Az új kihívás: digitális sérülékenység
Pénzügy
A COVID-járvány alatt tömegével jelentek meg új felhasználók a kibertérben. A „Homo Digitalis” készségszinten használja a digitális megoldásokat a mindennapjaikban, de nincs eléggé felkészülve a kibertérben rájuk leselkedő veszélyekre.
A kiberbűnözők terített asztalként tekintenek az óvatlan felhasználókkal teli, új digitális világra, de nemcsak a potenciális áldozatok száma nőtt meg, de a mesterséges intelligencia a kiberbűnözés “belépési költségeit” is alaposan leszorította.
Ma szinte bárkiből lehet kiberbűnöző. A kibertámadások korának sérülékenységét magyar adatokkal illusztrálva elemzik a Mastercard szakértői Kibertámadások Kora című tanulmányában.
Egyre többen válnak célponttá
A társadalmaink jóléte szempontjából létfontosságú funkciók függenek ma már az internettől: pénzintézetek és kórházak, közigazgatási, közegészségügyi, mentő- és nemzetbiztonsági szolgálatok, az emberek közötti kommunikáció, sok-sok munkahely vált digitálissá és költözött a felhőbe az elmúlt években.
Nem szükséges felsorolni, milyen előnyökkel jár a digitalizáció az életminőség, a fenntarthatóság, a jólét és versenyképesség szempontjából, arra azonban fel kell hívnunk a figyelmet a napvilágra került adatok fényében, hogy egyre több szervezet és magánszemély válik a kiberbűnözés célpontjává, a bűnözők által okozott kár pedig egyre nagyobb.
A világjárvány alatt – amikor csaknem 1,1 milliárd új felhasználó jelent meg a neten az ENSZ telekommunikációs szervezete, az ITU adatai szerint – világszerte a szervezetek 81%-a tapasztalt megnövekedett kiberfenyegetést. 2020-ban a biztonsági incidensek száma nagyobb volt, mint az azt megelőző 15 évben összesen.
A gyors növekedés trendje 2021-ben sem tört meg, az éves növekedés 17 százalék volt. A következmények is súlyosbodtak: az egy-egy adatbiztonsági incidens által okozott átlagos veszteség ma 4,35 millió dollár – 12%-kal több, mint 2020-ban.
A fizetési csalások miatti éves globális veszteség 2020-ban meghaladta a 32 milliárd dollárt, ami több mint tízszerese a korábbi évtizedben tapasztaltnak és megfeleltethető az éves magyar GDP egy ötödének.
Becslések szerint 2027-re a fizetési csalások által okozott veszteség elérheti az évi 40 milliárd dollárt, ami 25 százalékos növekedést jelent a jelenlegi károkhoz képest.
Az adatvédelmi incidensek globális költsége – az okozott kár és a védekezési ráfordítása együttesen – 2024-re várhatóan meghaladja majd az 5 billió dollárt, 2025-re pedig ez az érték akár meg is duplázódhat.
Közép- és Kelet-Európában Magyarországon nő a negyedik legintenzívebben a visszaélések száma, és hazánk rendelkezik a negyedik legmagasabb kitettségi rátával is a régiónkban.
A fenti adatok arra világítanak rá, hogy az elkövetkező évek egyik legnagyobb kihívása a digitális gazdaságban kétségtelenül a digitális sérülékenység lesz.
A vírusok és adathalász támadások a pandémia és a mesterséges intelligenciára épülő technológiák megjelenése óta – mértéke és kifinomultsága is nőtt – írja LinkedInen publikált cikkében Nemes Máté a Mastercard kibertámadásokat követő szakértője.
Nemcsak személyek, hanem nagy szervezetek, sőt egész iparágak is gyarapítják a célpontok számát. A kormányzati szervek és a pénzintézetek működési területükből fakadóan széles körű tapasztalatokkal rendelkeznek a kiberbűnözésről, ezért erős védelemmel is bírnak – bár ők is tisztában vannak vele, hogy abszolút biztonság nem létezik.
Ám az egészségügyben, a mezőgazdaságban, a szórakoztatóiparban vagy épp a KKV-szektorban azonban sok az olyan szereplő, akik még nem ismerték fel a fenyegetés súlyosságát, és gyakran téves elképzeléseik vannak a kiberbűnözés mibenlétéről, a védekezéshez szükséges szakértelem mélységéről, a szükséges ráfordítás mértékéről.
Pedig az anyagiakban és a reputációban elszenvedett kár mindig sokkal nagyobb, mint az a költség, amivel a kártételeket el lehet kerülni.
Korunk csalói előszeretettel használják a mesterséges intelligenciát a támadásokhoz és az elrejtőzéshez is. A fejlett technológia olcsóbbá és egyszerűbbé teszi számukra a támadások végrehajtását. Vonzó és egyszerű lett kiberbűnözőnek lenni.
