SG.hu
Szemléletváltás kell az adatvédelemben
A felhő alapú megoldások és a mobileszközök egyre növekvő terjedése mellett a hagyományos eszközök megszokott használata már nem nyújt elegendő védelmet.
Tavaly 42 százalékkal emelkedett a célzott támadások száma, amely legsúlyosabban a nagyvállalatokat és a kkv vállalkozásokat érintette. Az internetes bűnözés módszereiben is jelentős hangsúlyeltolódásokkal lehetett találkozni az elmúlt időszakban: a felhő alapú megoldások és a mobileszközök növekvő elterjedése mellett, a kiberbűnözők sokkal inkább a célzott támadások felé mozdultak el az elmúlt időszakban, így a védelmi eszközök és szabályozások a fenti trendeknek megfelelő kezelése és kialakítása kritikus lesz az elkövetkezendő időszakban.
A CDSYS tavalyi felmérése szerint minden második hazai cégnél használnak a dolgozók saját tulajdonú eszközt a munkavégzésre. Ezek védelme esetlegesen megoldott, miközben az eszközöknek a fenyegetettsége folyamatosan és jelentősen növekszik. A Symantec legfrissebb internet-biztonsági jelentése szerint a 2012-ben létrehozott, mobileszközökre szánt rosszindulatú programok 50 százaléka az adataink ellopására és mozgásaink nyomon követésére specializálódott. A felhőalapú megoldások piacán, a Gartner jelentése által prognosztizált 20 százalékos növekedés, illetve a BOYD (Bring Your Own Device - Hozd a saját eszközödet) elterjedésének rohamos növekedése a mobileszközök terjedésével együtt komoly adatbiztonsági kihívást jelentenek a szakemberek számára. Az eddigi adatszivárgás elleni megközelítésekkel szemben az említett trendek szemléletváltást tesznek szükségessé a rosszindulatú programok elleni védekezésben.
"Az adatszivárgás elleni védelem ma már nem csak egy DLP szoftver, hanem sokkal inkább egy életforma, ami sok szabályozási, szervezési kérdés megválaszolását igényli, valamint többszintű integrált megoldásokat és folyamatos ellenőrzést követel meg, akár emberi részről akár automatikus módon" - mondta Egerszegi Krisztián, a CDSYS ügyvezető igazgatója. "Megértettük az új trendek által támasztott kihívásokat, és képesek vagyunk a szükséges összetett megoldásokat megfelelő szinten nyújtani, legyen szó végpont, szerver átjáró szintű védelemről, titkosításról, az adatok védelméről DLP megoldás segítségével, Identity managementről vagy a weboldalak védelméről SSL titkosítással."
A felhőalapú megoldásokkal kapcsolatban érdemes megemlíteni, hogy számos előny mellett néhány igen fontos biztonsági kérdés is felmerülhet a használat során. El kell gondolkozni az olyan adatbiztonsági problémákon a felhő használata során, mint az adatok megfelelő titkosítása, amelynek során egy harmadik fél csak megfelelő hozzáférési szabályozás során férhet hozzá adatainkhoz, vagy az adatliberalizáció, ahol mindenféle kötöttség nélkül juthatunk adatainkhoz egy szolgáltató váltás keretében. Ugyancsak fontos probléma a megfelelő szolgáltató kiválasztása, mivel minél többen tartják egy helyen az adataikat, annál nagyobb aranybánya lehet egy szolgáltató feltörése az adathalászok számára. A Symantec felmérése szerint egy adatbiztonsági incidens során átlagosan több mint 600 felhasználó adatai szivárogtak ki tavaly.
Az internetes bűnözők felismerték, hogy nem érdemes a nagyvállalatok fokozottan védett informatikai rendszerét közvetlenül támadni, hanem az érintett intézmény alkalmazottainak szokásait a közösségi média és a sokszor a vezetőkénél gyengébben védett mobileszközökre telepített rosszindulatú programok segítségével feltérképezik majd a vállalat nem megfelelően kiterjesztett védelmének gyengeségeit kihasználva, a felhő alapú alkalmazásokon és az okostelefonokon, táblagépeken keresztül érik el céljaikat. Ezek a módszerek egy új, adatközpontú megközelítés szükségességét vetítik elő, amelynek során nem csak a vállalat és az alkalmazottak informatikai eszközeinek védelmére kell koncentrálni, hanem magát az adatot kell megfelelően osztályozni, titkosítani, és megvédeni az illetéktelen kezekbe kerüléstől, legyenek az adatok akár az intézmény szerverén, akár felhőben, vagy az alkalmazottak mobileszközein.
Ennek az adatközpontú védelemnek egyik alapköve az új trendeket megfelelően követő adatvédelmi szabályozás. A CDSYS felmérése szerint Magyarországon az adatvédelmi törvényben megfogalmazott követelményeket a cégek felénél ismerik, megfelelő szervezeti és szabályozási környezet azonban még ennél is kevesebb esetben létezik, és ezeknek nagy része még nem tud megfelelő válaszokat adni az új irányvonal kihívásaira. Az EU egyik előkészítés alatt lévő irányelve a vállalatok globális árbevételének két százalékáig terjedő bírságot helyez kilátásba az abban foglalt szabályozás súlyos megsértése esetén, így ez komoly költséget jelenthet a cégek számára, amelynek töredéke lenne a megfelelő szabályozás betartása.
