Amikor a pénzügyi információk védelméről van szó, az titkosítás kiemelkedő fontosságú eszköznek számíthat. A pénzügyi intézmények jelentős mértékben az iparág által elfogadott titkosítási protokollokra, például az AES-256-ra támaszkodnak, hogy érzékeny adatokat védjenek átutalások során. A statisztikák is meggyőzőek. A Verizon legfrissebb adatvesztési jelentése szerint az összes adatlopás közel 60%-a megelőzhető lett volna megfelelő titkosítás alkalmazása esetén. Minden pénzügyi rendszerekkel dolgozónak érdemes megismernie a különböző titkosítási módszerek működését. A szimmetrikus titkosítás gyorsan kezeli a nagy mennyiségű adatot, ezért gyakran alkalmazzák bankok napi műveletekhez. Ugyanakkor az aszimmetrikus titkosítás erősebb védelmet nyújt, de ára is van. Az ügyletek hosszabb időt vesznek igénybe ezzel a módszerrel, ami egy klasszikus dilemma elé állít: maximális biztonság vagy a sebesség, hogy az ügyfelek ne unódjanak meg túl sokáig várva.
A többrétegű hozzáférés-vezérlések bevezetése valóban fontos, amikor az emberek jogtalan hozzáférésétől és a pénzügyi adatok biztonságának megőrzésétől akarunk megvédeni. Az alapötlet itt az, hogy különböző ellenőrzéseket és engedélyezéseket kombináljunk, így megállapíthatjuk, valójában ki az illető, mielőtt bármi érzékenyhez hozzáférne. Nézzük például a szerepköralapú hozzáférés-vezérlést (RBAC). Az RBAC használatával az illetők csak annyit kapnak, amennyire munkakörük alapján szükségük van. Ez csökkenti a véletlen vagy szándékos visszaélés lehetőségét, mivel az emberek nem rendelkeznek olyan hozzáférésekkel, amelyekre nincs szükségük. Ezzel összefüggésben célszerű, hogy vállalatok rendszeresen felülvizsgálják, ki milyen hozzáférési jogosultságokkal rendelkezik. Ezek az ellenőrzések segítenek észlelni olyan problémákat, mint például jogosultságszint-emelkedés, amikor valaki valahogy jóval nagyobb hozzáféréssel rendelkezik, mint amennyi neki valójában szükséges. Túl sokszor láttuk már, hogy kezdő munkatársak végül adminisztrátori szintű jogosultságokkal rendelkeznek csupán azért, mert senki nem ellenőrizte rendesen a hozzáférési jogosultságokat. A rendszeres ellenőrzések nem csupán papírmunka, valójában ezek az egyik legjobb módjai annak, hogy a rendszerek biztonságát megőrizzük, miközben biztosítjuk, hogy mindenki csupán azt lássa, amit feltétlenül szükséges a munkájukhoz.
Manapság, amikor annyi ember vásárol online, a valós idejű csalásérzékelés elengedhetetlenné vált az ügyletek során fennálló pénzügyi veszteségek megelőzéséhez. Ha a csalásokat azonnal észlelik, a bankok és kereskedők meg tudják akadályozni, hogy rossz szándékú személyek komoly veszteségeket okozzanak. Kutatások azt mutatják, hogy a gépi tanulás meglehetősen hatékonyan felismeri azokat a gyanús mintákat, amelyek csalásra utalhatnak. Ez azt jelenti, hogy kevesebb törvényes tranzakciót jelölnek meg tévesen, miközben a valódi csalási esetek túlnyomó részét továbbra is észlelik. Azonban problémát jelent, hogy az új csalásérzékelő technológiákat nehéz összekapcsolni a már évtizedekkel ezelőtt épített, régebbi fizetőrendszerekkel. Számos vállalatnak gondot okoz ez a kompatibilitási kérdés. Szerencsére újabb megközelítések, például API-k használata a rendszerek összekapcsolására, valamint a kisebb, egymással cserélhető részekből épülő szoftverfejlesztés segítenek ezen a problémán. Ezek a módszerek lehetővé teszik a vállalkozások számára, hogy frissítsék biztonsági rendszerüket anélkül, hogy teljesen le kellene cserélniük meglévő infrastruktúrájukat, ami hosszú távon idő- és költségmegtakarítást eredményez.
