Az elmúlt két évtizedben a bejelentett kiberincidensek közel egyötöde érintette a globális pénzügyi szektort, ami 12 milliárd dollár közvetlen veszteséget okozott a pénzügyi cégeknek – derül ki az IMF globális pénzügyi stabilitási jelentéséből. 2020 óta a közvetlen veszteségek becslések szerint 2,5 milliárd dollárt tettek ki. Az IMF-jelentés rámutat, hogy a bankok kiemelt célpontjai a bűnözőknek, és egy sikeres támadás esetén a veszteségek valószínűleg jóval nagyobbak, ha figyelembe vesszük a közvetett károkat és a bizalom veszteséget is.
A BankTechShow keretében készült körinterjúk során a hazai bankok és technológiai cégek vezetői is többször kiemelték, hogy a kiberbiztonság alapvető elvárás, és egy olyan összetett terület, amely szinte minden szektort érint. Alábbiakban olyan kiberbiztonsági trendeket mutatunk be, amelyek a legnagyobb fejtörést okozzák ma a pénzügyi szektorban is.
Kibervédelmi szakértőből soha nincs elég
A kiberbiztonsági szakemberek iránt világszerte egyre nagyobb a kereslet, ám ezzel párhuzamosan nő a képzett szakemberek hiánya is. A cégeknek olyan szakértőket kell találniuk, akik képesek megérteni, elemezni és azonnal reagálni ezekre a változó fenyegetésekre. Ugyanakkor a kiberfenyegetések globális emelkedésével úgy tűnik, jelenleg nem tud lépés tartani a szakemberképzés.
A technológia fejlődése – például a felhőalapú rendszerek térnyerése – szintén bővíti a támadási felületeket, amelyeket csak kevesen képesek megfelelően kezelni. Emellett a szerteágazó kiberbiztonsági előírások és szabályozások betartása is sok vállalat számára kihívást jelent.
A vállalatok ezt csak akkor tudják sikeresen megoldani, ha olyan szakértőket foglalkoztatnak, akik alaposan ismerik ezeket az irányelveket. Az ilyen specifikus tudással rendelkező szakembereket azonban nehéz megtalálni (és elcsábítani) a piacon.
A kiberbiztonsági szakemberek hiánya jelentős részben annak is köszönhető, hogy az ágazat gyors változása és az egyre növekvő terhelés miatt a kevés számú szakértő túlterhelt, ami gyakran kiégéshez vezet. Ennek következtében sokan elhagyják a pozíciójukat, ami nem csak a munkaerő-fluktuációt növeli, hanem tovább mélyíti a szakemberhiányt, miközben a vállalatok küzdenek tapasztalt dolgozóik megtartásáért.
,,Az IT üzemeltetési, fejlesztési és biztonsági team-ek már képtelenek hagyományos eszközökkel kezelni a folyamatosan termelődő, elképesztő méretű adathalmazt. Az adatok feldolgozási igénye jellemzően meghaladja az emberi kapacitást, ezért sok CIO attól tart, hogy szakértő kollégáik túlterhelődnek, ha nem találnak megfelelően automatizált megoldást.”
– utalt erre a problémára korábban a FinTechZone-nak Kertész Nelli, a Provice Informatika Kft. ügyvezető helyettese.
A szervezeteknek folyamatos erőfeszítéseket kell tenniük a képzettebb szakemberek bevonzására, megtartására és képzésére. Egy olyan speciális területen, mint a pénzügyi szektor, ez a jelenség még nagyobb kihívást jelenthet.
,,A munkaerőhiány és a tehetség bevonzása komoly fejtörést okoz, mivel a speciálisan a pénzügyi szektorban jártas informatikai szakembereket egyre nehezebb megtalálni.”
– világított rá korábbi interjújában Pintér Szabolcs, az SAP Hungary ügyvezető igazgatója is.
Egyre kifinomultabbak az adathalászati módszerek
A hackerek egyre kifinomultabb módszerekkel veszik rá az embereket arra, hogy kiadják érzékeny adataikat, vagy hajtsanak végre számukra előnytelen műveleteket.
