Utánajártunk

58_SecureLink.jpg
Forrás: ITB
Ami házon belül marad

Mennyibe fáj a vállalati adatvesztés?

Nemzetközi adatok szerint egy teljes adatkatasztrófa után fél évvel az érintett vállalatok 60 százaléka lehúzza a rolót. A hazai vállalatok adatveszteségeinek pontos részletei nem ismertek, mert az esetek rejtve maradnak, az érintettek házon belül igyekeznek megoldani a problémát. A közvetlen, anyagi károk mellett a hírnév csorbulásával és az esetleges perekkel is számolnia kell a pórul járt vállalatnak.

Nem egyszerű beárazni a céges adatvesztést, ehhez a vállalat belső folyamatait jól ismerő, szakavatott pénzügyi szakemberek elemzésére van szükség. Ha meg is születik az elemzés, nem érdeke a cégnek nagydobra verni, mekkora összeget veszített az IT-biztonsági rendszerei hiányossága, az alkalmazottak biztonságtudatának nemléte miatt. A Yahoo esetében viszont „szerencsénk” volt, hiszen az adatveszteségről szóló hírek egy éppen felvásárlás alatt lévő tőzsdei céget érintettek.

 

A 350 millió dolláros baki

Marissa Mayer, a Yahoo vezetője 2016-ban boldogan dörzsölhette össze tenyerét, miután a valaha szebb időket látott vállalatot sikerült a Verizon nyakába sózni potom 4,8 milliárd dollárért (a Fortune magazin egyik 2017-es összeállításában a „leghülyébb felvásárlások” közé sorolta az ügyletet). Majd bombaként robbant a hír, hogy a Yahoo adatait – felhasználóneveket, jelszavakat – nem egyszer, hanem kétszer is sikerült ellopni. 2014 szeptemberében félmilliárd felhasználó adatai kerültek nyilvánosságra, viszont előtte, 2013 augusztusában egymilliárd felhasználó adatai szivárogtak ki. Amint pedig 2017 márciusában kiderült, orosz hackerek adathalász támadása állt a háttérben.

A Verizon menedzsmentje elég ideges lehetett a hírek hallatán, a szaksajtó rögtön spekulálni kezdett, a botrány hatására vajon mennyit alkudhat le a mobilos cég a vételi árból – a pletykák egymilliárd dollárig is elmentek. Idén februárban kiderült, hogy 350 millió dollárral lett alacsonyabb a vételár, ami felhasználónként nem is olyan sok, 102 forint körüli. Ennek az összegnek a fejében a Verizon, és ami még megmarad a Yahoo-ból, vagyis az Altaba nevű vállalat közösen vállalják az adatvesztés jogi, hatósági következményeit, a soron következő pereket is közösen kezelik.

Egyéjszakás kalandok

2015 augusztusa túl forró időszaknak bizonyult annak a 32 millió felhasználónak, akinek az adatait nyilvánosságra hozták a hackerek. A 32 millió fő ugyanis az Ashley Madison weboldal felhasználója volt, annak az oldalnak, amely egyéjszakás kalandokat ígért. Azok pedig, akik annyira megharagudtak az oldalt üzemeltető Avid Life Mediára, hogy a hackeléshez folyamodtak, nem voltak mások, mint a magukat Impact Groupnak nevező hackercsoport tagjai (szakértők szerint az adatszivárogtatás hátterében egy elégedetlen női alkalmazott is állhat; a magas nyomravezetői díj ellenére a tettesek nem kerültek elő).

Haragjuk oka a médiacsoport megkérdőjelezhető magatartása volt: a weboldalon ugyanis 19 dollárt kértek azért, hogy a regisztrált felhasználókat véglegesen töröljék. A pénzt elvették, de az adatokat megtartották. Mint kiderült, eléggé amatőr módon, titkosítás nélkül tárolták az összes személyes adatot: lakcímet, bankkártyaszámot, jelszót, e-mail címet, a bejelentkezés koordinátáit, szexuális preferenciát. Hét évre visszamenőleg minden tranzakciót, felhasználói adatot precízen megőriztek. A 32 millió (és nem 40, ahogy azt a cég reklámozta) felhasználó napvilágra került 9,7 GB-nyi adataiból kiderült, hogy elenyésző mértékben volt közöttük női felhasználó, körülbelül 1 százalékuk. A belső levelezésből pedig a vállalat „sikerének” titkára is fény derült: valódi nők helyett chatbotok csevegtek a férfiakkal.