A megfelelő asztali gépek és szerverek megfelelő konfigurálása továbbra is alapvető fontosságú a pénzügyi adatok védelmében az illetéktelen hozzáférés ellen. A pénzügyi intézményeknek le kell tiltani a háttérben futó, nem használt szolgáltatásokat, rendszeresen frissíteniük kell a szoftvereket javítócsomagokkal, és olyan biztonsági szabványokat kell bevezetniük, amelyek kifejezetten banki környezetekre lettek kialakítva. Valós incidensek azt mutatják, hogyan tudnak a gyenge konfigurációk jelentős biztonsági réseket teremteni. Egy ismert esetben egy bank szerverbeállításai voltak nyitva, amelyek lehetővé tették a hackerek számára, hogy érzékeny ügyféladatokat lovhassanak el, amelyek milliókat értek. Ezek az esetek szemléltetik, miért nincs kompromisszum a szigorú biztonsági intézkedések alkalmazásánál. Amikor a szervezetek már az első naptól helyesen konfigurálják rendszereiket, nem csupán egyes gépeket védenek, hanem valójában az összes műveletükre kiterjedően megerősítik az egész kiberbiztonsági megközelítésüket.
Az NIST Kibernetikai Biztonsági Keretrendszere egy alapvető útmutatóként szolgál azoknak a vállalatoknak, amelyek meg akarják érteni, kezelni és csökkenteni a kibernetikus fenyegetéseket. Amikor egy szervezetben megfelelően implementálják, növeli az ellenálló képességet a támadásokkal szemben, ami különösen fontos a pénzügyi vezetők számára, akik nap mint nap a kockázatkezeléssel foglalkoznak. A strukturált biztonsági megközelítés segít megvédeni az érzékeny pénzügyi információkat az egyre gyorsan megjelenő új fenyegetésekkel szemben. Természetesen a keretrendszer megvalósítása nem egyszerű feladat. Számos szervezetnek nehézséget okoz a megfelelő erőforrások kijelölése és a technikai részletek megértése. Ezeket az akadályokat gyakran áthidalhatják megfelelő alkalmazottakat célzó képzési programok és az adott vállalat egyedi igényeihez igazított, jól megfontolt hosszú távú tervezési stratégiák.
Nagyon fontos megfelelni a GDPR és a CCPA szabályainak, ha helyesen akarjuk kezelni az adatokat és biztonságban tartani azokat. Ezek a törvények szigorú védelmi intézkedések meghozatalát írják elő a személyes információk körében, és az előírások be nem tartása súlyos pénzbüntetésekhez vezethet. Ezeknek a szabályozásoknak a hatálya messze túlmutat a helyi vállalkozásokon, ugyanis hatással vannak a vállalatok határokon átnyúló működésére és az adatátvitelre más országok között, ami néha igazi problémát jelent a megfelelés tekintetében. A pénzügyi vezetők számára ezeknek a szabályoknak a betartása elsődleges prioritást kell, hogy kapjon, mivel a bírságok jelentősen érinthetik a vállalat nyereségét. Emellett az nemzetközi piacokon való megfelelő megjelenés erősen múlik arra, hogy az ügyfelek és partnerek számára komolyan veszik az adatvédelmet.
