Szakértelem és pénz - míg tíz évvel ezelőtt mindkettő kellett egy jól kivitelezett hackertámadáshoz, addig ma már egyik sem szükséges feltétlenül még egy bonyolultabb kibertámadás kivitelezéséhez sem. A technológia fejlődésével a belépési küszöb mind költség, mind tudás vonatkozásában nagyon alacsonyra került a kiberbűnözésben is, miközben az "iparág" működése hihetetlenül szervezetté és professzionálissá vált.
A kiberalvilág piacterein az akár szolgáltatásként elérhető eszközök mellett a célpontként szolgáló felhasználói adatok százezrei is szinte fillérekért megvehetők, így bárki könnyen indíthat támadásokat, és már egy-két próbálkozással számottevő értékű zsákmányra tehet szert. Várható, hogy a következő években egyre többen akarnak majd kiberbűnözés útján pénzhez jutni. Világszinten az adatvédelmi incidensek összköltsége - az okozott kár és a támadásokkal szembeni védekezés költségét is beleértve - 2024-re már meghaladhatja az 5 billió dollárt, és a felmérések szerint 10 cég közül 8 már ma is tapasztalja a kiberfenyegetettség növekedését.
- Századunkban az adatlopás lett az új zsebtolvajlás, a szélhámosok helyébe mára jól öltözött, nyelveket beszélő kiberbűnözők léptek - mondta Wittinghoff Dániel, a Mastercard kiberbiztonsági megoldásokért felelős üzletfejlesztési igazgatója. - Mégis úgy tűnik, alig veszünk tudomást a digitális térben ránk leselkedő veszélyekről: az adatbiztonsági események 95 százaléka ugyanis emberi hibák miatt következik be. Ideje, hogy komolyan vegyük a fenyegetéseket, mert a digitális átalakulás, az automatizáció és a mesterséges intelligencia nemcsak az legitim vállalkozásokat, hanem a kiberbűnözőket is segíti. Miközben AI-támogatással előállított, megtévesztő erejű adathalász levelek bombázzák őket, a vállalatok továbbra is különböző biztonsági rendszerek tucatjait hegesztgeti egymáshoz, hogy a biztonság hamis illúziójába ringathassák magukat. Pedig ahol 47 különböző elemből épül fel a kibervédelem, ott valójában maradnak a komoly kockázatok.
Identitás és ökoszisztéma, két gyenge láncszem
A Covid-19 óta eltelt, mindössze pár évben közel 1,1 milliárd új felhasználó jelent meg a neten, mutatott rá az ITU, az ENSZ telekommunikációs szervezete. A világjárvány alatt éveket léptünk előre a digitalizációban, de ugyanannyit vissza is léptünk a digitális tér biztonságát illetően. Tíz vállalat közül majdnem kilenc például szembesült már olyan incidensekkel, amelyeket az otthonról dolgozó alkalmazottak hibái idéztek elő. A Mastercard felmérései szerint Magyarország ezen a téren a sereghajtók közé tartozik.
- A kiberbiztonság nemcsak technológia, hanem vállalati kultúra kérdése is - tette hozzá Wittinghoff Dániel. - A technológia adott, a felhasználók adatkultúrája, biztonságtudatossága azonban nem tart lépést a fenyegetéskörnyezet fejlődésével, ami óriási kockázatot jelent. A kiberbűnözők ezért a következő években is előszeretettel használják majd ki ezt a sérülékenységet, a felhasználói identitás továbbra is az egyik legbecsesebb zsákmányuk lesz. A legtöbb kiberbiztonsági incidens mögött ugyanis illetéktelen kezekbe került digitális azonosítókat találunk, amelyek használatával a bűnözők bejutnak a vállalatok rendszereibe.
Hatékonyságukat azzal is növelik, hogy ott csapnak le, ahol a védelem a leggyengébb. Minthogy a kritikus fontosságú infrastruktúrák kibervédelme az elmúlt évtizedben magas szintre fejlődött, ma már minden bűnözői csoport tudja, hogy egy komplex digitális ökoszisztémában a támadást mindig a kevésbé védett szegmensben kell indítani. A digitális térben ehhez elegendő klónozni egy felhasználót, vagy célba venni egy beszállító partner rendszerét. Rajtuk keresztül a támadók bejuthatnak a központi hálózatokra, és értékes adatokat lophatnak, vagy fennakadást idézhetnek elő az ellátási láncok működésében.
A feltört felhasználói fiókokból indított támadások és csalások száma éppen ezért meredeken emelkedik. Aggasztó trend az is, hogy a harmadik féltől igénybe vett szolgáltatásokkal összefüggő incidensek már a cégek 59 százalékát érintik, de mindössze 16 százalékuk képes folyamatszinten kezelni ezeket a kockázatokat.
