A bankok negyede tapasztal informatikai visszaéléseket

Írta: IT café
Forrás: IT café
2012-12-19 17:06

Nyolcadik alkalommal készítette el a Deloitte a pénzintézeti szektorra vonatkozó globális információbiztonsági felmérését. A felmérésben a világ legnagyobb pénzintézeteinek képviselői közül több mint 250-en vettek részt válaszadóként 39 országból, köztük hazai pénzintézetek vezetői is. A vizsgált bankok negyede, a biztosítótársaságok 40 százaléka számolt be arról, hogy informatikai visszaéléseket tapasztalt az elmúlt egy évben.

A válaszadók kétharmada állította, hogy a cégüknél az információbiztonság és az üzleti tevékenység összefonódik. A megkérdezettek több mint 50 százaléka szoros munkakapcsolatot tart fenn a működési kockázatok kezeléséért felelős szervezeti egységgel és aktívan együttműködik a vállalati kockázatkezelési funkcióval. A válaszadók szerint az elmúlt évben elsősorban az információbiztonsági irányítási rendszerek, a jogosultságok és hozzáférések kezelése, valamint az információbiztonsági stratégia volt számukra a legfontosabb célterület. Az elmúlt évekhez hasonlóan idén is úgy nyilatkoztak a válaszadók, hogy a megfelelő források hiánya (44%) és az egyre kifinomultabb informatikai fenyegetések (28%) azok a tényezők, amelyek a leginkább megnehezítik a hatékony információbiztonsági rendszerek kiépítését.

A közösségi média, mint kockázat

A közösségi média használatának elterjedésére reagálva a válaszadók 37 százaléka alakította át a mindennapi vállalati működés rendjét, míg a biztonsági kockázatok csökkentése érdekében 33 százalékuk igyekszik felhívni munkatársai figyelmét a közösségi média csatornák használatának veszélyeire. A vizsgált pénzintézetek jelentős része már felmérte a cloud computingban rejlő lehetőségeket: a megkérdezettek 40 százaléka ennek ellenére azt nyilatkozta, hogy eddig még nem alkalmazott cloud computing megoldásokat. Ennek okaiként a technológia kiforratlanságát, a biztonsági kockázatokat, valamint az adott pénzügyi vállalkozásnak a technológia bevezetésére való alkalmatlanságát jelölték meg. Számos cég alkalmazza (vagy tervezi, hogy a közeljövőben alkalmazza) ugyanakkor a mobil VPN, a központi eszközkezelés, illetve a mobil eszközkezelés módszereit a cég mobilitási programja keretében.

A válaszadók 50 százaléka ennek ellenére nem is tervezi, hogy adathalászat megakadályozására szolgáló szoftvereket, külön-külön az alkalmazottaknak és a vevőknek szánt alkalmazásokat, valamint mobileszközök adatvesztését megakadályozó megoldásokat rendszeresítsen a vállalatnál. Ami a mobil eszközök használatát illeti, a vizsgált bankok képviselői szerint a három legfontosabb biztonsági intézkedés: a felhasználási irányelvek megfelelő alkalmazása a fogyasztókkal szemben, a mobil eszközök biztonságos használatának népszerűsítése, valamint a bonyolult jelszavak használatának kötelezővé tétele.

Adatvédelmi veszélyek

A válaszadók szerint az elmúlt évben a legfontosabb fenyegetéseket az informatikai rendszereket érintő csalások, a saját dolgozók hibái és mulasztásai, valamint a belső, üzleti adatokkal kapcsolatos visszaélések jelentették. A megkérdezettek háromnegyede rendelkezik kifejezetten adatvédelemre szakosodott munkatársakkal és általánosságban elmondható, hogy a pénzintézetek egyre több figyelmet fordítanak a bizalmas adatok védelmére, illetve egy önálló adatvédelmi részleg kialakítására. A vizsgált pénzügyi vállalkozások 49 százaléka nyilatkozott úgy, hogy aktívan dolgozik a cég sebezhetőségének csökkentésén – a cégek 82 százaléka emellett igyekszik proaktívan megvédeni a vállalati környezetet az újabb és újabb fenyegetésektől.

A felmérésben részt vevő pénzintézetek nagy része üzemeltet biztonsági műveleti központot (Security Operation Center – SOC) az adatforgalom és az adatok nyomon követése, valamint a biztonsági incidensek és visszaélések hatékony kezelése érdekében. A válaszadók több mint fele állította, hogy vállalkozása saját maga irányítja a biztonsági műveleti központot, így pontosabb képet kaphat az információbiztonsági problémákról és hatékonyabban irányíthatja a cég tevékenységét.

Hogyan tartható fenn a vállalati információbiztonsági rendszerek hatékonysága?

Az egyre fokozódó szabályozói nyomás hatására a felmérésben vizsgált bankok folyamatosan fejlesztik biztonsági rendszereiket. A válaszadók közel 80 százaléka ítéli meg úgy, hogy biztonsági rendszereik legalább 3-as (pontosan meghatározott és dokumentált standard folyamatok, a rendszert folyamatosan továbbfejlesztik), vagy annál magasabb szinten vannak.