A támadások előtt alapos kutatást végeznek, és az így megszerzett információk alapján olyan személyre szabott üzeneteket készítenek, amelyek megtévesztik az átlagfelhasználót. Közösségi média profilokból, vállalati webhelyekről és nyilvános platformokról szereznek adatokat, hogy ezekből felépített, hitelesnek tűnő e-mailekkel tévesszék meg az áldozatokat.
Egy másik gyakori módszer a vállalati e-mailek kompromittálása, ahol a támadó egy magas beosztású vezető nevében kér érzékeny adatokat vagy indít el átutalásokat.
Az SMS-alapú adathalászat kísérletek is mindennapossá váltak; ebben az esetben a hackerek megtévesztő szöveges üzeneteket küldenek rosszindulatú linkekkel, amelyekre kattintva érzékeny adatokhoz férhetnek hozzá.
,,Öt évvel ezelőtt jóval kevesebben ismerték a „phishing” fogalmát, manapság már mindennaposak a hírek, hogyan kerültek jóhiszemű banki ügyfelek adathalászok hálójába, akár hatalmas összegeket elveszítve. Az ilyen támadásnak rendkívül magas költségei vannak ügyféloldalon, és a banki oldalon egyaránt.”
– nyilatkozta korábban a FinTechZone-nak Zotter Balázs, a Finshape Hungary CTO munkatársa.
A mobil az új célpont
Míg korábban a kiberbiztonsági figyelem inkább a laptopokra és asztali számítógépekre irányult, ma már az okostelefonok és táblagépek kerültek előtérbe, mivel ezeket a felhasználók mindennapi tevékenységeik során sokkal gyakrabban használják.
Szinte mindenkinek van okostelefonja, ezért a hackerek ma már sokkal inkább ezen keresztül próbálják elérni a lehető legtöbb áldozatot. A mobilokon rengeteg érzékeny adatot, például e-maileket, címeket, pénzügyi információkat és belépési adatokat tárolunk, amelyeket a bűnözők könnyen felhasználhatnak pénzügyi csalásra vagy személyazonosság-lopásra.
A mobilbanki és fizetési alkalmazások jelenléte az okostelefonokon különösen vonzóvá teszi ezeket az eszközöket a támadók számára, hiszen ma már szinte mindenki okostelefonon keresztül intézi a pénzügyeit.
A csalók ezt kihasználva aktívan keresik a lehetőségeket arra, hogy hozzáférjenek a felhasználók pénzügyi adataihoz és egyéb személyes információkhoz, amelyekkel nagy kárt okozhatnak. Persze a kényelem kockázattal jár és abban az időpillanatban, amikor a bankok kinyitották rendszereiket az internet felé, egy teljesen új, nagyon nehezen védhető világba kerültek.
További kockázatot jelent az, amikor a vállalatok engedélyezik, hogy a munkavállalók saját eszközeiket használják munkahelyi feladatokra. Ilyenkor az alkalmazottak a személyes eszközeiken keresztül kapcsolódnak a vállalati hálózatokhoz, és ezáltal érzékeny adatokat is megoszthatnak, ami növeli a szervezet sebezhetőségét.
A kiberbiztonság a vezetők stratégiai felelőssége is lett
A vállalatok vezetése (nagyon helyesen) felismerte, hogy a kibertámadások pénzügyi veszteséget, hírnévkárosodást és jogi szankciókat okozhatnak, ezért ezeket a kockázatokat nem hagyhatják figyelmen kívül.
A vezetők és tulajdonosok számára különösen a kibertámadások pénzügyi hatásai aggasztók: az adatvédelmi incidensek, helyreállítási költségek és jogi eljárások súlyosan érinthetik a vállalati eredményeket.
Mára a döntéshozói, tulajdonosi kör számára is kiemelt stratégiai kérdéssé vált a kibervédelem, nem csupán az IT-csapatok feladata.
