Talán sosem volt még ennyire fontos a megfelelő kibervédelem.
A kiberbűnözés miatt egyre inkább aggódnak az egyes országok – legyenek az elkövetők más kormányok vagy hackerek. Az Egyesült Államokban az informatikai biztonságra szánt kormányzati költségvetés 2025-ben 13 milliárd dollárt tesz ki, szemben az előző évi 11,8 milliárddal. Az Egyesült Királyság is fontosnak tartja az óvintézkedéseket, és ez kiterjed a szövetségeseken keresztüli behatolás elkerülésére is: 25 millió fontot különített el arra, hogy segítse a baráti kormányokat a kiberbiztonságuk javításában.
A magánszektor sincs biztonságban. A Bank of England által végzett, 2023 második felére vonatkozó rendszerkockázati felmérésben a résztvevők szerint a kibertámadás jelenti a legnagyobb kockázatot a brit pénzügyi rendszerekre. A legutóbbi, márciusban közzétett kutatás eredményei azt mutatják, hogy némileg csökkent az aggodalom, de a válaszadók 70 százaléka még mindig a kiberbűnözést jelölte meg második számú piaci kockázatként, közvetlenül a geopolitika mögött.
A Financial Times szerint a vállalatok többet fognak költeni a kiberbiztonságra. Az Infosecurity Europe 200 biztonsági szakember bevonásával végzett felmérése szerint kétharmaduk az idei évre 10 és 100 százalék közötti költségvetés-növekedéssel számol. A fenyegetés pedig teljesen valós. A Cybersecurity Ventures előrejelzése szerint a kiberbűnözés 2024-ben 9,5 milliárd dollárba fog kerülni, ami háromszoros növekedés 2015-höz képest.
A Rubrik/Wakefield által a nagyvállalatok 1600 döntéshozójának körében végzett kutatás szerint az informatikai és biztonsági vezetők 94 százaléka mondta azt, hogy a vállalkozását jelentős kibertámadás érte 2023-ban. Szintén a felhőbérlők 94 százalékát érte havonta támadás 2022-ben – derült ki a Proofpoint nevű felhőalapú kiberbiztonsággal foglalkozó vállalat felméréséből.
Bárhol, bármikor
A zsarolóvírusok szinte bárhol megjelenhetnek. Az egyik brit/amerikai bűnözői csoport, a Scattered Spider a Caesars Entertainment és az MGM Resorts International elleni zsarolóvírus-támadásaival szerzett hírnevet. Az idén februárban a Chainalysis blokkláncadatplatform szerint az ismert zsarolóvírus kifizetések 2023-ban meghaladták az 1 milliárd dollárt, ami új csúcsot jelent. Emellett nőtt az 1 millió dollárnál nagyobb összegű váltságdíjak aránya az összes kifizetésen belül.
A tavalyi év eleje óta a hackerek számos köz- és magánintézményre is lecsaptak. A kórházaktól, iskoláktól, kormányzati vállalkozóktól és szakszervezetektől kezdve a BBC-n, a Royal Mail-en és a British Airwaysen át.
Adatsértések persze zsarolóprogram nélkül is előfordulhatnak, ugyanis azokért kódsebezhetőségek és emberi hibák is okolhatók. Az IT Governance UK világszerte nyomon követi a nyilvános adatvédelmi incidenseket és kibertámadásokat, és azt állítja, hogy az idén májusra havonta annyi adatot törtek fel, mint tavaly egész évben. Nem minden betörés rosszindulatú, mégis adatzsaroláshoz vezethet. Bár a biztonsági szakértők egyre hatékonyabban ismerik fel és előzik meg a zsarolóvírus-támadásokat, a baj így is megtörténhet. Jeremy Hittle, a Ridgeline, egy fintech startupcég biztonsági vezetője azt tanácsolja, hogy a vállalkozások és más szervezetek mérjék fel a fenyegetettség szintjét, azaz gondolják át, hogy a hacker hogyan veheti hasznát az ellopott adatoknak.
