Vállalati biztonság: a büdzsék változatlanok, a fenyegetések sokasodnak

[TechWeb] Az informatikai biztonságra költött dollármilliárdok, az operációs rendszerekhez és alkalmazásokhoz kiadott javítások, valamint a felhasználók fokozottabb óvatossága ellenére a vállalatok és szervezetek továbbra sem érzik magukat nagyobb biztonságban.

A legnagyobb fenyegetések

Az InformationWeek és az Accenture által közösen elvégzett felmérés szerint az amerikai vállalatok és szervezetek kétharmada ugyanakkora veszélyben érzi magát mint egy évvel korábban, miközben Kínában ez az arány 89 százalék. Az amerikai válaszadók körében általános vélekedés, hogy a legnagyobb biztonsági kihívást maguknak a biztonsági rendszereknek az üzemeltetése okozza, amelyek az utóbbi időben egyre bonyolultabbak. "A mélységi védelem egy másfajta kifejezés arra, amikor több, egymást fedő technológia sem képes a biztonság kérdését egyszerűen kezelni" -- mondta Alastair MacWillson, az Accenture biztonsági tevékenységért felelős globális vezetője. "Ez olyan, mintha valaki 20 lakatot tenne az ajtajára csak azért, mert egyiknek a használatát sem ismeri igazán.

A megkérdezettek szerint a legnagyobb fenyegetést továbbra is a vírusok és férgek jelentik (65%), majd a kémprogramok (56%), illetve a kéretlen levelek (40%). Meglepően kevesen sorolták a legfontosabb fenyegetések közé az adatlopást vagy adatszivárgást. Az amerikai vállalatoknak és szervezeteknek csak a negyede vélte úgy, hogy a legnagyobb biztonsági kockázatot a vállalati vagy személyes adatok illetéktelen kezekbe kerülése jelenti, noha az utóbbi időben számos ilyen esemény kapott nyilvánosságot. Ugyanakkor az adatok mélyebb elemzéséből kiviláglik, hogy a vállalatok egyre inkább ráeszmélnek arra, milyen károkat okozhat számukra, ha az általuk tárolt adatokhoz jogosulatlanok is hozzáférnek. A cégek ma már nem attól tartanak, hogy a támadások miatt a hálózatuk megbénul, hanem hogy az adatokat eltulajdonítják, törlik vagy módosítják.

Az Egyesült Államokban és Kínában is az operációs rendszerek ismert sebezhetőségeit kihasználva hajták végre a legtöbb támadást, azonban míg az USA-ban ezek aránya 43 százalék, addig kínában megközelíti a 66 százalékot. Ennek oka valószínűleg abban keresendő, hogy Kínában a vállalati szférában is elterjedt a kalózszoftverek használata, amelyekhez nem járnak patchek, frissítések. Ugyanez igaz az alkalmazások sebezhetőségeire is, az ilyen támadások az Egyesült Államokban a válaszadók 25 százalékánál dolgoztak ilyen módszerrel a crackerek, míg Kínában a válaszadók 41 százaléka számolt be ilyen támadásról. További népszerű módszerek az e-mailek csatolt állományaként bejuttatott kártevők, illetve az ismeretlen sebezhetőségek kihasználása.

A felhasználó a gyenge láncszem

Az adatok alátámasztják azt a vélekedést, amely szerint a felhasználók a biztonság gyenge láncszemei. A DuPont vegyipari vállalat egyik korábbi dolgozója például 400 millió dollár értékű információt tulajdonított el volt munkaadójától és próbált meg értékesíteni a DuPont egyik versenytársának, mielőtt a cég értesítette az FBI-t. Az adattolvaj több mint 16 ezer bizalmas dokumentumot töltött le a vállalat szervereiről mielőtt fülön csípték -- tettének következménye akár 10 év börtön is lehet. A nyilvánvaló visszaélések mellett a dolgozók azonban a saját maguk által létrehozott és tárolt adatokat sem tudják megfelelően védeni -- erre bizonyíték az a számtalan eset, amikor bizalmas információkat tartalmazó noteszgépek kerülnek illetéktelen kezekbe például lopás vagy rablás útján.

A szakértők szerint legtöbb ilyen eset emberi hibára vagy nem megfelelő folyamatokra vezethető vissza, éppen ezért meglepő, hogy a megkérdezett vállalatoknak és szervezeteknek csak a 37 százaléka számára kiemelt fontosságú a megfelelő információbiztosági szabályzat elkészítése, illetve az alkalmazottak képzése. A válaszadóknak csak 19 százaléka szerint érhető el látványos eredmény a dolgozók továbbképése segítségével, a legtöbben inkább magukra öltik a Nagy Testvér szerepét és az alkalmazottak minden lépését megpróbálják megfigyelni. Az amerikai cégek 51 százaléka monitorozza a dolgozók levelezését, 40 százalék a webforgalmat, 35 százalék pedig a telefonhívásokat is rögzíti. Ugyanakkor az azonnali üzenetküldőket csak 29 százalék figyeli, a kimenő levelek tartalmát pedig csak 20 százalék naplózza, a hordozható adattárolók használatára vonatkozó szabályokat pedig még ennél is kevesebben alkalmaznak.

Ugyanakkor a cégek 42 százaléka véli úgy, hogy a dolgozókat is felelősségre kell vonnia akkor, ha a biztonsági eseményben szerepet játszott a figyelmetlenségük, illetve ha nem követték a szabályokat. Nem ritka az a vélemény, amely szerint az elbocsátás mellett a polgári vagy akár büntetőjogi per is alkalmazható lenne ilyen esetben. A megkérdezett cégek a biztosági megoldásokat fejlesztő vállalatokat is felelőssé tenné, a vállalatok 45 százaléka szerint a megoldásszállítókat anyagi és jogi felelősség is terheli.

Ugyanannyit költenek

Bár az utóbbi időben egyre több helyen ismerik fel az információbiztonság stratégiai jelentőségét és neveznek ki felelős vezetőt (Chief Information Security Officer, CISO), ezek inkább látszatintézkedésnek tűnnek annak fényében, hogy a megkérdezett cégek felénél a vezérigazgató egyedül dönt a biztonsági büdzséről és gyakran a fenyegetések és kockázatok elemzésekor sem kérik ki a CISO véleményét. A válaszadók 22 százalékánál egyáltalán nem rendszeresek a kockázatelemzések. Az amerikai cégek egyébként az IT-költségkeretüknek átlagosan 12 százalékát fordítják biztonságra, míg Kínában ez az arány 19 százalék. Ugyanakkor inkább Kínában vélik úgy, hogy az idén többet költenek IT-biztonságra mint tavaly, az Egyesült Államokban csak a vállalatok 39 százaléka vár ilyen trendet.