Kép: Pixabay

Világszerte a mikrovállalkozások csupán 19 százaléka sorolta az IT stratégiát a számára legfontosabb három stratégiai terület közé, szemben a több mint 100 alkalmazottal rendelkező vállalatok 30 és az 5000-nél több munkavállalót foglalkoztató cégek 35 százalékával. Ezek a kutatási eredmények – melyek összegzése megtalálható a Kaspersky Lab 2014-es IT Security Risks jelentésében – felhívják a figyelmet a mikrovállalatok egy fontos problémájára. Sok kis- és mikrovállalkozás ugyanis úgy véli, hogy túlságosan kicsi ahhoz, hogy támadások célpontjává váljon és nincsenek olyan adatai, amelyekre a kiberbűnözőknek szükségük lehet.

Azonban a Verizon 2013-as jelentése rámutat arra, hogy a 621 elemzett adatlopási incidens közül 193 – több mint 31 százalék – 100 vagy annál kevesebb alkalmazottat foglalkoztató vállalatnál történt. Mihelyt a vállalatok elkezdenek hitelkártyás fizetéseket feldolgozni, tárolják a vásárlói információkat vagy új termékekre vonatkozó terveket készítenek, olyan adatokkal fognak rendelkezni, amelyek értékesek a kiberbűnözők számára. Egyes hackerek kifejezetten ezekre a „könnyű célpontokra” vadásznak, amelyek tudvalevően gyenge IT védelemmel rendelkeznek.  (A helyzetet súlyosbítja, hogy a magyar kkv-k többsége alulbecsüli, milyen nagy veszély fenyegeti őket az internet világából.)

Tudnak a veszélyről, de nem érdekli őket

A Kaspersky Lab felmérése szerint a mikrovállalatok megértik az online fenyegetések veszélyeit. Amikor arról kérdezték őket, hogy az üzleti informatika terén mi miatt aggódnak a leginkább, 35 százalékuk az „adatvédelmet” a három legfontosabb szempont közé sorolta. Ez azt mutatja, a mikrovállalatok tudatában vannak annak, hogy az IT stratégia létfontosságú szerepet játszik az érzékeny adatok megóvásában, valamint abban, hogy a szokásos napi műveleteket ne bénítsák meg rosszindulatú programok és hackertámadások. (Egy másik felmérés eredményei szerint az adatszivárgásból, adatlopásból eredő anyagi károk 39 százalékát az alkalmazottak nem megfelelő informatikabiztonsági tudása és felkészületlensége okozza.)

Hasonlóképpen, a mikrovállalatok jól ismerik a mobil eszközök üzleti használatából származó előnyöket és biztonsági kockázatokat. A megkérdezett vállalatok 34 százaléka számolt be arról, hogy mobil eszközöket integrált informatikai rendszereibe az elmúlt 12 hónapban, méghozzá a nagyobb vállalkozásokkal közel azonos ütemben. Sőt, mi több, ezek a cégek vannak leginkább tisztában a mobil eszközök biztonsági problémáival. A mikrovállalkozások 31 százaléka sorolta a „mobil/hordozható informatikai eszközök védelme” területet a három legfontosabb IT biztonsági prioritása közé az elkövetkezendő 12 hónapra vonatkozólag. Ez a szám kifejezetten magas az összes vállalkozás 23 százalékos átlagához képest. Úgy tűnik, a felmérés eredménye cáfolja azt az állítást, hogy a mikrovállalatok kevesebbet tudnak a mobil eszközök használatáról és az ezzel kapcsolatos biztonsági kockázatokról, mint nagyobb társaik.

Ezen megállapítások alapján az IT stratégia és így az IT biztonság fontosságának alacsony prioritása a mikrovállalkozások körében nem annak tudható be, hogy ne lennének tudatában a kockázatoknak. Egy ésszerű magyarázat, hogy a pénzeszközök hiánya jelenti a legnagyobb akadályt a fejlettebb informatikai és IT biztonsági intézkedések megtételében a megkérdezett vállalatok számára.

Azon válaszadók közül, akik kibertámadás következtében vesztettek már el üzleti adatokat, 32 százalék jelölte meg a „malware” lehetőséget az őket ért legsúlyosabb incidens okaként. Ez az arány a kétszerese a nagyvállalatoknál mért 16 százaléknak. Egy másik jelentős oka a kisebb vállalkozások adatvesztésének a „szoftverek sérülékenysége”, amelyet a mikrovállalkozások 9 százaléka jelölt be. Ez az arány majdnem megegyezik az összes vállalkozás 8 százalékos átlagával. Ez azt mutatja, hogy a szoftverek sérülékenységei minden vállalkozást közel azonos mértékben érintenek, méretüktől függetlenül.

Biztonsági tanács

A fenti tények ismeretében  fontos kialakítani egy megfelelő biztonsági stratégiát, amelyet a szervezethez kell igazítani, és amelynek a következő kulcselemeket kell tartalmaznia:

•             Kockázatkezelés

•             A megfelelő irányelvek és folyamatok kidolgozása

•             Vészhelyzeti terv

•             Munkavállalókból álló csoport kialakítása, amely felelős azért, hogy ezeket az előírásokat betartsák

•             Biztonsági megoldások telepítése minden olyan eszközre, amely hozzáfér a vállalati adatokhoz

•             Stratégia a rendszeres biztonsági frissítések végrehajtásához

•             Stratégia annak elérésére, hogy az alkalmazottak odafigyeljenek a biztonsági kérdésekre

•             Minden intézkedés dokumentálása