Az informatikai biztonság a dolgozók közös felelőssége!

[HWSW] Érdekes eredményre jutott az a kutatás, amelyet a Symantec készített az európai és a hazai kis- és középvállalatok biztonságáról és fenyegetettségeiről. A magyarországi válaszadók 51 százaléka szerint az IT-biztonság nem az ügyvezető vagy az informatikai vezető, hanem a dolgozók kollektív felelőssége. Ez jelentősen eltér az európai átlagtól, ahol a válaszadóknak csak 28 százaléka vélte úgy, hogy az IT-biztonság egyformán mindenki felelőssége.

Magabiztosak a magyarok, ha IT-biztonságról van szó

A Symantec júniusban több mint 800 európai kisvállalatot kérdezett meg összesen 9 országban, köztük Magyarországon, az eredményeket egy mais sajtótájékoztatón ismertették a vállalati hazai képviseletének munkatársai. A hazai adatok sokszor élesen eltérnek az európai átlagtól, ezért mindenképp megéri foglalkozni velük. A hazai kisvállalatok informatikai helyzetét jól mutatja, hogy mindössze 11 százalékuk rendelkezik dedikált informatikai vezetővel, szemben az európai átlaggal, ami 33 százalék.

A megkérdezett hazai kisvállalatok közel fele (47%) szerint a hálózatuk elég biztonságos. A cégek 33 százalékát -- saját bevallása szerint-- még sosem érte rendszerösszeomlással vagy adatvesztéssel járó támadás, ezért feleslegesnek érzik többet foglalkozni az IT-biztonság kérdésével. A többiek érzik hogy kellene, de a legtöbbször vagy nem rendelkeznek megfelelő büdzsével (33%), vagy idővel (27%), illetve sokszor a szervezet számára nem prioritás (13%) az informatikai biztonság.

Pharming, whaling, minnowing?

A pharming egy weboldal forgalmának átirányítása (pl. a DNS módosításával) egy másik, ártó szándékú oldalra. A whaling és minnowing olyan célzott támadást takar, amelyet kifejezetten cégvezetők (nagy halak), vagy a cégeknél dolgozó, alacsonyabb beosztásban levő, de bizalmas információk birtokában levő alkalmazottak (kis halak) ellen indítanak.

A veszélyekkel szerencsére már tisztában vannak a magyar cégek is, a vírusokról, spamekről, kémprogramokról, trójaiakról és férgekről szinte már mindenki hallott, de a phishing jelenséget is a megkérdezettek 58 százaléka ismerte. A botnetekről és rootkitekről már csak kevesebben állították magabiztosan, hogy ismerik, az olyan fogalmak mint a pharming, whaling, minnowing pedig a legtöbb válaszadó számára teljesen ismeretlennek bizonyultak.

A legtöbb cégnél nincs átfogó informatikai házirend

A biztonsági megoldások elterjedtsége Magyarországon közelít az európai átlaghoz, a cégek legtöbbje már rendelkezik vírusölővel és tűzfallal, de spamszűrőt csak a válaszadók 78 százaléka használ, rendszeres biztonsági mentést már csak 60 százalék készít, behatolásvédelmi eszközt pedig a cégek kevesebb mint harmada vezetett be. Adatait csak a megkérdezettek 24 százaléka titkosítja, sérülékenység-kezelő eszközt pedig csupán 7 százalék használ, szemben az európai átlaggal, ami 28 százalék.

Az európai kisvállalatoknak már 38 százaléka fordul outsourcing-szolgáltatóhoz, ha információvédelemről van szó, Magyarországon azonban ezek aránya csak 24 százalék. A hazai cégek 53 százaléka a kiskereskedelemben beszerzett --általában otthoni használatra szánt -- megoldást használ az információk védelmére, 10 százalék pedig újságmellékletből vagy más forrásból származó ingyenes megoldást alkalmaz -- ezek általában csak otthoni használatra ingyenesek.

Elgondolkodtató, hogy a magyar kisvállalatok 58 százaléka semmiféle informatikai házirenddel (policy) nem rendelkezik, míg az európai cégeknek csupán negyede ilyen. A megkérdezett hazai cégeknek csak 16 százaléka vallotta, hogy létezik nála egy átfogó szabályozás az IT használatára vonatkozóan, amelyet a dolgozók be is tartanak (európai átlag 29%). Mégis, a megkérdezettek 62 százaléka szerint az újonnen érkező dolgozókat oktatják az IT használatára, bár a legtöbb helyen ez valószínűleg csupán olyan szabályok elmondását jelenti, hogy nem használhatják a hálózatot és a gépeket saját célra.

Letagadják a támadásokat?

Magyarországon a kisvállalatok 16 százaléka vallotta be, hogy érte már rendszerösszeomlással vagy adatveszéssel járó támadás, míg az európai cégek átlaga 22 százalék -- önámítás lenne azt hinni, hogy a magyar cégeket nem támadják, a látványos különbség valószínűleg abból adódik, hogy itthon semmi és senki nem kötelezi a cégeket arra, hogy nyilvánosságra hozzák az adatvesztéssel járó incidenseket, így aztán a legtöbben igyekeznek eltitkolni őket.

A magyar cégek saját bevallása szerint a sikeres támadások jórészt csak rendszerleállást és/vagy adatvesztést okoztak, de 17 százalék esetében konkrét bevételkiesés, 8 százaléknál pedig pénzügyi veszteség volt az eredmény, 7 százalék esetében pedig mérhető volt a bizalomvesztés az ügyfelek részéről. Érdekes, hogy a rendszerösszeomlással vagy adatvesztéssel járó támadásokért Magyarországon 86 százalékban a dolgozókat teszik felelőssé a cégek, míg Európában az ilyen esetek aránya csupán 34 százalék.