Milliós adatszivárgási károk Magyarországon
2012. december 9.
Lezárult a Compliance Data Systems Kft., az ITBN 2012 konferencián bejelentett online felmérése a hazai adatszivárgás elleni védelem magyarországi helyzetéről. A több szektorból érkező válaszok objektív képet adnak a hazai IT biztonsági állapotról, amelynek elemzésekor látható, hogy a hazai vállalatok informatikai biztonsága egyelőre nem tud megfelelő választ adni a felmerülő biztonsági kihívásokra, illetve a cégek döntő többsége még felbecsülni sem tudja, hogy mekkora kár éri a vállalatot egy adatszivárgási incidens alkalmával.
Az adatszivárgás elleni védelem témában eddig csak külföldi adatokon alapuló kutatások álltak rendelkezésre, amelyek nem ültethetőek át teljes egészében a hazai környezetre. A mostani nem reprezentatív felmérés célja, hogy a magyarországi viszonyokról kapjunk egy objektív képet, amelynek segítségével feltérképezhetjük az IT biztonsági piac jelenlegi állapotát, az uralkodó trendeket, illetve megtaláljuk azokat a gyenge pontokat, ahol a biztonság megerősítésére lehet szükség a vállalatok adatkezelési szabályrendszerében.
A kutatás kulcsmegállapításai
A válaszolók legnagyobb része bár ismeri az adatvédelmi technológiákat, azokat a gyakorlatban csak kis mértékben alkalmazzák, csak minden ötödik-tizedik cég használ merevlemez titkosítást, email titkosítást, portvédelmet vagy adatszivárgást megelőző szoftvert, harmaduk semmilyen védelemmel nem rendelkezik.
A bizalmas adatok felmérése, osztályozása a vállalatok felénél történik meg, de többnyire ott sem megfelelően kontrollált módon.
Minden második cégnél használnak a dolgozók személyes tulajdonú eszközt a munkavégzéshez, amelyek védelme esetleges.
Az adatszivárgási esetekről a cégek kétharmada nem értesül, a bekövetkezett károk nagyságát 80%-uk felbecsülni sem tudja.
Az adatvédelmi törvényben megfogalmazott követelményeket a cégek felénél ismerik, megfelelő szervezeti és szabályozási környezet azonban még ennél is kevesebb esetben létezik.
Részletes eredmények
A Compliance Data Systems Kft. felmérése résztvevőinek többsége a kkv szektorból érkezett, de a nagyvállalatok képviselői is jelentős arányban képviseltették magukat. Az online felmérésben több mint százan vettek részt, így az eredmények jól tükrözik a mai magyar helyzetet.
A válaszadók számos területen tevékenykednek, a kutatás során több mint 30 szektor képviselőitől érkeztek visszajelzések. A legnagyobb válaszadói csoport a pénzügyi szektorból érkezett, amelyet az IT és a szolgáltatási területek követnek, valamint a kérdőív kitöltésében részt vettek a telekommunikációban, biztosításban, államigazgatásban, oktatásban, logisztikában tevékenykedő vállalatok képviselői, de számos más területről is érkeztek válaszok.
Bíztató adat, hogy a felmérésben résztvevők 70%-a már hallott valamilyen adatszivárgás elleni védelemről, ugyanakkor a válaszadók közel harmadánál nem használnak semmiféle adatvédelmi megoldást. A válaszadók cégeinél használt adatvédelmi megoldások közül a merevlemez titkosítás a legelterjedtebb (20%), amelyet a portvédelmi megoldás követ (17%), DLP szoftvert csak mintegy 14% használ.
A vállalatok több mint felénél osztályozva vannak az adatok, de jelentős részben a dolgozók saját maguk osztályozzák a cég adatait, ami biztonsági szempontból aggályos. Közel 15%-nál semmiféle osztályozás nincs, azaz a dolgozók és a vezetők nem mindig tudják megállapítani, hogy melyik adat a bizalmas és melyik nem. Az adatok használatának szabályozása, illetve az ezekhez kapcsolódó oktatás csak a cégek felénél jellemző, 23%-nál csak szabályozás van, oktatás nincs, a válaszadók ötödénél pedig se szabályozás, se oktatás nincs.
A vállalatok 45 százalékánál használnak dolgozói tulajdonú hordozható, vagy asztali számítógépet, amelyeknek csupán 30 százalékán van ugyanolyan szintű védelem, mint a vállalatnál, és a gépek 15%-án semmiféle védelmi megoldás nincs. A manapság kulcsfontosságú téma, a mobileszközök védelmével kapcsolatban a tapasztalt, hogy a vállalatok felénél használnak okostelefont és táblagépet és ezek negyede a munkavállalók tulajdonában van. A dolgozók tulajdonában lévő okostelefonok aránya nagyobb, de a magántulajdonú táblagépek is kezdenek elterjedni vállalati környezetben, ami kritikus tényező lehet az adatszivárgás elleni védelemben.
