Image Image Image Image Image Image Image Image Image Image
Ma kedd van, 2019. július 23. Az év 204. napja, az időszámításunk kezdete óta eltelt 737660. nap.
Lapozzon a lap tetejére

Lap tetejére

Tetemes károkat okoz az adatszivárgás hazánkban

Tetemes károkat okoz az adatszivárgás hazánkban
Infovilág

Az adatszivárgás elleni védelem témában eddig csak külföldi adatokon alapuló kutatások álltak rendelkezésre, amelyek nem ültethetőek át teljes egészében a hazai környezetre. A mostani nem reprezentatív felmérés célja, hogy a magyarországi körülményekről kapjunk objektív képet, amelynek segítségével feltérképezhető az IT-biztonsági piac állapota, azok a gyenge pontok, ahol a biztonság megerősítésére lehet szükség a vállalatok adatkezelési szabályrendszerében.

A legfőbb megállapítások:

  • A válaszolók legnagyobb része, bár ismeri az adatvédelmi technológiákat, a gyakorlatban csak kis mértékben alkalmazzák őket, csupán minden ötödik-tizedik cég használ merevlemez-, email-titkosítást, portvédelmet, adatszivárgást megelőző szoftvert, harmaduk semmilyen védelemmel nem rendelkezik.
  • A bizalmas adatok felmérése, osztályozása a vállalatok felénél történik meg, de többnyire ott sem kellőképpen ellenőrzött/ellenőrizhető módon.
  • Minden második cégnél használnak a dolgozók személyes tulajdonú eszközt a munkavégzéshez, amelyek védelme esetleges.
  • Az adatszivárgási esetekről a cégek kétharmada nem értesül, a bekövetkezett károk nagyságát négyötödük felbecsülni sem képes.
  • Az adatvédelmi törvényben megfogalmazott követelményeket a cégek felénél ismerik, megfelelő szervezeti és szabályozási környezet azonban még ennél is kevesebb esetben létezik.

 

A Compliance Data Systems Kft. felmérésében részt vevők többsége a kkv-szektorból érkezett, bár a nagyvállalatok is szép számmal képviseltették magukat. Az online felmérésben több mint százan vettek részt, így az eredmények jól tükrözik a mai magyar állapotot.

A válaszadók számos területen tevékenykednek, a kutatás idején több mint 30 szektor képviselőitől érkeztek visszajelzések. A legnagyobb válaszadói csoport a pénzügyi szektorból érkezett, amelyet az IT- és a szolgáltatási területek követnek, valamint a kérdőív kitöltésében részt vettek a távközlésben, biztosításban, államigazgatásban, oktatásban, logisztikában tevékenykedő vállalatok képviselői, de számos más területről is érkeztek válaszok.

Bíztató adat, hogy a felmérésben részt vevők 70%-a már hallott valamilyen adatszivárgás elleni védelemről, ugyanakkor a válaszadók közel harmadánál nem használnak semmiféle adatvédelmi megoldást. A válaszadók cégeinél használt adatvédelmi megoldások közül a merevlemez titkosítás a legelterjedtebb (20%), amelyet a portvédelmi megoldás követ (17%), DLP szoftvert csak mintegy 14% használ.

A vállalatok több mint felénél osztályozva vannak az adatok, de jórészben a dolgozók saját maguk osztályozzák a cég adatait, ami biztonsági szempontból aggályos. Mintegy 15%-nál semmiféle osztályozás sincs, azaz a dolgozók és a vezetők nem mindig tudják megállapítani, hogy melyik adat a bizalmas és melyik nem. Az adatok használatának szabályozása, illetve az ezekhez kapcsolódó oktatás csak a cégek felénél jellemző, 23%-nál csak szabályozás van, oktatás nincs, a válaszadók ötödénél pedig se szabályozás, se oktatás nincs.

A vállalatok 45 százalékánál használnak dolgozói tulajdonú hordozható, vagy asztali számítógépet, amelyeknek csupán 30 százalékán van ugyanolyan szintű védelem, mint a vállalatnál, és a gépek 15%-án semmiféle védelmi megoldás nincs. A manapság kulcsfontosságú téma, a mobileszközök védelmével kapcsolatban a tapasztalt, hogy a vállalatok felénél használnak okostelefont és táblagépet és ezek negyede a munkavállalók tulajdonában van. A dolgozók tulajdonában lévő okostelefonok aránya nagyobb, de a magántulajdonú táblagépek is kezdenek elterjedni vállalati környezetben, ami kritikus tényező lehet az adatszivárgás elleni védelemben.