Az MGM tapasztalatai tanulságosak. A vállalat nem fizetett a támadóknak, de azt állítja, hogy a 2023. szeptemberi incidens 100 millió dolláros bevételkiesést okozott, és további 10 milliót költöttek tanácsadásra, jogi és egyéb költségekre.
Ez nem jelenti azt, hogy az MGM jobban járt volna, ha váltságdíjat fizet. Az IBM 16 ország 553 (a zsarolóvírusokat is tartalmazó) betörését vizsgáló elemzése szerint az átlagos költség, amely egy zsarolóvírus támadás kezelésével jár, 4,45 millió dollár volt 2023-ban. Ez az összeg tartalmazza a károk helyreállítását, az üzleti tevékenység kiesését, a jogi és szakértői díjakat, valamint az egyéb költségeket. Az elemzés azt mutatja, hogy azok a vállalatok, amelyek váltságdíjat fizettek, csak kismértékben tudták csökkenteni ezeket a költségeket azokhoz képest, amelyek nem küldtek pénzt a zsarolóiknak. Ráadásul a Cybereason kibervédelmi platform szerint a kifizetők 80 százalékát másodszor is megtámadták.
A kisvállalkozások ugyanolyan sebezhetők, mint korábban. A Mimecast biztonsági platform elemzéséből kiderült, hogy a kis- és középvállalkozások tipikus felhasználói kétszer nagyobb valószínűséggel találkoznak fenyegetésekkel, mint a nagyvállalatok. Marc van Zadelhoff, a társaság vezérigazgatója szerint ez azért van, mert a kisvállalatok könnyebb célpontok.
Érzelmekre hatnak
Korábban a „segíts” vagy az „állítsd vissza a jelszavad” adathalász e-mailek igen elterjedtek voltak, de mára a támadások sokkal kifinomultabbá váltak. Manapság a csalók egyre hihetőbb történetet találnak ki, és ezek az akciók 2022 és 2023 között megduplázódtak. A tavalyi év negyedik negyedében a Mimecast megállapította, hogy a támadási kísérletekben gyakran használtak olyan fájlmegosztó linkeket, amelyekről azt állították, hogy törvényes szolgáltatóktól, például az Evernote-tól származnak. A kkv-k számára a felhőszolgáltatásokhoz való belépési hitelesítő adatokkal történő adathalászat gyakori, és jelentős veszteséggel jár számukra: az FBI szerint
2013 és 2022 között az adathalász e-mailekből származó összesített veszteség 50 milliárd dollár volt.
Ebből több mint 136 ezer amerikai áldozat összesen 17 milliárd dolláros veszteséget jelentett az FBI Internet Crime Complaint Centerének (IC3).
A mesterséges intelligencia pedig tovább bővíti a bűnözők eszköztárát. A Sumsub ellenőrző szoftverszolgáltató szerint 2022 és 2023 között a fintechszektorban 700 százalékkal nőtt a deepfake incidensek száma.
Célkeresztben a pénzügyi szektor
A pénzügyi szektor nyilvánvaló okokból elsődleges célpont. A Mandiant, a Google által 2022-ben felvásárolt fenyegetéselemző kiberbiztonsági vállalat szerint az általa kezelt behatolások 17 százaléka ezt a szegmenst érinti. Az üzleti és szakmai szolgáltatások a támadások 13 százalékát teszik ki, ezt követi a csúcstechnológia (12 százalék), valamint a kiskereskedelem és vendéglátás (8 százalék). A pénzügyeket érő akciók száma emelkedett. A 2023-as State of Ransomware jelentésében – amelyben 14 országban 336 informatikai és biztonsági szakembert kérdeztek meg – megállapította, hogy 2023-ban 64 százalékukat érte támadás, szemben a 2022-es 55 és a 2021-es 34 százalékkal.