Az azonosítással kapcsolatos kérdések értékelésekor kiderült, hogy a vállalatok több mint felénél nincs kétfaktoros azonosítás, ahol van, ott a fizikai tokenes azonosítás a legelterjedtebb megoldás, amelyet a szoftveres azonosítás követ.
Az adatszivárgási esetekről szóló kérdésekre adott válaszokból kiderül, hogy a vállalatok dolgozói közel 65 százalékának nincs tudomása adatszivárgási incidensekről, ami természetesen nem azt jelenti, hogy ezek az esetek nem léteznek, inkább arról van szó, hogy a legtöbb esetben a vállalat maga sem észleli ezeket, illetve a legtöbb felfedezett incidenst a vezetőség igyekszik titokban tartani. Ezt tükrözi az is, hogy a válaszadók 81 százaléka megbecsülni sem tudja, hogy mekkora kár érhette a cégét egy adatszivárgási esemény kapcsán. A CDSYS felmérésére adott válaszokból kitűnik, hogy százezres nagyságú kár a leggyakoribb, ugyan akkor a tízmillió forint feletti veszteség gyakoribb, mint a milliós kár.
A leggyakoribb adatszivárgási esetekben a munkavállaló küldött ki bizalmas adatokat e-mailben, vagy más módon hálózaton keresztül, de ugyanilyen gyakoriságú az elveszett laptopok okozta adatvesztés is. Ugyancsak gyakori az elveszett céges hordozható eszközök által bekövetkezett adatszivárgás, illetve a saját használatra, a dolgozó által hordozható eszközre kimásolt anyagok aránya.
A felmérés alapján kijelenthető, hogy a vállalatoknál nincs egységes koncepció az előforduló adatszivárgási esetek kezelésére. Egyharmaduk csak az incidens után hoz szabályokat, 30% utólagosan oktatja a munkavállalókat, 12% fegyelmi eljárásokat indít, és alig egytizedük tesz jogi lépéseket. Aggasztó, hogy csupán a válaszadók alig több mint felének van tudomása arról, hogy az új adatvédelmi törvény kapcsán milyen védelmi kötelezettségeknek kell eleget tenniük és milyen szankciókkal jár ezek elmulasztása. IT biztonsági vezető a cégek 12%-nál van, informatikai vezető a 35%-nál van alkalmazásban, és a vállalatok 40%-nál van mindkettő, illetve 13 százaléknál egyik sincs.
Összegzésként elmondható, hogy a vállalatok nagy része már hallott valamilyen adatszivárgás elleni megoldásról, de 30%-a a cégeknek semmiféle adatvédelmi megoldást nem használ. Az adatok megfelelő osztályzása is problémás, mivel hiába használ a többség valamilyen adatosztályozást, az adatok bizalmas jellegének megállapítását zömében maguk a munkavállalók végzik, ami nem minden esetben jelent hatékony megoldást, ráadásul a bekövetkezett adatszivárgási incidensek nagy része továbbra is belső eredetű. Sajnos az adatvédelmi szabályozás kialakítása és a megfelelő oktatás is csak a cégek felénél jellemző, illetve aggodalomra adhat okot a mobileszközök, ezen belül a dolgozói tulajdonú készülékek elterjedése a vállalati környezetben. Ahogy a CDSYS felméréséből kiderül a vállalatok munkatársai nincsenek tisztában az adatszivárgás okozta károk mértékével, és az ismert többmilliós nagyságrendű károkat okozó adatszivárgások mértéke arra enged következtetni, hogy a nem ismert adatszivárgási esetek összege jóval nagyobb lehet. A vállalatoknak tehát érdemes lehet elgondolkozni a megfelelő IT biztonsági szabályzatok bevezetésén és betartatásán, az alkalmazottak folyamatos biztonsági képzésén, illetve egy hatékony adatszivárgás elleni megoldás bevezetésén.
Kapcsolódó cikkek
- Majd' minden negyedik ember választja inkább a mobilját, mint a szexet
- Majd minden negyedik ember választja inkább a mobilját, mint a szexet
- A neten tájékozódnak a nők randi előtt
- Tehetséggondozást is várnak a cégek a HRM szoftverektől
- My Xperia – Biztonsági szolgáltatáscsomag Sony mobilokhoz
- 1,2 millió hazai munkavállaló a munka mellett az adatokat is hazaviszi
- Mi kerül a magyar vásárló virtuális kosarába?
- Felhőszolgáltatások a KKV szektorban
- UNIT4 felmérés a munkavállalói szabadság felhasználásáról
- Ellepték a világhálót a „social butterfly”-ok