Az SEC szigorú szabályokat állított fel arról, hogy mikor kötelessége az vállalatoknak tájékoztatni az befektetőket a kiberbiztonsági incidensekről, ami azt mutatja, hogy mennyire fontos a vállalkozások számára a pénzügyi helyzetükkel kapcsolatban való nyitottság és őszinteség. A pénzügyi igazgatók (CFO-k) számára az ilyen szabályok megismerése nem csupán papírmunka – valójában ez is hozzátartozik az adott feladatkörükhöz, nevezetesen, hogy a részvényesek bizalma megmaradjon a vállalat stabilitásában. Ha visszatekintünk az elmúlt évekre, egyértelművé válik az SEC által kiszabott pénzbüntetések növekedésének mintázata azokkal a vállalatokkal szemben, amelyek nem megfelelő módon tájékoztattak a biztonsági problémákról. Nézzük csak az utolsó negyedévet, amikor három nagyvállalatot kellett büntetni az adatvédelmi incidensek jelentésének elhúzódása miatt. Az okos vállalatok előre felkészülnek ilyen helyzetekre, és kidolgozott válaszstratégiával állnak elő. Ez magában foglalja az incidensek azonosítására szolgáló világos protokollokat, az érintett felek értesítését órákon belül, nem napokon keresztül, valamint az átlátható kommunikációt az egész folyamat során. Ha helyesen kezelik ezeket a helyzeteket, akkor azok nem feltétlenül rombolják össze a vállalat hírét vagy a gazdasági eredményeit.
A szállítói kockázatok kezelése elengedhetetlen a vállalati adatok védelméhez összetett ellátási láncok mentén. Számos olyan esetet láttunk, ahol harmadik fél által okozott biztonsági incidensek súlyos problémákat okoztak vállalatoknak, ami azt mutatja, mennyire fontos a megfelelő szűrés. A vállalatok gyakran használnak olyan eszközöket, mint például a Biztonsági Információszerzési Keretrendszer (Security Intelligence Gathering frameworks), valamint rendszeresen végeznek harmadik félenkénti ellenőrzéseket, hogy felmérjék partnereik tényleges biztonsági szintjét. Ezek az értékelések segítenek megelőzni, hogy külső partnerek érzékeny információkat tárjanak fel. A pénzügyi vezetők számára, akik a költségvetésre koncentrálnak, az alapos szállítói ellenőrzés időbe történő befektetése nem csupán jó gyakorlat, hanem szükséges védelem a szállítói kapcsolatokban rejlő potenciális fenyegetésekkel szemben. Végül is senki sem akarja, hogy vállalatának hírnevét egy alvállákos rossz kiberbiztonsági szokásai miatt károsítsák.
Az AI technológia fejlődése teljesen megváltoztatta, hogyan ismerjük fel a fenyegetéseket a hálózatokon belül, és teljesen új lehetőségeket nyitott meg a kiberbiztonság terén. A vállalatok most már gépi tanulást és különféle AI-rendszereket alkalmaznak annak érdekében, hogy problémákat észleljenek még azelőtt, hogy azok komolyabb problémákká váljanának. Egyes tanulmányok szerint ezek az AI-alapú megközelítések akár 80%-kal hatékonyabban is képesek fenyegetéseket észlelni a hagyományos módszerekhez képest, ez pedig valódi előnyt biztosít a biztonsági csapatoknak rendszereik védelme során. Amikor az AI-t meglévő biztonsági rendszerekbe integrálják, a jó eredmények eléréséhez fontos, hogy minden összetevő zökkenőmenten működjön együtt. Ez azt jelenti, hogy meg kell vizsgálni, mennyire kompatibilisek az egyes AI-eszközök a meglévő rendszerekkel, valamint azokat a konkrét vállalati igényekhez is igazítani kell. Számos szervezet azt tapasztalja, hogy ha időt fordítanak egyedi követelményeik megértésére, az hosszú távon sokkal jobb eredményekhez vezet.
A blockchain technológia teljesen új perspektívát nyújt a tranzakciók őszinteségének és átláthatóságának biztosításában. Ami különösen megkülönbözteti, az az, hogy amint az információk bekerülnek a rendszerbe, senki nem tudja őket utólag megváltoztatni, ezáltal létrejön egy automatikusan működő naplózás. Azok a vállalkozások, amelyek érzékeny adatátvitellel foglalkoznak, ezt különösen hasznosnak találják. Vegyük példának az IBM-et, amely valóban alkalmazta a blockchainet könyvvizsgálati folyamataiban, és jelentősen javult biztonságot, valamint csökkent hibaszámot ért el. Mégis akadályokkal kell szembenézni. Sokan még mindig úgy gondolják, hogy a blockchain nem skálázható megfelelően, vagy túl bonyolult megérteni. Ezeknek az előítéleteknek a leküzdése sokat segítene abban, hogy világossá tegyük, mit tud a blockchain a könyvvizsgálat szempontjából. Több oktatásra van szükség a működéséről, valamint folyamatos technológiai fejlesztésekre, hogy az egész folyamat minden érintett számára gördülékenyebb legyen.
