Informatikai felhő, a dolgok internete (IoT), mobil eszközök… Néhány éve még közel ismeretlenek voltak ezek a fogalmak. Az utóbbi években felgyorsult digitális innováció nemcsak az informatikai eszköztár kibővülését eredményezte, hanem a céges informatikai hálózatok struktúrájának és funkcionalitásának az átalakulását is.
A gyors változások egyik következményeként a vállalkozások IT infrastruktúrája rendkívül összetetté, ugyanakkor töredezetté vált. Mindez amellett, hogy megnehezíti a hálózat működtetését, karbantartását, utat engedett a sikeres kibertámadásoknak is, mégpedig úgy, hogy az egyes incidensekre eső károk is egyre nagyobbak.
- A 24 hónapon belüli hálózatfeltörésből származó adatvesztés - az egyik leggyakrabban alkalmazott hálózatbiztonsági mérőszám - valószínűsége egyre növekszik.
- A betörések észlelésének és feltartóztatásának átlagos ideje 279 nap.
- Az okozott kár egy év alatt 3,86 millió dollárról 3,92 millió dollárra nőtt.
Bár az idézett adatok amerikai forrásokból származnak, idehaza sem jobb a helyzet. Az informatikai tudatosság és a kiberbiztonsági költések alacsonyabb szintje miatt a magyar vállalkozások többsége komoly biztonsági kockázatot vállal.
Annak ellenére, hogy a statisztikákban nyilván szerepet játszik a kibertámadások egyre kifinomultabb kivitelezése, és a védekezési stratégiák elavultsága is, kétségkívül a hálózatok túlzott komplexitása az egyik legjelentősebb rizikófaktor. Ezt a véleményt igazolja az a tény is, hogy az adatvesztéssel járó incidensek 52 százalékát emberi tévedés, vagy a rendszer valamilyen hibája okozza.
Kihívások a informatikai hálózatért felelős vezetők előtt
Az egyre bonyolultabbá váló hálózatok további növekedését megelőzendő a vezetőknek 3 területre érdemes fókuszálni:
- Az olyan esetek számának csökkentése, melyek során csak egyetlen üzleti igényt fed le egy új eszköz hálózatba integrálása. Ezek az estek rontják az átláthatóságot és csökkentik az eredményességet.
- Munkatársak képzése: Csak kevés alkalmazott képes biztonságosan kezelni a rendelkezésére álló IT eszközöket és a kapcsolódó munkafolyamatokat, ráadásul a kulcspozícióban lévő embereket folyamatosan képezni kell ahhoz, hogy képesek legyenek ellátni a feladataikat.
- Jogszabályoknak való megfelelés: Miközben az emberek már amúgy is túlterheltek, az állandóan változó törvényekhez, jogszabályokhoz alkalmazkodó compliance feladatokat - tipikusan jelentések és auditok összegyűjtését - csak kézi munkával lehet elvégezni.
Túl sok a pontszerű eszköz
Az informatikai hálózat egyes pontjain alkalmazott önálló eszközök megnövelik a céges IT hálózatok és menedzselésük komplexitását. Egy átlagos vállalkozás 75 (!) különböző kiberbiztonsági eszközt használ. Sok közülük egyetlen támadási irányt, vagy compliance követelményt szolgál ki. A szervezeteknek a különböző infrastrukturális környezetekhez (pl. adatközpont, virtuális szerverek, nyilvános felhő) eltérő biztonsági eszközök kellenek. Gyakran ezeket különböző csapatok menedzselik, ami az eljárásrendek, vagy az ellenőrzés koordinálásánál működési zavarokat okozhat.
Az egymástól elkülönülő, önálló silókban működő eszközök szétbontott architektúrákat képeznek, ahol az egymástól eltérő megoldások nem képesek kommunikálni egymással. A pontszerű alkalmazások zavarossá teszik a hálózatot és rengeteg plusz feladat elé állítják a hálózatbiztonsági szakembereket, mivel nincs megfelelő rálátásuk, hogy mi is történik a cégnél. Az így működő szervezeteknél a hálózatbiztonságért felelős csapatnak nincs egy olyan, központosított eszköze, aminek segítségével monitorozhatná az adatok mozgását, és azonosíthatná a rendellenes működést. A sok manuális munka és felesleges adminisztratív teendő miatt a hálózatbiztonsági szakemberek rengeteg értékes időt vesztegetnek így el.
Az ilyen szervezetek elakadnak, örökre reaktív működési módban maradnak, ami nagyon megnehezíti a stratégiai tervezést, az infrastrukturális változásokra és az új kiberfenyegetésekre való felkészülést.
Hiányoznak a gyakorlott kiberbiztonsági szakemberek
A pontszerűen működő, egymáshoz nem kapcsolódó biztonsági megoldások gyakran együtt járnak a rendszert menedzselni képes képzett hálózatbiztonsági szakemberek hiányával. Ha vannak is a cégnek megfelelő szakemberei, azokat lekötik a túlbonyolított infrastruktúrák fenntartása.
