy százalékpontos növekedés tapasztalható ezen a téren.

A költségvetési és magánszféra szervezetei ebben a tekintetben eléggé hasonló magatartást követnek. Az állami szervezeteknél az átlagnál gyakoribb a szerződések általi szabályozás (titoktartási szerződés vagy az általános szerződés segítségével), a magánszférában a tanúsítványok megkövetelése és a tesztelés is szerephez jut.


A beszállítók megítélése

A megrendelői oldal összességében nagyrészt elégedett az információbiztonsági beszállítókkal (10-es skálán átlagosan 6,3-as osztályzatot adtak nekik). A költségvetési szféra válaszadóinak valamivel magasabb az átlagos elégedettsége az IT-beszállítókkal szemben, mint a magánszféra válaszadóinak esetében (6,56, illetve 6,25). A leggyakrabban jelentkező problémák között szerepel, hogy a legtöbb szállító a termékeladást helyezi előtérbe a problémamegoldás helyett, nem értik meg a valós igényeket és hogy a szállítók elfogultak bizonyos megoldások, gyártók vagy termékek iránt. A közszféra esetén kiemelt probléma a valódi igények meg nem értése. Gondot jelent, hogy a projektek során a vállalások és a teljesítések között eltérések vannak, ahogy az is gyakran előfordul, hogy partnerek nem megoldást szállítanak, hanem csak különböző részfeladatokat teljesítenek.

 

Több pénzt költünk, de nem eleget

A kutatás szerint az elmúlt időben többet költöttünk az IT-biztonságra, az esetek 28 százalékában emelkedett a biztonságra fordítható összeg, a válaszadók csupán 6 százaléka számolt be csökkenő büdzséről. Azonban a terület továbbra is forráshiányos: a biztonsági költségvetés kérdésre válaszoló cégek mindössze felének áll a rendelkezésére 5 millió forintnál kevesebb összeg. Beszédes, hogy a kérdés szenzitív jellege miatt az esetek 56 százalékában nem érkezett válasz erre a kérdésre. Ha arányokat vizsgálunk, akkor a teljes IT-költségvetésben a legtöbb esetben a biztonsági terület részaránya nem éri el a 10 százalékot sem.

Mindez jól mutatja a területhez kapcsolódó fő döntéshozói dilemmát: mivel a terület önmagában közvetlen üzleti bevételt, hasznot nem generál, gyakran alulmarad a forrásokért folytatott belső harcban. Ez azonban biztonsági incidensek formájában visszaüthet, és a cégek a spórolással megnyert vagy máshová átcsoportosított források akár sokszorosát is elveszíthetik az elégtelen biztonság következtében. Ezt ugyan egyre több helyen felismerik, de forradalmi, áttörést hozó változásokról még nem beszélhetünk a területen.