Szektorok a célkeresztben
A Mastercard felmérése szerint a kormányzati és közszolgáltatói szektort éri a legtöbb kibertámadás - Magyarországon is -, megelőzve a legvonzóbb célpontok listáján második helyen szereplő bankok és biztosítók párosát. A járműgyártás, a közlekedés, a logisztika és az áramszolgáltatás szintén a kibertámadásoknak leginkább kitett iparágak közé tartozik.
- Várható ezért, hogy hamarosan a mezőgazdaság és az élelmiszeripar kerül a támadók célkeresztjébe - mondta Wittinghoff Dániel. - A két terület ugyanis belépett már a digitális világba, védelmi- és biztonsági gyakorlata, szemlélete azonban még kevéssé fejlett, ebből eredő kockázatai jórészt feltáratlanok. A vállalatok ezekben az iparágakban jó gyakorlatot vehetnek át a bank- és pénzügyi szektor, valamint a közigazgatás tapasztalataiból, ahol a digitális biztonság prioritása és szabályozása hagyomány szerint erős.
A törvényi szabályozás - mint például az európai uniós DORA és NIS2 rendelet - ma már a többi, kritikus fontosságú iparágban is kötelezővé teszi a megfelelő digitális védelem kiépítését mind a szereplőknek, mind beszállítóiknak. A kiberbiztonsági szabályok új ágazatokra és szervezetekre történő kiterjesztése mellett a - korábbi NIS rendeletet frissítő - NIS2 nagyon fontos eleme, hogy a hatálya alá tartozó cégek a beszállítóik kiberbiztonsági szintjéért is felelnek, ezért ezt a vállalati kört is hatékony védekezésre fogják bírni. Magyarországon, ahol a kkv-szektor kiberbiztonsági védelme és kultúrája kevéssé fejlett, a NIS2 így jelentős előrelépést hozhat.
Digitális vállalat újratöltve
A Mastercard olyan terület, a fizetési iparág szereplője, amelyet a kiberbűnözés immár három évtizede célkeresztjében tart. A vállalat napi egymilliárd tranzakciót bonyolít le a gyorsaság, a kényelem és a biztonság igényét szem előtt tartva. Folyamatosan figyeli eközben a digitális ökoszisztéma fejlődését és összetetté válását, és mostanáig több tucat technológiai céget is felvásárolt, hogy fizetési szolgáltatóból digitális szolgáltatóvá váljon.
- Nagyot léptünk előre az elmúlt öt évben a digitális fizetési rendszerekben elkövetett csalások azonosításában, egy tranzakció biztonsági elemzését mindössze 50 ezredmásodperc alatt elvégezzük - mondta Wittinghoff Dániel. - Ugyanakkor a Mastercardnál kevesen tudhatják jobban, hogy a tranzakciók biztonságát nem elég a fizetés pillanatában garantálni, hanem azt az ügyfélkapcsolat teljes tartama alatt biztosítani kell. Kiemelt figyelmet fordítunk ezért a kiberbiztonságra, képességeinket többek között olyan speciális területen is bővítettük, mint a felhasználói identitáskezelés, a kockázatelemzés, vagy például a felhasználói viselkedés elemzése, amely szintén kulcsfontosságú szerepet kap a kibervédelemben.
Ma a digitális ökoszisztémákban a kiberbiztonság az egyik legégetőbb probléma, amelynek kezelése rendkívül nagy terhet ró a szervezetekre. A Mastercard ezért olyan vállalatok számára is elérhetővé teszi a legkorszerűbb technológiákat, amelyek saját erejükből nem lennének képesek a megfelelő védekezésre, mert ehhez például nincs elég szakemberük. Számukra az eszközöknél lényegesen többet, szakértelmet is ad a hatékony kibervédelmi rendszerek kiépítéséhez, de megoldásaival még ennél is tovább megy.
- Globális vállalatként, adatokra épülő lokális tapasztalataival a Mastercard 2.0 minden szervezetet hozzásegít a lehetőségek kiaknázáshoz, amelyeket a digitális ökoszisztémák adatalapú világa kínál a digitálisan átalakuló vállalatoknak - mondta a Mastercard szakértője. - Fejlett marketingeszközöket adunk például a vásárlói élmény személyre szabásához és minden digitális csatornán (web, mobil, push, email) átívelő összehangolásához, a legjobb ajánló rendszerek, a leghatékonyabb, üzletileg is kifizetődő hűségprogramok kialakításához. A mesterséges intelligencia képességeivel teljes piaci folyamatokat modellezünk például üzletnyitáshoz, a bolt eszményi helyének kiválasztásához, a vonzó kínálat összeállításához és a promóciós kampány indításához. YourPass alkamazásunk pedig a digitális pénztárcák használatát forradalmasítja. Segítségével többek között biztosítási kötvények, névjegyek, NFT-k, hűségkártyák költöztethetők a mobiltelefonba, és ott távolról, dinamikusan kezelhetők. A vállalatok így minden nap más termékekre érvényes kedvezménykuponokat élesíthetnek ügyfeleiknél, mindkét fél számára gyümölcsözőbbé tehetik a kialakított, személyre szabott kapcsolatot.
