Az informatika egyre nagyobb befolyásával, a felhő alapú szolgáltatásokkal, a big data hálózatokkal és más technológiai újításokkal egyre nő a vállalkozások kiberbiztonsági kockázata is. Cikksorozatunk tovább bővül, az első rész után most a másik „két nagy” céget, az Ernst&Young-ot és a PwC-t kérdeztük a lehetséges veszélyekről és megoldásokról.
Kérdéseinkre az Ernst & Young oldaláról ezúttal Zala Mihály, az üzleti tanácsadási szolgáltatások üzletág igazgatója válaszolt, míg a PwC Magyarország képviseletében Gyimesi Csaba, a vállalati kockázatkezelési tanácsadás terület IT és kiber-kockázatokkal foglalkozó szenior menedzsere állt rendelkezésünkre
Milyen a helyzete ma ennek a területnek és milyen módszertani, technológiai lehetőségei vannak a jövőben?
Zala Mihály: A digitalizáció gyorsulását jól mutatja az internethez csatlakozó eszközök számának emelkedése. Jelenleg világszerte mintegy 15 milliárd eszköz van felkapcsolva az internetre, mintegy 5 milliárd felhasználóhoz köthetően. 2020-ra ez a szám 55 milliárd eszközre és 7 milliárd felhasználóra fog emelkedni, ha a közeljövőben maguknak az eszközöknek is lesz IP címe.
A vállalatok számára természetesen a legfontosabb szempont az, hogy olyan hálózatokat építsenek, és üzemeltessenek, amelyek biztonságosak. Vagyis egyre nagyobb az információbiztonság jelentősége. Jelenleg ugyanakkor azt tapasztaljuk, hogy ma Magyarországon hiány van az olyan szakemberekből, akik nemcsak felhasználási, hanem információbiztonsági szempontból is megfelelő rendszereket fejlesztenek. Így a kiberbűnözők előszeretettel támadják a kis és közép méretű vállalatokat, ugyanis azt tapasztalják, hogy ezen a téren könnyebben érhetnek el sikert.
Gyimesi Csaba: Az informatika nemcsak egy eszköz, hanem az üzleti modell motorja is sok esetben. Nem csak a nagy cégek sajátja, gondoljunk csak a startupokra, melyek mind valamilyen IT-megoldást alkalmaznak a fő tevékenységükhöz. Vagy a FinTech vállalatokra, elektromos autókra, smart city koncepciókra, melyek megreformálják a saját piaci környezetüket.
Ezek a merőben új működési koncepciók, gyorsan és innovatívan változó informatikai megoldások mind kihívásokat tartalmaznak nem csak az üzleti modellben, de információ-biztonsági vonalon is.
Manapság népszerűnek mondhatók a felhő alkalmazások, sok szolgáltatás hirdeti ezek előnyeit, de amikor a biztonságáról van szó – a szakmán kívül – akkor még mindig nagy a bizalmatlanság. Mit szabad és mit nem szabad felhőbe tenni? Mennyire érzékeny az adat? Anonimizáljuk?
Ezzel szemben például az USA-ban már az a gyanús, ha valaki nem egy felhő-szolgáltatónál tartja az adatait, akkor számíthat szigorúbb ellenőrzésre. Ehhez persze az is kell, hogy a szolgáltatókat tanúsítják, az IT-auditok jelentős része a felhőszolgáltatások auditját jelenti, melyről megfelelőségi riportokat kapnak. A közelmúltban kiadott IT-biztonságról szóló felmérésünk is azt mutatja, hogy világszinten 63% szervezi ki az IT- működését a felhőbe, Európában még jóval kevesebben, 39%.
A másik nagy trend a big data. Az 5. PwC Magyarországi Vezérigazgatói Felmérés leírja, hogy a magyar vállalatvezetők 40%-a (világszinten 68%) gondolja azt, hogy az adatvezérelt (big data) informatikai megoldások fejlesztése jelenleg a legjobban megtérülő informatikai befektetés.
A big data az IT- és biztonsági auditra más hatással is van, megreformálja az auditok módszertanát. A hagyományos kontroll alapú, top-down megközelítés helyett teret kap a strukturált adatok teljes letöltésével járó, adatokból azonosított trendek alapján történő, bottom-up megközelítés. Ehhez mi is célszoftvereket és vizualizációs eszközöket fejlesztünk és használunk, automatikus teszteket futtatunk, és ezek kiválasztása és elemzése a kreatív feladat. Ennek az is hozadéka, hogy nem csak az audit, de a vállalati és az IT-biztonsági kontrollok is adatvezérelté válhatnak, hatékonyabbá téve a védekezést és felismerést. Infóbiztonsági felmérésünk szerint világszinten bő 55% már használ ilyen eszközöket, Európában kb. 45%.
