Könnyű prédát jelentenek a magyar kis- és középvállalkozások a kiberbűnözőknek: itthon a cégek negyven százalékánál történt valamilyen formában adatszivárgás, és háromnegyedük informatikai rendszerét érte támadás. Ennek ellenére ezt még mindig nem tekintik releváns kockázatnak a kkv-k, alacsonyak a biztonságra és megelőzésre fordított költségeik és semmilyen formában nem kezelik az adatszivárgásokat. Pedig komoly a tét: átlagosan a vállalkozásoknak 27 millió forintjukba kerül egyetlen zsarolóvírus által okozott kár.

Kép: Pixabay

Mindez elkerülhető lenne, de a kkv-k biztonsági rendszere elavult, (rosszul adminisztrált rendszerek, régi vagy hiányzó biztonsági mentés, könnyen feltörhető jelszavak, rendszertelenül frissített programok stb.) vagy pedig egyáltalán nem is létezik. Holott a felhő alapú adattárolás, távmunka és a saját eszközök használatának terjedésével (BYOD) terjedésével elengedhetetlen lenne a megfelelő védekezés. Ennek ellenére a magyar vállalkozások 80%-ánál kizárólag jelszót kérnek a számítógépek a vállalati hálózatra való belépéskor, ezt pedig gyakran a saját eszközeiken tárolják a munkavállalók. Összehasonlításképp: a román cégek 46%-ánál, a csehek 54%-ánál, a lengyelek 63%-ánál elégednek meg ilyen alacsony szintű védelemmel. Ennél magasabb szintű azonosítást a legtöbb megkérdezett román cégnél (54%) használnak, de a cseh (46%) és lengyel (38%) vállalkozások is nagyobb arányban használnak a magyaroknál (19%) – derült ki egy korábbi felmérésből.

A vállalatok felénél használnak olyan mobiltelefont vagy tabletet, amely a munkavállaló tulajdonát képezheti. Ezen készülékek használatára leginkább a nagyvállalatoknál (75%) vezettek be valamilyen szabályzást, míg ugyanez csupán középvállalatok feléről mondható el. A válaszadó nagyvállalatok esetében nagymértékben növekedett az adatszivárgás elleni megoldás használata, közel a felük már rendelkezik ilyen védelemmel. A kis és közepes vállalatok csak 5-10%-a használ ilyen megoldást. A kkv-k egy jelentős része ugyanakkor nem tekinti az IT-biztonságot az üzlet szempontjából kritikus pontnak, illetve nem minden biztonsági kockázatról értesül, vagy ha igen, azokat nem tekinti a vállalat szempontjából releváns kockázatnak. igaz azonban, hogy ezt az attitűdöt módosítja, ha a cég egy nemzetközi nagyvállalat magyarországi leányaként vagy beszállítójaként működik, mert a nemzetközi előírások kötelező feladatként jelentkeznek.

Akiknek azonban nincs ilyen jellegű kötelezettsége, jellemzően nem foglalkoznak a védekezéssel, a hazai cégek mindössze két (!) százaléka fordít annyi időt és pénzt biztonsági intézkedésekre, mint a szomszédos országok vállalatai. Tény azonban, hogy sokszor nem is tudjuk, merre induljunk el, kihez forduljunk. Ezért adunk most öt alapvető tippet a Birger Technology szakértőinek segítségével, amelyet minden kkv-nak érdemes megfogadnia.

Tudjuk, hogy mit csinálunk!

Első lépésként készítsünk biztonsági szabályzatot! A védekezés szemléletében fontos, hogy az esetlegese támadásokra ne véletlenszerűen reagáljunk, és kezdjünk vad telefonálgatásba, hogy ki a felelős, amikor beüt a baj. Rögzítsük IT-rendszerünk főbb paramétereit, azonosítsuk a gyenge pontokat, mint a levelezés, vagy az adattárolás - ehhez érdemes egyébként szakértőt is felkérnünk - és rögzítsük, hogy melyik területnek ki a felelőse, ki képes vészhelyzetben reagálni. Fontos azt is szabályoznunk, hogyan bánjanak a munkahelyen a dolgozók a saját eszközeikkel és ezt nem árt be is tartatnunk, mert a legveszélyesebb éppen a saját gondatlan munkatársunk lehet!

