B2B-körkép

44_Digital_Marketing_Institute.jpg
Forrás: ITB
Amikor a vas recseg

Törvényi megfelelés kényszerében lett adatvédelem

A hardveres hibákra összpontosítottak idén a kiberbűnözők, miközben a vállalatok IT-biztonsági jellegű kiadásait a törvényi megfelelés kényszere generálta. Egyre több vállalat meri a felhőre bízni cége biztonságát, miután rájöttek, hogy nem ördögtől való ez a technológia. Arra pedig (állítólag) van remény, hogy IoT-eszközeink egyre biztonságosabbak lesznek.

Az év első nagy IT-s eseménye a biztonsághoz kapcsolódott: még jóformán ki sem józanodott a fél világ az újévi mámorból, amikor kiderült, hogy az Intel és az egyes AMD processzorokban alapszintű biztonsági hibát találtak, melynek kihasználásával a támadó jelszavakhoz, azonosítókhoz juthat hozzá. A Spectre és Meltdown nevű hardverszintű hibák egy részét szoftveresen orvosolni lehetett, a többitől azonban csak a chip teljes cseréjével lehet megszabadulni – mondták a szakemberek.

Az év eleji hibák komoly sajtóvisszhangot váltottak ki, a biztonsági szakemberek válaszul elkezdtek tömegesen és komolyabban foglalkozni a hardverhibák feltérképezésével. Így nem meglepő, hogy év közben szinte folyamatosak érkeztek az újabb hibákról szóló hírek, még ha egyiket-másikat furcsán is jelentették be. Például legutóbb, az AMD processzorait érintő nyár eleji hibák elhárításához a felfedező cég rendkívül szűkös határidőt, 24 órát biztosított. Ezt a lapkagyártónak nem sikerült tartania, de így is rekordidő alatt tudták az újabb bakikat orvosolni, egy hét múlva már megvolt a patch.

 

GDPR gerjesztette költés

Az év első felében a május 25-én életbe lépő európai adatvédelmi törvény (General Data Protection Regulation) határozta meg a biztonsági jellegű költéseket a vállalatoknál. Az adatszivárgás jelentette kockázattal eddig is tisztában voltak a cégek, ám a rekordméretű bírság fenyegetése miatt azok is elgondolkodtak adatgyűjtési szokásaikon, akik eddig félvállról vették az egész kérdést. A Ponemon Intézet legfrissebb jelentése szerint egy ellopott adatrekord 40 ezer forint költséget jelent a vállalatnak. Érdekes az is, hogy a legtöbb adatszivárgási incidens az információ hanyag kezeléséből adódik (64 százalékuk), ám a legtöbb kárt az incidensek 13 százalékáért felelős külső behatolók okozzák. Vagyis, ha biztonságban szeretnénk tudni adatainkat, akkor védekezzünk a külső támadások ellen, de nem szabad megfeledkeznünk a belső kollégákról és a szerződéses partnerekről sem.

Ettől lesz biztonságos az IoT-eszköz

1. Nincs alapjelszó (helyette egyénileg beállított)

2. A gyártónak van sebezhetőség jelentési eljárása

3. A szoftver mindig friss

4. Tároljuk biztonságosan az azonosítókat, a szenzitív adatokat

5. Kommunikáljunk biztonságosan

6. Csökkentsük a támadási felületeket

7. Biztosítsuk a szoftver integritását

8. Védjük a személyes adatokat

9. Biztosítsuk az áramellátás folytonosságát

10. Figyeljük a rendszeradatokat

11. A fogyasztók könnyen törölhessék adataikat

12. Az eszközök telepítése, karbantartása legyen könnyű

13. Ellenőrizzük a bejövő adatokat

 

A jelentési kötelezettség miatt megnőtt a nyomás a cégeken, sokkal inkább rivaldafénybe kerülnek egy-egy incidens során, nem lehet a szőnyeg alá söpörni a történteket. Peter Firstbrook, a Gartner kutatási alelnöke szerint emiatt a biztonsági és kockázatkezelési szakemberek már nem az árnyékban, hanem a frontvonalban teljesítenek szolgálatot. A megnövekedett figyelmet kihasználva a szakterületek vezetői végre kiharcolhatják a folyamatos üzletmenethez szükséges fejlesztéseket, új szakértelmet, szakembereket vásárolhatnak a piacon. Hogy a kommunikációban ne legyen baki, az IT-vezetőnek egyszer és mindenkorra meg kell tanulnia az üzlet nyelvén beszélnie ahelyett, hogy IT-szakzsargonban fogalmazná meg a fejlesztési igényeket. Az üzleti döntéshozók ugyanis az üzlet nyelvét értik, ehhez kell igazodnia a CIO-nak is.

 

Felhőbe költözik a biztonság

A vállalati biztonság és az azt biztosító infrastruktúra fenntartása hatalmas költségeket, szakértelmet igényel, így nem meglepő, hogy egyre több cég dönt a felhőalapú IT-biztonsági szolgáltatások mellett. A cloud jelentette biztonsági termékek és szolgáltatások agilisak, az új detektáló módszereket és megoldásokat sokkal gyorsabban telepítik, mint az on-site termékeket. Ám a felhőalapú biztonság nemcsak az jelenti, hogy a hagyományos szervereket a felhőbe költöztetjük. Az IT-vezetőknek olyan megoldások után kell nézniük, melyek teljes egészében kihasználják a felhő jelentette plusz lehetőségeket, és új adatokat szolgáltatnak a rendszerek működéséről. A kiszolgáló személyzet továbbfejlődik értékteremtő kollégává, a machine learning megoldások figyelik és optimalizálják biztonsági rendszereink működését, az API-alapú hozzáférés meg új lehetőségeket, szolgáltatásokat teremt kollégáinknak.

Biztató, hogy a fogyasztóknak szánt IoT-termékekben is megjelentek az emelt szintű biztonsági megoldások. Az IoT-eszközök biztonságának szabványosítása még hátravan, ám pozitív jel, hogy a brit kormány idén nyár elején egy sor javaslatot fogalmazott meg az eszközök gyártóinak (lásd keretes írásunkat), melyek betartásával biztonságos okoseszközöket építhetnek.