Előre kódolt adatvesztéssel jár a foghíjas védelem

Napjainkban még azok a cégvezetők sem dőlhetnek nyugodtan hátra, akik csúcstechnológiás védelmi technológiákat vezettek be.
 

A magyar vállalatok háromnegyedénél fordult már elő adatszivárgás többnyire a cégek figyelmetlenségének, illetve az alkalmazottak szabályozatlan jogosultságainak kihasználásával. Ezeket természetesen senki sem teszi ki az ablakba, de a rendszeres felmérések, auditok ezt a helyzetet sajnos évről évre alátámasztják.
 
Nemzetközi színtéren az Európai Bankhatóság (EBA) az elsők közt foglalt állást, és tett ajánlásokat ezen a téren. Már 2019-ben a legfontosabb elvégzendő biztonsági intézkedések körébe sorolta a jogosultságok rendszeres felülvizsgálatát a pénzügyi intézményeknél a belülről támogatott informatikai támadások rizikójának csökkentése érdekében.
 

"Az EBA által kiadott előirányzatok túlmutatnak a pénzügyi szektoron. Magyarországon is számtalan gazdasági ágazatot jellemez a vállalati adatokhoz való hozzáférések rendezetlensége. Munkánk során láttunk példát arra, hogy adminisztratív feladatokat ellátó dolgozók nem csupán ráláttak az adott cég szenzitív pénzügyi adatbázisára, de onnan bármelyik percben információkat tölthettek volna le, ha úgy tartja az érdekük. Egyszerűen csak azért, mert a vállalatoknál - minél kisebbek annál jellemzőbb módon - még sokszor ma is a megszokások és a szabad munkafolyamat menedzsment logikája alapján dől el az, hogy ki, mit láthat, használhat a belső hálózatokon. Ez pedig nem eredményez mást, mint azt, hogy állandósul az adatszivárgás lehetősége"

- mondta Mihály Tamás, a TheFence megálmodója.
 
A szakember szerint a trendek, a szaporodó adatlopások, az egyre sikeresebb adathalász próbálkozások és zsarolóvírus támadások alapján leszűrhető konklúziók mind abba az irányba mutatnak, hogy korántsem elég ma már csak a tűzfalak mögé rejteni a vállalati dokumentumokat. Akár felhőben, akár saját rendszereken tárolják a cégek az adataikat, csak akkor csökkenthetik igazán az őket fenyegető rizikót, ha pontosan meghatározzák és időről időre felülvizsgálják, hogy személy szerint ki, mihez férhet hozzá, valamint akár azt is, hogy honnan tölthet le és milyen adathordozón tárolhat bármilyen vállalati információt. Ez az a gyökérprobléma, amelyet, ha nem kezelnek súlyának megfelelően a cégek, akkor előre kódolják a kisebb vagy nagyobb adatvesztéseket, az információk illetéktelen kezekbe kerülését, ami ráadásul a pénzügyi kockázatokon túl, akár piaci versenyhátrányhoz is vezethet.

A TheFence stratégája első lépésben azt javasolja a vállalati és informatikai vezetőknek, hogy a társosztályok (hr, pénzügy, jog stb.), illetve külső szakértő bevonásával, valamint megfelelő eszközökkel rendszeresen vizsgálják felül a felhasználói szerepköröket. Ezzel együtt mérjék fel a reális kockázatokat, és zárják ki, amennyire csak lehet azokat a hozzáféréseket és felhasználókat, amelyek potenciálisan lehetőséget adnak bármilyen vállalati információ tudatlanságból fakadó vagy rossz szándékú kiszivárgására.