Az azonosítással kapcsolatos kérdések értékelésekor kiderült, hogy a vállalatok több mint felénél nincs kétfaktoros azonosítás, ahol van, ott a fizikai tokenes azonosítás a legelterjedtebb megoldás, amelyet a szoftveres azonosítás követ.

Az adatszivárgási esetekről szóló kérdésekre adott válaszokból kiderül, hogy a vállalatok dolgozói közel 65 százalékának nincs tudomása adatszivárgási incidensekről, ami természetesen nem azt jelenti, hogy ezek az esetek nem léteznek, inkább arról van szó, hogy a legtöbb esetben a vállalat maga sem észleli ezeket, illetve a legtöbb felfedezett incidenst a vezetőség igyekszik titokban tartani. Ezt tükrözi az is, hogy a válaszadók 81 százaléka megbecsülni sem tudja, hogy mekkora kár érhette a cégét egy adatszivárgási esemény kapcsán. A CDSYS felmérésére adott válaszokból kitűnik, hogy százezres nagyságú kár a leggyakoribb, ugyan akkor a tízmillió forint feletti veszteség gyakoribb, mint a milliós kár.

 

A leggyakoribb adatszivárgási esetekben a munkavállaló küldött ki bizalmas adatokat e-mailben, vagy más módon hálózaton keresztül, de ugyanilyen gyakoriságú az elveszett laptopok okozta adatvesztés is. Ugyancsak gyakori az elveszett céges hordozható eszközök által bekövetkezett adatszivárgás, illetve a saját használatra, a dolgozó által hordozható eszközre kimásolt anyagok aránya.

A felmérés alapján kijelenthető, hogy a vállalatoknál nincs egységes koncepció az előforduló adatszivárgási esetek kezelésére. Egyharmaduk csak az incidens után hoz szabályokat, 30% utólagosan oktatja a munkavállalókat, 12% fegyelmi eljárásokat indít, és alig egytizedük tesz jogi lépéseket. Aggasztó, hogy csupán a válaszadók alig több mint felének van tudomása arról, hogy az új adatvédelmi törvény kapcsán milyen védelmi kötelezettségeknek kell eleget tenniük és milyen szankciókkal jár ezek elmulasztása. IT biztonsági vezető a cégek 12%-nál van, informatikai vezető a 35%-nál van alkalmazásban, és a vállalatok 40%-nál van mindkettő, illetve 13 százaléknál egyik sincs.

Összegzésként elmondható, hogy a vállalatok nagy része már hallott valamilyen adatszivárgás elleni megoldásról, de 30%-a a cégeknek semmiféle adatvédelmi megoldást nem használ. Az adatok megfelelő osztályzása is problémás, mivel hiába használ a többség valamilyen adatosztályozást, az adatok bizalmas jellegének megállapítását zömében maguk a munkavállalók végzik, ami nem minden esetben jelent hatékony megoldást, ráadásul a bekövetkezett adatszivárgási incidensek nagy része továbbra is belső eredetű. Sajnos az adatvédelmi szabályozás kialakítása és a megfelelő oktatás is csak a cégek felénél jellemző, illetve aggodalomra adhat okot a mobileszközök, ezen belül a dolgozói tulajdonú készülékek elterjedése a vállalati környezetben. Ahogy a CDSYS felméréséből kiderül a vállalatok munkatársai nincsenek tisztában az adatszivárgás okozta károk mértékével, és az ismert többmilliós nagyságrendű károkat okozó adatszivárgások mértéke arra enged következtetni, hogy a nem ismert adatszivárgási esetek összege jóval nagyobb lehet. A vállalatoknak tehát érdemes lehet elgondolkozni a megfelelő IT biztonsági szabályzatok bevezetésén és betartatásán, az alkalmazottak folyamatos biztonsági képzésén, illetve egy hatékony adatszivárgás elleni megoldás bevezetésén. 

Címkék