Az online fizetési csalások által okozott anyagi károk szintén jelentősek, és több ágazatot is érintenek. A Juniper Research tavaly 38 milliárd dollárra becsülte ezt az összeget, és 2023–2028 között 362 milliárdre jósolta a kereskedők és a kiskereskedők kumulatív kárát. Persze van esély ennél szélesebb körű veszteségekre is. A Lloyd’s of London tavaly októberben azt mondta, hogy egy globális fizetési rendszer elleni jelentős támadás akár 3,5 milliárd dollárnyi kárt is okozhat.
Érdemes megfelelően felkészülni. Az IMF által 2023-ban 51 országban végzett felmérés szerint a központi bankok vagy felügyeleti hatóságok 56 százalékának nem volt nemzeti kiberstratégiája a pénzügyi szektorra vonatkozóan. Közel felük nem készített kiberbűnözésre vonatkozó szabályozást és csaknem kétharmaduknál nem volt követelmény a kiberbiztonsági intézkedések tesztelése.
A KPMG tavalyi kutatása szerint a számítógépes bűnözés és biztonság a banki vezérigazgatók több mint 71 százalékát foglalkoztatja, de csak a fele érezte magát felkészültnek. Ami még rosszabb, hogy az EY felmérése szerint
az igazgatók 35 százaléka nem értette a mesterséges intelligenciával kapcsolatos kockázatokat.
Szigorodó szabályozások
Az Egyesült Államokban 2022-ben bevezették a Circiát, a Cyber Incident Reporting for Critical Infrastructure Actet. Az amerikai kibervédelmi ügynökség, a Cisa most szabályokat dolgoz ki azért, hogy biztonságosabbá tegye az ország infrastruktúráját.
Az Értékpapír- és Tőzsdefelügyelet 2023 júliusa óta kötelezi a börzén jegyzett vállalatokat a jogsértések időbeni közzétételére. A régebbi jogszabályok értelmében az informatikai biztonsági vezetőket felelősségre lehetett vonni az adatvédelmi incidensekért és a jelentések benyújtásának elmulasztásáért.
Az EU is erősíti a felügyeletét. A hálózati és információs rendszerekről szóló irányelv (NIS2) kibővített változata az idén októbertől lép hatályba. E szerint a bírságok megállapítása mellett jogi következményekkel kell számolniuk azoknak a vezetőségeknek, amelyek nem teljesítik a biztonsági követelményeket – írja a Financial Times.
Az európai pénzintézetekre hamarosan a digitális műveletek rugalmasságáról szóló törvény szigorú követelményei vonatkoznak majd. Ez 2025 januárjában lép hatályba, és elsődleges feladata a zavartalan működés biztosítása lesz.
A jogszabályokon túl a nemzetközi ügynökségek már elértek némi sikert a kiberbűnözőkkel szemben. Az FBI, az NCA UK és az Europol együttműködésével az idén februárban sikerült kizárni a Royal Mailt és a Boeinget támadó LockBit hackercsoportot a saját rendszereiből. A Ransomware-ellenes kezdeményezés – amelynek harmadik összejövetelét tavaly novemberben tartották az Egyesült Államokban – 50 országot foglal magában, amelyek igyekeznek együttműködni és felvenni a harcot a kibertéri bűnözőkkel. Az intézkedések között szerepel a fokozott információcsere és a váltságdíjfizetés melletti kötelezettségvállalás.
Összességében elmondhatjuk, hogy a kiberbűnözés elleni küzdelem világszerte fokozódik, a kormányok és a magánszektor egyaránt jelentős erőfeszítéseket tesz a fenyegetések kezelésére. Az egyre kifinomultabb támadások azonban nem könnyítik meg a helyzetüket. Az új szabályozások és a nemzetközi együttműködések növelik a biztonságot, de a kibertámadások folyamatos fejlődése megköveteli a folyamatos innovációt és a proaktív védekezési stratégiák kidolgozását. A siker kulcsa a megelőzés, a gyors reakció és az érintett felek közötti hatékony kommunikáció annak érdekében, hogy minimalizálják a károkat és biztosítsák a rendszerek integritását. A kiberbűnözés elleni harcot érdemes komolyan venni ahhoz, hogy a lehető legbiztonságosabb legyen a digitális világ.
