Közeleg a kiberbiztonsági audit határideje - a sikeres online támadások továbbra is a munkatársak megtévesztésére épülnek
Az előírások azokra a jellemzően közép- és nagyvállalatokra vonatkoznak, amelyek kritikus vagy kiemelt jelentőségű ágazatokban működnek. Ide tartoznak többek között az energetikai, közlekedési és egészségügyi szereplők, a gyártás területén tevékenykedő vagy digitális infrastruktúrát működtető vállalatok, valamint számos élelmiszeripari és informatikai szolgáltató cég is.
„Az informatikai biztonság kérdése ma már messze túlmutat az előírásoknak való megfelelésen. A globális kockázati rangsorok szerint a kiberincidensek 2026-ra a legjelentősebb üzleti fenyegetések közé emelkedtek, miközben a kiberbűnözés becsült éves költsége idén világszinten elérheti a 10,29 milliárd amerikai dollárt. Kiemelt jelentősége van tehát annak, hogy minden érintett cég komolyan vegye a kötelezettségeket” – hangsúlyozta Zala Mihály, az EY partnere.
A felkészülés első lépése a szervezet teljes digitális ökoszisztémájának átfogó feltérképezése. A kockázatok azonosítása során gyakran évek óta nem frissített szerverek vagy régen elfeledett eszközök bizonyulnak veszélyforrásnak. Az ilyen „vakfoltok” felszámolása nélkül nem építhető stabil védelem, ezért szükséges a vizsgálat szakszerű és alapos elvégzése. A következő szakaszban olyan testre szabott, a szervezet működéséhez illeszkedő IT-biztonsági keretrendszert kell kialakítani, amely nemcsak elméletben, hanem a mindennapi gyakorlatban is alkalmazható.
„A sikeres támadások 85 százaléka továbbra is a munkatársak megtévesztésére épül, ezek ellen pedig a legfejlettebb technológiai megoldások sem nyújtanak önmagukban védelmet. Az EY tapasztalatai szerint az adathalász támadást szimuláló tesztek során a munkatársak 40 százaléka kattint a megtévesztő levélre a képzések előtt, míg a tudatosságnövelő programokat követően ez az arány 8 százalékra csökken” – hangsúlyozta az EY partnere.
A problémák észleléséhez szükséges képességek fejlesztése szintén kulcsfontosságú. A sérülékenységvizsgálatok, valamint a támadói módszereket modellező technikai auditok feltárják azokat a gyenge pontokat, amelyek egy esetleges behatolás kiindulópontjai lehetnek. Ezt követi a megfelelő válaszlépések és helyreállítási eljárások kialakítása. Gyakori, hogy egy szervezet rendelkezik katasztrófakezelési tervvel, ám azt soha nem tesztelte, ami hamis biztonságérzetet kelthet. Egy tényleges támadást követő leállás miatt akár többnapos kiesés is előfordulhat, ami súlyos üzleti veszteséggel jár. A rendszeres, független szakértők által végzett ellenőrzések ezért létfontosságúak a valódi felkészültség biztosításához, amelynek a vészhelyzeti szerepkörök meghatározása is alapvető része.
„A kiberbiztonságra szánt ráfordítás ma már nem luxus, hanem üzleti kényszer a cégek számára. Az egyszeri megfelelés kevés, hiszen működőképes, tesztelt és folyamatosan fejlesztett védelmi rendszert kell kialakítanunk. A megelőzött leállások, az elkerült adatvesztések és a minimálisra csökkentett reputációs kockázatok értéke messze meghaladhatja a felkészülés költségeit. A kiberreziliencia kiépítése tehát nemcsak jogszabályi kötelezettség, hanem stratégiai lehetőség, gyorsan megtérülő befektetés is az érintett szervezetek számára” – hangsúlyozta Zala Mihály.