Nem hagyható ki az Internet of Things avagy IoT sem, hiszen a piac sokszorozódását várjuk 2020-ra. Az IoT-ben nagy lehetőség van, a különféle szenzoroktól kezdve a drónokon át az ipar 4.0-ig vagy a smart city megoldásokig.
Itthon bár elérhető, még nem igazán elterjedt a kiberbiztosítás, azaz a kiberincidensek által okozott kár biztosítása. A friss infóbiztonsági felmérésünk alapján a kiberbiztosítást alkalmazók több mint a fele javított a biztonsági felkészültségén, hogy csökkentse a biztosítási díját.
Összességében a kihívás infó-biztonsági területen az, hogy lépést tartsanak a cégek a technológiai fejlődéssel biztonság terén is. Ne reaktívan, szabályozások vagy incidensek mentén gondolkozzanak ezen, hanem előre, a tervezési szakaszban.
Hogyan befolyásolják a várható változások a szakemberek iránti keresletet? Milyen kompetenciákra van a leginkább szükség?
Zala Mihály: Ahhoz, hogy a vállalatok és sokszor az egyének szintjén is tudjunk javítani a biztonság minőségén, szükség lenne a megfelelő szakemberek képzésére. Jelenleg felsőoktatási szinten sem létezik kiberbiztonsági képzés. Már most is több ezer IT security szakemberre lenne szükség a magyar piacon, ehhez képest mindössze néhány tucat szakértő dolgozik, ráadásul rendkívül eltérő minőségű és mélységű tudással.
Nemcsak kipróbált és naprakész tudással kell rendelkeznie ugyanakkor a vállalatoknál elhelyezkedő szakembereknek, de a technikai ismeretek mellett legalább olyan fontos a megfelelő szemléletmód elsajátítása, az információ üzleti szerepének megértése is. A vállalati adatvagyon védelmét önmagában műszaki megoldásokkal nem lehet megvalósítani, az eljárásrendek megfelelő kialakítása és az emberi tényező kezelése kulcsfontosságú. Az aktív és proaktív védekezés megvalósításához a jó biztonsági szakértőnek a people, process, technology szentháromságban kell tudnia gondolkodni.
A terület szakértőire jellemző, hogy alacsony számuk miatt ismerik is egymást. Azokat a szakembereket, akik már elértek egy bizonyos szintet, számos ajánlattal keresik meg külföldről is, tovább növelve a többezres szakemberhiányt.
Úgy gondolom, hogy hosszú távú együttműködésre van szükség az állami és a vállalati szektor, valamint az egyének között. Szükség van egy jogi feltételrendszer kialakítására, ami elősegíti a szakterület fejlődését, az ipar fejlesztési céljai között olyan feladatoknak kell szerepelnie, amire valóban van kereslet a privát és az állami szférából egyaránt.
Hogyan sajátítható el a megfelelő tudás és mi segítheti a terület iránt érdeklődők szakmai fejlődését?
Zala Mihály: Létezik néhány tanfolyam, ami jó minőségű képzést nyújt, de emellett a terület folyamatos változásai miatt kiemelten fontos az önképzés is és hogy a szakemberek a képzéseken kívül is tisztában legyen a legújabb trendekkel és felkészüljenek azokra. Az ilyen speciális képzések természetesen műszaki hátteret feltételeznek és még a sikeres képzés után is fontos néhány évnyi tapasztalatszerzés, hogy valóban szakértőket képezzünk ki.
A terület folyamatos változásai miatt kiemelten fontos az önképzés is, sőt, a szakembereknek a képzéseken kívül is követniük kell a legújabb trendeket, hogy felkészülhessenek és érdemben tudjanak reagálni az aktuális kihívásokra.
Gyimesi Csaba: A jövőben sokat fog változni az „IT-auditor” képe. Több adatkezelési tudás kell például az adat-vezérelt auditokhoz, kicsit több technikai tudás a kockázatok meghatározásához és az automatizált tesztek eredményének értelmezéséhez. Nyitottságra is szükség van, a merev biztonsági intézkedések nem alkalmazhatóak a dinamikusabb környezetben, de az alapelveket nem szabad elhagyni, azokat adaptálni kell tudni.
Korábbi cikkünk IT biztonság témában a másik két Big4 céggel itt olvasható.