A nulla bizalommal működő architektúra bizonyítottan lényeges a hibrid munkakörnyezetek biztonságának fenntartásához, különösen azóta, hogy a vállalatok elkezdtek visszatérni a pandémia alatti zárolások után. Ennek az elvnek az alapja egyszerű, mégis hatékony: minden hozzáférési ponton ellenőrizni kell mindent, nem feltételezve, hogy a belső hálózatok biztonságos területek. Azok a vállalatok, amelyek ezt az elközelítést választották, figyelemre méltó eredményeket értek el, amit legújabb tanulmányok is alátámasztanak, körülbelül fele annyi biztonsági incidens előfordulását tapasztalva náluk, akik még mindig a hagyományos módszereket alkalmazzák. A nulla bizalom elvét a megfelelő technológiai eszközök kiválasztásával lehet csak hatékonyan alkalmazni. Az identitáskezelő rendszerek és a többtényezős hitelesítés a legtöbb megvalósításhoz elengedhetetlenek. A legjobb megoldás természetesen attól függ, hogy milyen típusú vállalkozásról van szó. Egy gyártóüzemnek más védelmi mechanizmusokra van szüksége, mint egy online szolgáltató vállalatnak. Ennek helyrehozása időt vesz igénybe, és magában foglalja a szervezeten belül az érzékeny adatok áramlásának pontos feltérképezését, mielőtt bármilyen valódi védelmi rendszert kiépítenének a kiberfenyegetésekkel szemben.
A kvantumszámítástechnika egyre gyorsabban halad, és ez azt jelenti, hogy meglévő titkosítási módszereink már veszélyben vannak. Valóban el kell kezdenünk dolgozni azon megoldásokon, amelyek ellenállnak a kvantumtámadásoknak. Az informatikai biztonsági szakemberek évek óta figyelmeztetnek minket, hogy ezek a kvantum-alapú fenyegetések valószínűleg már kb. tíz év után problémát jelenthetnek. Az előkészületekhez szükséges tehát szerteágazó kutatási projektek áttekintése, amelyek jelenleg világszerte folyamatban vannak. Vegyük példának az Egyesült Államokbeli Nemzeti Szabványügyi Intézetet (National Institute of Standards and Technology), amely már évek óta vezető szerepet játszik az új titkosítási szabványok kifejlesztésében, amelyek akkor is védelmet nyújtanak majd a fontos információkhoz, amikor a kvantumszámítógépek már elérhetővé válnak. Azoknak a vállalatoknak, amelyek szeretnének a csúcson maradni, határozottan el kell kezdeniük gondolkodni azon, hogyan kezeljék majd titkosítási rendszereiket a jövőben. Végül is senki sem szeretne egy szép napon arra ébredni, hogy az adatai már nem biztonságosak, mert valaki kifejlesztett egy hatékonyabb számítógépet.
A CFO-k számára, akik a modern vállalati működés összetettségével néznek szembe, a kiberbiztosítás nem csupán egy további tétel a költségvetésben, hanem elengedhetetlen része a kockázatkezelési stratégiának. A napjainkban egyre gyakoribb adatvédelmi incidensek komoly költségekkel járnak, amelyek gyakran több millió dollárba kerülnek a vállalatoknak, mire az ügyek lezárulnak. Vegyük példának az IBM 2021-es kutatási eredményeit, amelyek szerint az átlagos incidens költsége körülbelül 4,24 millió dollár volt. A kiberbiztosítás segíthet fedezni ezeket a váratlan kiadásokat, például ügyvédi díjak, sérült rendszerek helyreállítása, valamint szabályozói bírságok kifizetése miatt, amelyek egy kiberattak után jelentkezhetnek. Amikor megvizsgálják, mennyit érdemes költeni erre a fedezetre, a pénzügyi vezetőknek össze kell hasonlítaniuk a fedezet értékét más biztonsági beruházási területekkel. Bár a biztosítás védelmet nyújt a legsúlyosabb esetekre, az okos vállalatok erőforrásokat fordítanak megelőzési intézkedésekre is, hogy elkerüljék: a kárigények benyújtásának szükségességét. Végül is, megelőzni a problémákat mindig sokkal hatékonyabb, mint azok utólagos rendezésére szorítkozni.