A biztonsági rendszerek fejlődése ellenére a vizsgált bankok mintegy negyede számolt be arról, hogy informatikai visszaéléseket tapasztalt az elmúlt egy évben. A megkérdezett bankok szerint az átvilágítások során feltárt három leggyakoribb hiányosság a hozzáférési jogosultságok felesleges osztogatása, a munkakörök nem megfelelő szétválasztása, és a nem megfelelően dokumentált biztonsági előírások és standardok a vállalatnál. Annak ellenére, hogy a vizsgált bankok több mint 70 százaléka az informatikai költségvetésének legalább 1-3 százalékát az információbiztonsági rendszerre költi, a válaszadók szerint a megfelelő költségvetés hiánya az első számú akadálya a hatékony rendszerek kiépítésének.

A kiszervezett információbiztonsági tevékenységek között a sebezhetőségek vizsgálata és a behatolási tesztek állnak első helyen (72%-kal). Ezeket követik a fenyegetések kezelésére és nyomon követésére irányuló szolgáltatások 24 százalékkal.

Szűk költségvetés nehezíti a felkészülést a biztosítóknál

A megkérdezett biztosítótársaságok nagy része szerint a biztosítószektorban a megfelelő források hiánya az első számú akadálya a hatékony információbiztonsági rendszer kiépítésének. A másik legfontosabb hátráltató tényező az átláthatóság és a vállalaton belüli befolyás, a felsővezetői támogatottság hiánya. A válaszadók közel 70 százaléka állította az ügyféladatokkal kapcsolatos visszaélésekkel kapcsolatban, hogy a cég információbiztonsági rendszere legalább a már említett 3-as, vagy afeletti szinten van.

Bár a cégek egyre nagyobb hangsúlyt fektetnek az adatokkal való visszaélések megelőzésére, a vizsgált 46 biztosítócég mintegy 40 százaléka az elmúlt egy évben legalább egy alkalommal visszaélést tapasztalt. A biztosítószektorban dolgozó alkalmazottak egyre több virtuális és mobil terméket, illetve szolgáltatást igényelnek. Nem meglepő tehát, hogy a megkérdezett biztosítócégek több mint 80 százalékánál használnak céges, vagy az alkalmazottak saját tulajdonában lévő mobil eszközöket. A mobil eszközök használatának terjedésével párhuzamosan a vizsgált biztosítócégek több mint 45 százaléka számolt be arról, hogy az elmúlt egy évben legalább egy visszaélést tapasztalt.

A biztosítótársaságok számára idén az adatvédelem és az információbiztonsági irányítási rendszerek jelentették a két legfontosabb célterületet. A vizsgált biztosítócégek 57 százaléka véli úgy, hogy rendelkezik a szükséges erőforrásokkal (műszaki és egyéb kapacitásokkal) ahhoz, hogy megfelelően tudja kezelni az ügyfelek bizalmas adatait.

Hozzászólások (0)

Kapcsolódó cégek:
Deloitte

Azóta történt

Több tízmillió hardvert érintő, súlyos sebezhetőség

A frissítésig nincs más megoldás: ha érintett az adott eszköz, el kell távolítani a rendszerből, vagy pedig tiltani kell a UPnP-t. A felfedező biztonsági cég segítségképpen kínál egy diagnosztikai eszközt.

Biztonság 2013-01-29 76
A munka mellett az adatokat is hazavisszük

Több mint 1,2 millió hazai munkavállaló szokta hazavinni vagy e-mailben hazaküldeni magának a munkahelyi dokumentumait.

Biztonság 2013-01-31 16
Újra magyar bankkártyák kerültek veszélybe

Az elavult technológia csak lassan kopik ki, így nem árt elővigyázatossági intézkedéseket tenni.

Biztonság 2013-02-04 48
Internetbankolási csalássorozat: lehet, hogy nem kapjuk vissza az ellopott pénzt

Az sms a legjobb védelem a hamis utalások ellen, de egyes bankok épp erre hivatkozva tagadják meg a kártérítést.

Biztonság 2013-02-25 77

Előzmények

Megalakult az OWASP magyar tagozata

Az első rendezvény szlogenje szerint határvédelem helyett biztonságos fejlesztés: a biztonsági réseket a programozók maguk hozzák létre.

Biztonság 2012-11-29 12
A vállalatok fele nincs tisztában a kiberfenyegetésekkel

A Kaspersky szerint a képzés mellett komoly befektetésekre is szükség lenne a céges rendszerek megfelelő védelméhez.

Biztonság 2012-11-27 21
Nyomdabekapcsoló gomb és biztonság

A rendszergazdák napján készült felmérés talán legfontosabb tanulsága, hogy a mobil eszközök terjedése sok helyen egyelőre még nem járt együtt a szükséges biztonsági intézkedések meghozatalával.

Biztonság 2012-08-24 8

Percről percre

Eleglide C1 - a középérték

ma Szintet lépett az Eleglide, az egyébként egész korrekt M2 után a C1 sokkal komfortosabb közlekedésre alkalmas.

Kihívás a középkategóriában: teszten a Radeon RX 7600 XT

ph Az AMD Full HD felbontáshoz ajánlja a legnagyobb Navi 33 alapú GPU-ját, melyet a PowerColor tálalásában próbáltunk ki.

AGM M7 - elnyűhetetlen okostojás

ma Különös keveréke ez a telefon a nyomógombos strapamobiloknak és az érintős okostelefonoknak, de megvan a célközönsége.

Ülésezik a hardveregylet

ph Az irodai készülékek és monitorok társaságát egy ház, egy egér és egy DAC egészíti ki.

Motorola Moto G24 Power - hol van az erő?

ma Nagy az aksi, gyenge a hardver, amiből hosszú üzemidőre lehetne következtetni. Tényleg így van?

Aktív témák