Legyen azonban bármilyen komplex egy rosszindulatú szoftver, az adatbiztonsági incidensek 95 százalékának hátterében még mindig emberi hiba vagy mulasztás áll.
Ezért van óriási jelentősége a felvilágosításnak és képzésnek, illetve annak, hogy a szervezetek áldozzanak több figyelmet és erőforrást a kibervédelemre.
A cégek 88%-a – tízből majdnem kilenc cég – szembesült az elmúlt időszakban olyan incidenssel, amit az otthonról dolgozó alkalmazottak hibája idézett elő. A magyarok több mint fele nem rendelkezik elegendő információval a kiberbűnözés kockázatairól, ami az uniós átlagot jóval meghaladó arány.
A magyar lakosság mindössze 5 százalék tartja magát jól informáltnak ebben a témában.
A kiberbiztonsággal kapcsolatos információk hiánya nem az egyetlen aggasztó jelenség Magyarországon. A magyar állampolgárok többsége nem jelentené a kiberbűnözők tevékenységét: csupán minden harmadik ember (33%) tenné meg a szükséges lépéseket, ha ellopják személyes adatait vagy online banki csalás áldozatává válna (34%).
Az ilyen típusú bűncselekményekkel kapcsolatos ismeretek hiánya és a bejelentésekkel szembeni alacsony készség még sebezhetőbbé teszi a helyi felhasználókat és a vállalatokat is a kiberbűnözőkkel szemben.
Védeni kell a teljes ökoszisztémát
Akár egy jól védett nagyvállalat is sebezhetővé válhat, ha a beszállítói nem rendelkeznek megfelelő védelemmel. 2021-ben már az Apple-t tudták megzsarolni bűnözők azért, mert a Quanta Computer, az egyik fontos beszállítójának hálózatába betörtek.
Az ENISA jelentése szerint a 2022. évi kiberbiztonsági események jelentős része (hozzávetőleg az egyharmada) a kkv-k által dominált ágazatokat célozta meg – gyakran épp azért, mert a bűnözők rajtuk keresztül törhetnek be a náluk jobban védett szervezetek hálózataiba, vagy juthatnak hozzá értékes, de a beszállítónál gyengén védett információkhoz.
Az uniós statisztikák szerint a magyarországi kkv-k jellemzően nem rendelkeznek kiberbiztonsági felkészültséggel, ami sebezhetővé teszi őket a támadásokkal és az ellátási lánc biztonsági sérüléseivel szemben.
Az ENISA a social engineeringet a 10 legsúlyosabb fenyegetés egyikeként emeli ki a 2022-es fenyegetési tájképről szóló jelentésében. Ennek során a csalók az emberi érzelmeket és ösztönöket, és a tudatosság hiányát használják ki a biztonsági rendszerek feltörésére vagy információk megszerzésére.
Ezért nem elég egyetlen falat emelni és sok fronton egyszerre történő védekezésez arra van szükség hogy a teljes tranzakciós folyamat minden pontján gyors és naprakész megoldások figyeljék a gyanús jeleket – írja Gallina Gyula, a Mastercard üzletfejlesztési igazgatója a LinkedInen.
Nem csak a KKV-k, de jellemzően a nagyvállalatok sem minden esetben rendelkeznek azzal a szakértelemmel és technológiával, amelyre a hatékony védekezéshez szükség lenne.
Egy felmérés szerint egy nagyvállaltnál ma átlagosan 47 különféle cybersecurity megoldás fut a háttérben, ami rendkívül megnehezíti a biztonságos környezet megteremtését.
Egy jól felépített kibervédelmi rendszer ezzel szemben egységes, és nagymértékben épül az automatizációra.
A szabályozás már ma is kötelezővé teszi a digitális védelmet a kritikus fontosságú iparágakban, nem csak a vállalatok, de a beszállítók számára is. A DORA és a NIS2 két európai szintű szabályozás, amelyek a pénzügyi területen és a kritikus infrastruktúrákat működtető ágazatokban írják elő a kiberbiztonsági teendőket.
A NIS2 nagyon fontos eleme, hogy a hatálya alá tartozó vállalatok a beszállítóik és teljes ökoszisztémájuk kiberbiztonsági szintjéért is felelnek. A NIS2 jogszabályi szinten írja elő ezt.
A Mastercard tanácsai a sikeres védekezéshez:
- a vállalatok tartsák naprakészen a biztonsági rendszereiket
- gondoskodjanak a beszállítóik védelméről is
- „zéró bizalom” (zero trust) politikát alkalmazva fenn kell tartani a szervezeten belüli éberséget
- fel kell tárni a saját egyedi kiberbiztonsági kockázatokat minden vállalatnál