Az adatszivárgás miatt házasságok mentek tönkre, kapcsolatok szakadtak meg, szakértők több öngyilkosságot is az esetnek tulajdonítanak. A kiadó ugyan nem ment tönkre, 2016 nyarán nevet váltott, azóta ruby néven folytatta tevékenységét.

 

Rés a pajzson

Több résen is szivároghat a vállalati adat – mondja Petrányi-Széll András, a G Data kommunikációs vezetője. Az adatveszteséget okozhatja zsarolóvírus, hardverprobléma, rosszindulatú beavatkozás, szándékos vagy véletlen kiszivárogtatás. Becslései szerint a magyar KKV-k az elmúlt két évben félmilliárd forintot fizettek ki váltságdíjként azért, hogy visszanyerjék adataikat. Azonban a fizetés sem jelenti a probléma teljes körű megoldását; a szakember azt mondja, az általa látott esetekben egyszer sem sikerült a titkosított állományokból maradéktalanul helyreállítani az adatokat.

Véletlenül is kiszivároghatnak adatok a cégtől, például ha egy okostelefont vagy notebookot úgy adnak szervizbe, hogy a rajta lévő adatokhoz bárki hozzáférhet. Vagy az egyik munkatárs elveszíti, netán ellopják tőle a céges notebookot. Az is előfordult már, hogy a leselejtezett számítógépek, okostelefonok adathordozóján ottmaradt az információ – az adatot egyszerű törléssel nem, csupán többszörös felülírással lehet eltüntetni.

 

Mennyi az annyi?

Az adatveszteség okozta kár helyreállítása több tételből állhat. Először is be kell foltozni azt a biztonsági rést, amelynek következtében az adatveszteség kialakult – ez talán a legkönnyebb és legolcsóbb dolog. Noha a biztonsági szakemberek nem javasolják, gyakori, hogy a kiszemelt vállalat kifizeti a kért váltságdíjat. Ezek után következnek a súlyosabb tételek. Az adatszivárgás következtében persorozatnak nézhet elébe a cég, és a hatóságok is rátesznek egy lapáttal a helyzetre, amikor – törvényesen és jogosan – pénzbírságot szabnak ki az adatveszteség miatt. A 2018-ban életbe lépő európai adatvédelmi szabályozás szerint a másodszor hibázóknak ez a bírság 20 millió euró vagy az előző pénzügyi év teljes piaci forgalmának 4 százaléka lesz, illetve a kettő közül a magasabb összeg.

Létezik továbbá egy kevésbé számszerűsíthető kár, a reputáció, a (jó) hírnév elvesztéséből adódó negatívumok. Kiderülhet ugyanis olyan féltett titokként őrzött, kényes üzleti turpisság is, amely rossz fényt vet a vállalatra (például a Sony adatainak, belső levelezésének kiszivárogtatása után kiderült, hogy a női sztárokat kevésbé becsülték meg anyagilag, mint férfi társaikat). A partnerek és a felhasználók könnyen és gyorsan elhagyják az adataikra nem vigyázó vállalatot, a jövőbeli ügyfelek pedig már nem is számolnak a hibázó céggel. A megtépázott hírnév a részvényárak alakulásán is meglátszik.

Adatszivárgással kapcsolatos költségtételek

Adatszivárgás, adatveszteség után a vállalatok a következő költségekkel számolhatnak:

– az IT-biztonsági infrastruktúra újragondolása, frissítése;

– váltságdíj fizetése;

– elmaradt szerződések miatti bevételkiesés;

– reputációs veszteség;

– tőzsdei árfolyam csökkenése;

– hatósági bírság;

– partnerek, felhasználók által indított perek költségei.

 

Petrányi-Széll András olyan esettel is találkozott munkája során, amikor a torrent oldalakról letöltött vállalatirányítási rendszert és tűzfalat használó cég csodálkozott, hogy a szoftvergyártó megkereste őket kártérítési kéréssel. A szoftver gyártója ugyanis maga töltötte fel módosított termékeit a torrent oldalakra, melyek közvetlen belépési lehetőséget adtak a vállalat belső rendszereibe. Így a lopott szoftverrel készült összes vállalati adathoz hozzáfértek.

