A Deloitte pénzintézeteket vizsgáló információbiztonsági felméréséből az derült ki, hogy a vizsgált bankok negyedénél és a biztosítótársaságok 40 százalékánál voltak informatikai visszaélések az elmúlt egy évben. Ennek ellenére alapvetően elégedettek magukkal.
A Deloitte nyolcadik alkalommal elvégzett globális kutatásában a világ legnagyobb pénzintézeteinek képviselői közül több mint 250-en vettek részt válaszadóként 39 országból, köztük hazai pénzintézetek vezetői is. Éppen ezért érdekes mindjárt a kutatás első megállapítása: a válaszadók kétharmada állította azt, hogy a cégüknél az információbiztonság és az üzleti tevékenység összefonódik. A megkérdezettek több mint 50 százaléka tart fent szoros munkakapcsolatot a működési kockázatok kezeléséért felelős szervezeti egységgel, és aktívan együttműködik a vállalati kockázatkezelési funkcióval.
A fő kihívások ■ A válaszadók szerint az elmúlt évben elsősorban az információbiztonsági irányítási rendszerek, a jogosultságok és hozzáférések kezelése, valamint az információbiztonsági stratégia volt számukra a legfontosabb célterület. Nem változtak viszont a panaszok: a válaszadók idén is a megfelelő források hiányát (44%) és az egyre kifinomultabb informatikai fenyegetéseket (28%) tartották a nehézségeik legfontosabb forrásainak.
A közösségi média felértékelődött mint kockázati tényező. A válaszadók 37 százaléka alakította át a vállalati működés rendjét. 33 százalékuk pedig úgy próbálja csökkenteni a kockázatokat, hogy igyekszik felhívni munkatársai figyelmét a közösségi médiacsatornák használatának veszélyeire. Ide kapcsolódik az is, hogy bár a pénzintézetek jelentős része vizsgálja a cloud computingban rejlő lehetőségeket, 40 százalékuk még nem alkalmazza, vagy mert nem tartja kiforrottnak a technológiát, vagy nagynak ítéli a biztonsági kockázatokat, de olyan vélemény is volt, mely szerint maga a pénzintézet alkalmatlan a technológia bevezetésére. A mobil eszközökkel viszont kezdenek megbarátkozni: a megkérdezett cégek közül több is alkalmazza a mobil VPN-t, a központi eszközkezelést és a mobil eszközkezelést. Ugyanakkor a válaszadók fele nem tervezi, hogy adathalászat megakadályozására szolgáló szoftvereket, külön-külön az alkalmazottaknak és a vevőknek szánt alkalmazásokat, valamint mobileszközök adatvesztését megakadályozó megoldásokat rendszeresítsen a vállalatnál. A másik felük a felhasználási irányelvek megfelelő alkalmazásában, a mobil eszközök biztonságos használatának népszerűsítésében és a bonyolult jelszavak használatának kötelezővé tételében látják a megoldást.
(A kép kattintásra nagyítható!)
Adatok veszélyben ■ A válaszadók szerint az elmúlt évben a legfontosabb fenyegetéseket az informatikai rendszereket érintő csalások, a saját dolgozók hibái és mulasztásai, valamint a belső, üzleti adatokkal kapcsolatos visszaélések jelentették. A megkérdezettek háromnegyedénél dolgozik kifejezetten adatvédelemre szakosodott munkatárs. A vizsgált pénzügyi vállalkozások 49 százaléka nyilatkozott úgy, hogy aktívan dolgozik a cég sebezhetőségének csökkentésén – a cégek 82 százaléka emellett igyekszik proaktívan is megvédeni a vállalati környezetet az újabb és újabb fenyegetésektől.
A felmérésben részt vevő pénzintézetek nagy része üzemeltet biztonsági műveleti központot (Security Operation Center, SOC) azért, hogy az adatforgalmat és az adatokat nyomon követhessék, valamint a biztonsági incidenseket és visszaéléseket hatékonyabban kezelhessék. A válaszadók több mint fele állította, hogy vállalkozása saját maga irányítja a biztonsági műveleti központot, így pontosabb képet kaphat az információbiztonsági problémákról, és hatékonyabban irányíthatja a cég tevékenységét.
Közepesen elégedettek magukkal ■ A pénzügyi vállalkozásokra a felügyeleti szerveik is nyomást gyakorolnak, hogy folyamatosan fejlesszék biztonsági rendszereiket. Talán ezért is ítélte úgy a válaszadók közel 80 százaléka, hogy biztonsági rendszereik legalább 3-as szinten (pontosan meghatározott és dokumentált standard folyamatok, a rendszert folyamatosan továbbfejlesztik) vagy annál magasabb szinten vannak. De hiába a magabiztos önkép, ha ennek ellenére a vizsgált bankok mintegy negyede ismerte be, hogy informatikai visszaéléseket tapasztalt az elmúlt egy évben. A megkérdezettek szerint az átvilágítások során három probléma merült fel nagyon gyakran: a hozzáférési jogosultságok felesleges osztogatása, a munkakörök nem megfelelő szétválasztása és a nem megfelelően dokumentált biztonsági előírások és standardok. Annak ellenére, hogy a vizsgált bankok több mint 70 százaléka az informatikai költségvetésének legalább 1-3 százalékát az információbiztonsági rendszerre költi, a válaszadók szerint a megfelelő költségvetés hiánya az első számú akadálya a hatékony rendszerek kiépítésének. Ez a probléma a megkérdezett biztosítótársaságoknál még súlyosabb, ráadásul gyakran párosul az átláthatóság és a vállalaton belüli befolyás, a felső vezetői támogatottság hiányával.
Bár a cégek egyre nagyobb hangsúlyt fektetnek az adatokkal való visszaélések megelőzésére, a vizsgált 46 biztosítócég mintegy 40 százaléka az elmúlt egy évben legalább egy alkalommal visszaélést tapasztalt. A biztosítószektorban dolgozó alkalmazottak egyre több virtuális és mobil terméket, illetve szolgáltatást igényelnek. A megkérdezett biztosítócégek több mint 80 százalékánál használnak céges vagy az alkalmazottak saját tulajdonában lévő mobil eszközöket. A mobil eszközök használatának terjedésével párhuzamosan a vizsgált biztosítócégek több mint 45 százaléka számolt be arról, hogy az elmúlt egy évben legalább egy visszaélést tapasztalt.