A biztonsági tudatosságot erősítő képzések valóban jelentős hatással vannak az alkalmazottak viselkedésének megváltoztatásában és a biztonsági problémák csökkentésében. Azokon a vállalatokon, amelyek ezeket a programokat bevezetik, gyakran jelentősen csökken az incidensek száma, ami azt mutatja, hogy a beruházás megtérül. Vegyük példának a KnowBe4 kutatását, amely szerint a képzési program elvégzése után körülbelül 90%-os csökkenés következett be a phishing-kísérletek számában. A pénzügyi vezetőknek, akik meg akarják ítélni ezek hatékonyságát, többféle tényezőt is figyelembe kell venniük, például az időbeli incidensgyakoriságot, a csapatok reakcióidejét problémák esetén, valamint az alkalmazottak tényleges részvételét a képzéseken. Egy másik jó módja a siker mérésére egyszerűen az, ha megvizsgáljuk, mennyi pénz takaros meg a vállalatnál a biztonsági incidensek számának csökkenése miatt.
Amikor a vezetőségi szintű kiberkockázati jelentésről van szó, az ilyen kérdésekben való nyitottság valóban fontos, ha a vállalatokat ésszerű, hosszú távú döntéseket szeretnének hozni. A jó jelentések az összetett technikai problémákat olyan formává alakítják, amivel a vezetők valóban tudnak dolgozni. Néhány alapvető tanács? Tartsd egyszerűen a nyelvet, először a legfontosabb kockázatokra koncentrálj, és ne feledj javaslatokat tenni a szükséges lépésekre. Nézd meg például a Microsoftot. Ők már korán felismerték a jelentések fontosságát, és vezetőségi irányítópultokat dolgoztak ki, amelyek pontosan mutatják az aktuális biztonsági fenyegetéseket és a válaszlépéseket. Ez a fajta átláthatóság segíti a vezetőket abban, hogy még időben cselekedhessenek, és azt is mutatja az ügyfeleknek és befektetőknek egyaránt, hogy a vállalat komolyan veszi vagyona védelmét. Végül is senki nem akar olyan vállalatba fektetni, amely elrejti sebezhetőségeit.
Amikor a vállalkozások a számítógép-monitorok elemzését integrálják a kiberbiztonsági stratégiájukba, valójában hatékonyabbá válnak a fenyegetések korai felismerésében. A felhasználók rendszerrel való interakciójának vizsgálata és a rendellenes képernyőn megjelenő minták észlelése segít azon problémák azonosításában, mielőtt teljes körű támadásokká fejlődnének. A biztonsági csapatok gyakran olyan eszközökre támaszkodnak, mint például a SIEM rendszerek, amelyek összegyűjtik az összes képernyőaktivitási adatot, és figyelmeztetnek a gyanús tevékenységekre. Például, egyes vállalatok azt észlelték, hogy a monitoranalízis bevezetését követően akár 40%-kal gyorsabban tudtak reagálni lehetséges behatolásokra. Bár egyetlen rendszer sem tökéletes, sok informatikai vezető biztonságérzetének növekedését jelentette, hogy szó szerint láthatóvá vált számukra a hálózatokon valós időben zajló tevékenység.
Átvezető mondat a következő szakaszhoz: Miután áttekintettük a CFO vezetésével megvalósuló biztonság operacionalizálásának sokrétű megközelítését, nézzük meg részletesen azokat az újonnan megjelenő technológiákat, amelyek újragondolják a számítógép-biztonsági funkciókat, kiemelve, hogy az MI, blockchain és más innovációk hogyan alakítják át a biztonságtechnológiai tájat.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