A cég méretétől is függ, hogy az adatveszteség mekkora kárt okoz. Mészáros Zsolt, a Motiment ügyvezető igazgatója egy több ezer felhasználóval rendelkező cég esetét említette, ahol a szándékos adatveszteség milliárdos nagyságrendű kárt okozott. A vállalatnál egy új rendszerről szerették volna kideríteni, hogy miért lassabb, mint az előző megoldás. Ehhez két évre visszamenőleg szükségük lett volna az alkalmazottak számítógépeinek screen shotjaira. Ám az IT-vezető a költségvetés szűkösségére hivatkozva úgy döntött korábban, hogy csak fél évre visszamenőleg őrzi meg az adatokat. A log adatokból 1500 munkalassító lehetőséget találtak – a képernyőmentések lehetővé tették volna a tíz, legtöbb időt elpazarló folyamat megtalálását.

 

Házon belül kezelt ügyek

A magyar vállalatok nagyon titkolóznak, ha adatveszteséggel kapcsolatos költségekről faggatjuk őket. Az adatvédelemre szakosodott ügyvédektől is kivételes esetben kérnek segítséget. Domokos Márton adatvédelmi ügyvéd irodájához például jellemzően laptopon tárolt adatok elvesztésekor fordulnak a vállalatok. Ekkor azt szeretnék megtudni, hogyan tudják az adatelvesztés következményeit mérsékelni, hogy kell-e a partnereket értesíteni az adatveszteség tényéről (a jövő év májusában életbe lépő GDPR szabályozás értelmében van ilyen kötelezettség).

Százalékos veszteségek

Nem magyar, hanem nemzetközi felmérést végzett a Cisco, mely az adatveszteség pénzügyi következményeire is kitért. Felmérésük szerint az adatvesztést elszenvedő vállalatok 22 százaléka vesztett ügyfeleket – 40 százalékuk korábbi ügyfeleinek több mint ötödének mondhatott búcsút. A vállalatok 29 százaléknál volt bevételcsökkenés, amelynek mértéke a vállalatok 38 százalékánál meghaladta a 20 százalékot. Az adatvesztés következtében a vállalatok 23 százaléka veszített el üzleti lehetőségeket, 42 százalékuknál ennek mértéke meghaladta a 20 százalékot.

Mindez a szakember szerint évente 3-4 alkalommal fordul elő. Ez nem azt jelenti, hogy a cégek nem vesztik el az adataikat, csak az ilyen kényes ügyeket jellemzően házon belül oldják meg. Az ügyvédi irodában olyan esettel még nem találkoztak, ahol az adatveszteség következtében végleg bezárták volna a boltot. A vállalatok arra azért ügyelnek, hogy legyenek biztonsági másolatok, így az adatokat pótolni tudják. A nemzetközi elemzések egyébként azt mutatják, hogy egy-egy teljes adatkatasztrófa után fél éven belül az érintett cégek 60 százaléka teljesen megszűnik.

 

Nagy a szórás

Nemes Dániellel, a biztributor elnökével próbáltunk összeállítani egy táblázatot arról, hogy konkrétan mennyibe is kerülhet egy súlyos adatveszteség egy 10-20 fős cég esetében. (A szakember szerint egyébként a véletlen adatszivárgás a leggyakrabban előforduló adatvesztés, hozzá is érkezett már olyan Excel-táblázat, amelyben a rejtett sorok szenzitív céges adatokat tartalmaztak.) Tehát, az egyik tétel az IT-biztonsági infrastruktúra újra felállítása lenne. A tapasztalat azt mutatja, hogy a vállalatoknál igen nagy a szórás, már ami a biztonsági költéseket és a használt infrastruktúrát illeti. Míg egy ügyvédi iroda csupán célzott támadások kiszűrésére 50-60 millió forintot is költhet, addig egy cipész manufaktúránál a pár tízezer forintos antivírus-megoldást is luxusként tartják számon.

A költségeket a megvédendő értékekhez kell arányosítani. A tulajdonosi háttér (multinacionális cég vagy magyar tulajdonú vállalat), az iparág, melyben dolgozik az adott cég, de még az is meghatározó e tekintetben, hogy állami vagy magánszférából származik-e a szóban forgó vállalat. Sokkal egyszerűbb egy másik tétel költségeit számszerűsíteni: a zsarolóvírus váltságdíja akár 2-3 millió forint is lehet, ennél magasabbra nem nagyon szoktak menni a kiberbűnözők. A szakemberek azonban azt javasolják, hogy ne fizessünk, hanem próbáljuk meg más forrásokból visszaállítani az adatokat. Az elmaradt, meghiúsult szerződések miatti kiesést, ahogy a reputációs veszteség miatt költségeket is csak egyedi esetekre lehetne forintosítani.