A kormányzati szervek és szabályozók világszerte egyre szigorúbb kiberbiztonsági előírásokat vezetnek be, amelyeknek való megfelelés elengedhetetlen a jogi és pénzügyi szankciók elkerülése érdekében.
,,Mindenkit érintő téma a kiberbiztonságot megerősíteni hivatott európai uniós DORA-megfelelés (Digital Operational Resilience Act – Digitális működési ellenálló képességről szóló törvény). Szerencsére a hazai szabályozás eddig is szigorúbb volt sok európai ország hasonló elvárásainál, így – bár sok tennivaló van – a hazai bankrendszer általános kiinduló helyzete nem rossz.”
– nyilatkozta korábbi interjújában Foltányi Tamás, az Erste Bank Informatikai és Operációs vezérigazgató-helyettese a szektor előtt álló szabályozói kihívásokról.
Az új szupersztár, a felhő is sebezhető
A vállalatoknak körültekintően kell eljárniuk a felhőalapú számítástechnika bevezetésénél, hiszen ennek az új technológiának számos kihívása is van.
,,A bankoknak mérlegelniük kell, hogy a teljes felhőbe költözés (public cloud) vagy egy hibrid felhőmodell lesz-e a legmegfelelőbb megoldás, különösen az érzékeny pénzügyi adatokat kezelő bankok esetében.”
– hívta fel a figyelmet Ákos György, a TC2 társalapítója korábbi interjújában.
A rosszul megtervezett API-k és a nem megfelelően védett interfészek sebezhetőségeket nyithatnak meg, amelyek lehetőséget adhatnak illetéktelen hozzáférésre, adatlopásra, vagy a felhőalapú erőforrások kihasználására.
A másik veszélyforrás a felhőszolgáltatók által alkalmazott megosztott felelősség modellje, amely szerint a szolgáltatók a felhőinfrastruktúra biztonságáért, az ügyfelek pedig a feltöltött adatok és alkalmazások védelméért felelnek. Ha nem megfelelő biztonsági protokollokat használnak vagy rosszul konfigurálnak, komoly sebezhetőségek alakulhatnak ki.
A felhő sebezhetőségei gyakran a hibás személyazonosság- és hozzáférés-kezelés miatt is előfordulnak. A túlzott jogosultságok biztosítása vagy a szükségtelen hozzáférések visszavonásának elmulasztása olyan adatsértéseket eredményezhetnek, amelyeket könnyű volna megelőzni.
A felhőbiztonsági kihívások további forrásai:
- Adatvédelmi incidens és nem megfelelő titkosítás: Bár a felhőszolgáltatók általában titkosítást alkalmaznak a tárolt és továbbított adatok védelmére, a helytelenül beállított vagy hiányzó titkosítás miatt érzékeny információk válhatnak elérhetővé.
- Korlátozott átláthatóság és ellenőrzés: A felhőkörnyezetek korlátozott átláthatósága miatt a felhőhasználóknak fejlett monitorozó eszközökre van szükségük, amelyek képesek folyamatosan figyelni és azonnal reagálni az anomáliákra.
- Megfelelőségi ellenőrzések hiánya: A felhasználóknak gondoskodniuk kell arról, hogy a felhőben tárolt adatok és alkalmazások megfeleljenek az iparági szabályozásoknak.
- Komplexitás és gyors változások: A felhőalapú rendszerek dinamikus fejlődésére jellemző gyakori frissítések biztonsági rést is okozhatnak, ha nem követik őket naprakészen és megfelelő odafigyeléssel.
- Hibás konfigurációk és gyenge biztonsági gyakorlatok: A helytelenül konfigurált felhőszolgáltatások, például adatbázisok vagy hálózati beállítások, növelik a biztonsági kockázatokat, ezért a felhasználóknak gondoskodniuk kell a megfelelő beállításokról és azok rendszeres ellenőrzéséről.
[Forrás: rswebsols] | Címlapfotó: stock.adobe.com | Licenc: FinTech Group Kft.