Tavaly 42 százalékkal emelkedett a célzott támadások száma, amely legsúlyosabban a nagyvállalatokat és a kkv vállalkozásokat érintette. Az internetes bűnözés módszereiben is jelentős hangsúlyeltolódásokkal lehetett találkozni az elmúlt időszakban: a felhő alapú megoldások és a mobileszközök növekvő elterjedése mellett, a kiberbűnözők sokkal inkább a célzott támadások felé mozdultak el az elmúlt időszakban, így a védelmi eszközök és szabályozások a fenti trendeknek megfelelő kezelése és kialakítása kritikus lesz az elkövetkezendő időszakban.
A CDSYS tavalyi felmérése szerint minden második hazai cégnél használnak a dolgozók saját tulajdonú eszközt a munkavégzésre. Ezek védelme esetlegesen megoldott, miközben az eszközöknek a fenyegetettsége folyamatosan és jelentősen növekszik. A Symantec legfrissebb internet-biztonsági jelentése szerint a 2012-ben létrehozott, mobileszközökre szánt rosszindulatú programok 50 százaléka az adataink ellopására és mozgásaink nyomon követésére specializálódott. A felhőalapú megoldások piacán, a Gartner jelentése által prognosztizált 20 százalékos növekedés, illetve a BOYD (Bring Your Own Device - Hozd a saját eszközödet) elterjedésének rohamos növekedése a mobileszközök terjedésével együtt komoly adatbiztonsági kihívást jelentenek a szakemberek számára. Az eddigi adatszivárgás elleni megközelítésekkel szemben az említett trendek szemléletváltást tesznek szükségessé a rosszindulatú programok elleni védekezésben.
"Az adatszivárgás elleni védelem ma már nem csak egy DLP szoftver, hanem sokkal inkább egy életforma, ami sok szabályozási, szervezési kérdés megválaszolását igényli, valamint többszintű integrált megoldásokat és folyamatos ellenőrzést követel meg, akár emberi részről akár automatikus módon" - mondta Egerszegi Krisztián, a CDSYS ügyvezető igazgatója. "Megértettük az új trendek által támasztott kihívásokat, és képesek vagyunk a szükséges összetett megoldásokat megfelelő szinten nyújtani, legyen szó végpont, szerver átjáró szintű védelemről, titkosításról, az adatok védelméről DLP megoldás segítségével, Identity managementről vagy a weboldalak védelméről SSL titkosítással."
A felhőalapú megoldásokkal kapcsolatban érdemes megemlíteni, hogy számos előny mellett néhány igen fontos biztonsági kérdés is felmerülhet a használat során. El kell gondolkozni az olyan adatbiztonsági problémákon a felhő használata során, mint az adatok megfelelő titkosítása, amelynek során egy harmadik fél csak megfelelő hozzáférési szabályozás során férhet hozzá adatainkhoz, vagy az adatliberalizáció, ahol mindenféle kötöttség nélkül juthatunk adatainkhoz egy szolgáltató váltás keretében. Ugyancsak fontos probléma a megfelelő szolgáltató kiválasztása, mivel minél többen tartják egy helyen az adataikat, annál nagyobb aranybánya lehet egy szolgáltató feltörése az adathalászok számára. A Symantec felmérése szerint egy adatbiztonsági incidens során átlagosan több mint 600 felhasználó adatai szivárogtak ki tavaly.
Az internetes bűnözők felismerték, hogy nem érdemes a nagyvállalatok fokozottan védett informatikai rendszerét közvetlenül támadni, hanem az érintett intézmény alkalmazottainak szokásait a közösségi média és a sokszor a vezetőkénél gyengébben védett mobileszközökre telepített rosszindulatú programok segítségével feltérképezik majd a vállalat nem megfelelően kiterjesztett védelmének gyengeségeit kihasználva, a felhő alapú alkalmazásokon és az okostelefonokon, táblagépeken keresztül érik el céljaikat. Ezek a módszerek egy új, adatközpontú megközelítés szükségességét vetítik elő, amelynek során nem csak a vállalat és az alkalmazottak informatikai eszközeinek védelmére kell koncentrálni, hanem magát az adatot kell megfelelően osztályozni, titkosítani, és megvédeni az illetéktelen kezekbe kerüléstől, legyenek az adatok akár az intézmény szerverén, akár felhőben, vagy az alkalmazottak mobileszközein.
Ennek az adatközpontú védelemnek egyik alapköve az új trendeket megfelelően követő adatvédelmi szabályozás. A CDSYS felmérése szerint Magyarországon az adatvédelmi törvényben megfogalmazott követelményeket a cégek felénél ismerik, megfelelő szervezeti és szabályozási környezet azonban még ennél is kevesebb esetben létezik, és ezeknek nagy része még nem tud megfelelő válaszokat adni az új irányvonal kihívásaira. Az EU egyik előkészítés alatt lévő irányelve a vállalatok globális árbevételének két százalékáig terjedő bírságot helyez kilátásba az abban foglalt szabályozás súlyos megsértése esetén, így ez komoly költséget jelenthet a cégek számára, amelynek töredéke lenne a megfelelő szabályozás betartása.