A legtöbb ilyen, decentralizált kiberbiztonsági rendszert működtető cégnél nincs szakember arra, hogy minden biztonsági jelzést kivizsgáljon, a riasztások okait felfedje. A manuális biztonsági folyamatok lassítják a működést, miközben a céget jelentős kockázatoknak teszik ki. (Tovább tart a potenciális biztonsági események detektálása, és a veszélyelhárítás, illetve a helyreállítás is. Meglepő módon még az önálló IT csapattal rendelkező, vezető nagyvállalatoknál is gyakran nehézséget okoz a saját hálózat monitorozása és nyomon követése annak, hogy milyen eszközökkel kapcsolódtak a hálózathoz, ki fér hozzá az adatokhoz, hol tárolják azokat, milyen erőforrásokra van szüksége az alkalmazásoknak és a munkafolyamatoknak.
A fizikai vizsgálatok, a kutatás, a potenciális biztonsági problémák megoldásának időigényességén túl az emberi hiba is jelentős faktor, amit figyelembe kell venni, ha működés általános hatékonyságát vizsgáljuk. A tévedések, a hibás konfigurációk a biztonsági rések keletkezése a hálózati leállások leggyakoribb okai közé tartoznak. A megfelelő automatizációs és a biztonsági eszközöket összehangoló eszközök hiányát mutatja, hogy az elmúlt 10 évben folyamatosan nőtt a biztonsági rések felfedezésének és helyreállításának az ideje is.
Compliance - növekvő kockázat és felelősség
A szabályoknak, előírásoknak való megfelelés tovább bonyolítja a hálózatért felelős vezető életét. A követelmények folyamatos növekedésével a cégek felelőssége (és a rájuk nehezedő nyomás) is egyre nő. Az előírások, rendeletek be nem tartása pénzbüntetéssel, szankciókkal, a reputáció csökkenésével, végül az üzleti eredmények romlásával jár. (A PWC egy 2019-felmérése szerint a vevők 85 százaléka nem vásárolna egy olyan cégtől, amelyikkel szemben biztonsági aggályok merülnek fel.)
A hazai vállalkozások szempontjából első helyen mindenképpen az EU közös adatvédelmi szabályozását, a GDPR-t érdemes megnevezni, de fontos lehet még az ISO 27001 is. A nemzetközi terepen is működő vállalkozásoknak a CIS, az NIST, a COBIT és már nemzetközi szervezetek előírásait és ajánlásait is figyelemmel kell követniük.
A szabályoknak, törvényi előírásoknak való megfelelés önmagában is rengeteg feladatot jelent. A folyamatos változások követésével együtt ez már akkora kihívást jelent a cég munkatársai számára, aminek szinte lehetetlen megfelelni. A compliance management olyan szerteágazó, nehézkes, időigényes tevékenység, amire a nagy vállalatok egész részleget tartanak fenn. A hálózat több helyén, pontszerűen működő egységek esetében a megfelelőségi vizsgálatokhoz a belőlük nyert adatok aggregálása és normalizálása szükséges. Ehhez olyan munkatársakra van szükség, akik kiválóan ismerik minden eszközt, az auditáló programokat, azok kezelési felületeit. Vajon hány KKV képes ezeket a feltételeket teljesíteni? Ha mégis akadna ilyen cég, a bonyolult, kézimunka újabb hibaforrásként jelenik meg..
A szabályoknak való megfelelés persze nem csak a büntetés, a rossz hírnév, a kellemetlen sajtómegjelenések miatt fontos. Az átvilágítások és a jelentések eszközül szolgálnak a hálózatért felelős vezetők számára a biztonsági rések feltárásában, csökkentik a kitettséget, biztosítják a hálózat integritását. Ha tehát a compliance management nem működik megfelelően, több detektálatlan biztonsági rés keletkezik, ami súlyosabb következményekhez vezethet, mint egy bírság.
A megoldás: az egyszerűsítés
A túlzott bonyolultság a biztonság ellensége. A legtöbb cégnél a hálózatok mára túlságosan megnőttek és komplexek lettek ahhoz, hogy a hagyományos megközelítést alkalmazva biztonságosan meg lehessen védeni az adatokat és az egész rendszert a támadásoktól, veszteségektől. A hálózat komplexitásából származó problémákat nem szabad figyelmen kívül hagyni. A hálózatbiztonságot újra kell gondolni és újra kell szervezni annak érdekében, hogy mind maga a hálózat, mind pedig a hálózatbiztonsággal foglalkozó csapat működése egyszerűbbé váljon. A cégvezetőknek és a hálózattal foglalkozó mérnököknek a következő 3 feladatot szem előtt tartva kell újragondolniuk kiberbiztonsági stratégiájukat:
- Központosított hálózatmenedzsment és transzparens rendszer kialakítása úgy, hogy az a jövőben az infrastruktúra növekedésével együtt skálázható legyen.
- Automatizáció és együttműködés a munkafolyamatokban annak érdekében, hogy lekerüljön a felesleges terhelés az IT csapatról és az egyéb erőforrásokról.
- A hiányzó auditáló és jelentéskészítő eszközök pótlása az egyre növekvő számú compliance management igények gyors kiegészítésére.
Valószínűleg idáig jutva az olvasásban felmerül a kérdés: “Igen, ez az írás ránk is vonatkozik, de mit kell tennünk, hogy egyszerűsíthessük a hálózatunkat?” Szerencsére egyszerűen tudunk válaszolni a kérdésre.
Míg a Fortinet UTP (unified threat protection- egységes fenyegetésvédelem) kifejezetten a kisvállalkozások számára fejlesztett megoldás, a nagyobb vállalatok számára a Fortinet emelt szintű hálózatbiztonsági megoldásait ajánljuk.