Védjük a belépési pontokat

Ellenőrizzük és lássuk el védelemmel a belépési pontokat a céges belső hálózatra (VPN). Itt a leggyakrabban használt védekezési forma, mint említettük, nem elégséges. A jelszót tehát valamilyen olyan biztonsági intézkedéssel kell kiegészíteni, ami plusz biztonságot kínál, például biometrikus azonosítással vagy smart carddal. Ezek a megoldások nem kívánnak gigantikus befektetéseket, gondoljunk csak bele, hogy ma már sok okostelefon is csak a tulajdonosa ujjlenyomatának megadása után használható.

Ellenőrizzük a wifit és frissítsük a védelmet!

A legtöbb cégnél van már vezeték nélküli internetes hálózat az irodában, vagy a telephelyen. Fontos azonban, hogy ezt az elérést megfelelő védelemmel lássuk el. Egy szimpla jelszavas védelem itt sem elég, a bűnözők akár a szomszéd utcában parkoló autóból is dekódolhatják a jelszavunkat. Ezért jó, ha van egy második szintű beléptetés a wifi hálózatra. Talán ennél is fontosabb, hogy rendszeresen frissítsük vírusvédelmi szoftvereinket. Ezt sok cég elhanyagolja, különösen a kliensrendszereknél fordul elő gyakorta, hogy elfelejtődik a rendszeres szoftverfrissítés. Ha nem egységes a gépparkunk, könnyebbséget jelent, ha ugyanolyan operációs rendszert használunk minden gépen, mert így a biztonsági rendszer kialakításánál nem kell a különféle rendszerek különböző sebezhető pontjait figyelembe venni.

Szűrjük a weboldalakat!

A Facebook nem jár alanyi jogon a munkavállalóknak. Persze fontos más szempontokat is megfontolnunk, hogy a dolgozók mit érhetnek el és mit nem a vállalati gépekről, hiszen nem könnyű megtartani azt a munkaerőt, akit elzárunk az általa mindennap használt közösségi médiumoktól. Ugyanakkor szűrnünk kell, milyen weboldalak jelenhetnek meg, hiszen böngészés közben egy akaratlan kattintással is veszélyes honlapra tévedhetünk. Itt fontos szempont legyen, hogy a megnyitható weboldal rendelkezzen biztonságos (https) hitelesítéssel, SSL-tanúsítvánnyal!

Tegyük biztonságossá a felhőt!

Egyre több magyar vállalkozás használ felhőalapú adattárolási rendszereket, azonban még mindig kevesen szabályozzák, hogy a dolgozók mit tárolhatnak, mihez férhetnek hozzá, illetve mit oszthatnak meg másokkal. A mobileszközök és a felhőszolgáltatások terjedésével a munkavállalók megszokták, hogy bármikor, bárhonnan, bármilyen eszközről elérik a munkájukhoz szükséges erőforrásokat. Ez növeli ugyan az alkalmazottak produktivitását, azonban komoly biztonsági problémákat is felvet. Erre nem a teljes tiltás a válasz, hanem az elérések monitorozása és elemzése egy hozzáférés-kezelési megoldás segítségével, majd a megfelelő stratégiák kialakítása, illetve a vonatkozó házirendek bevezetése és betartatása. (További tippeket itt olvashat ahhoz, hogyan tehetjük biztonságossá a felhő hozzáférésünket!)

Habár a fentiekben leírt védekezési eljárások nagyobb biztonságot adnak a cégünknek, természetesen vállalkozásunk szinte sosem válhat tökéletesen védetté, de ha ezeket a alapvető tippeket bevezetjük és betartjuk cégünknél, javulhatnak az esélyeink a kiberbűnözőkkel szemben.

KKV pályázati ügyfélnap (2016.11.15.)

Nélkülözhetetlen tudnivalók az uniós forrásokról, kedvező KKV ajánlatok a Lenovo és Microsoft támogatásával.