A Compliance Data Systems Kft ös adatszivárgási felmérésének eredménye

A CDSYS 2015-ös adatszivárgási felmérésének eredménye

A Compliance Data Systems Kft. 2015-ös adatszivárgási felmérésének eredménye

2015. december 7.

COMPLIANCE DATA SYSTEMS KFT. 1 / 20 1023 BUDAPEST, BÉCSI ÚT 4. | TEL: (1) 700-4450 | FAX: (1) 700-4650 | WEB: WWW.CDSYS.HU | E-MAIL: [email protected]


Copyright

Jelen dokumentumhoz fűződő valamennyi jog a Compliance Data Systems Kft. tulajdonát képezi. A dokumentum szigorúan bizalmas, bármely részének a Compliance Data Systems Kft. szándékától eltérő felhasználása, másolása, változatlan vagy módosított formában történő közlése tilos, kivéve, ha a Compliance Data Systems Kft. ahhoz kifejezett hozzájárulását adja.

© Compliance Data Systems Kft. 2008-2015. Minden jog fenntartva.



Tartalomjegyzék 1

Összefoglalás ................................................................................................................................... 4

2

Részletes eredmények..................................................................................................................... 6 2.1

A felmérés résztvevőiről .......................................................................................................... 6

2.2

Az adatszivárgás elleni megoldások ismertsége, bevezetéssel kapcsolatos tervek ................ 7

2.3

DLP megoldások használata .................................................................................................... 9

2.4

Tervek a jövőre ...................................................................................................................... 12

2.5

Adatosztályozás ..................................................................................................................... 13

2.6

Belső szabályozás .................................................................................................................. 13

2.7

Adatszivárgási esetek ............................................................................................................ 14

2.8

Adatszivárgási eseteket követő intézkedések ....................................................................... 16

2.9

Nemzetközi esetek hatása ..................................................................................................... 17

2.10

Felhőalapú megoldások használata....................................................................................... 17

2.11

Dolgozói tulajdonú eszközök használata ............................................................................... 18



1 Összefoglalás A Compliance Data Systems Kft., a hazai piacvezető adatszivárgás elleni megoldás szállítója idén már negyedik alkalommal végezte el hiánypótló felmérését a magyarországi kis, közepes és nagyvállalatok által használt adatszivárgás elleni megoldásokról és gyűjtötte össze a biztonsági szakembereik tapasztalatait, véleményét ebben a kérdéskörben. Összesen 178 fős minta alapján készült a felmérés, a vállalatok mérete alapján három, közel megegyező számosságú csoportokra bontva (kis-, közepes-, nagyvállalatok) értékeltük az eredményeket. A 2015-ös év fordulópontot jelentett a hazai vállalatoknál az adatszivárgás elleni védelmi megoldásokat tekintve. Nagymértékben nőtt a DLP megoldások elismertsége, a technológia bekerült a hagyományos védelmi megoldások (vírusvédelem, tűzfalak, spamszűrők, stb.) mellé a „kötelező” védelem elemei közé. Az üzemelő DLP rendszerek számának növekedésével, megnőtt a felderített adatszivárgási esetek száma is, valamint az ehhez kapcsolódó incidenskezelési és szabályozási tevékenység is nagyobb hangsúlyt kapott. Összességében kijelenthetjük, hogy a DLP technológia bekerült a nagyvállalatok mindennapjaiba. A közepes méretű vállalatok ugyan még jóval csekélyebb mértékben rendelkeznek ezzel a technológiával és a hozzá kapcsolódó szabályozási és eseménykezelési eljárásrenddel, viszont a jövő évi terveikben kiemelt helyen szerepel ennek a bevezetése. A kisvállalatok gyakorlatilag nem rendelkeznek DLP megoldással, a bevezetését is csak kevesebb, mint negyedük tervezi. A DLP szoftverek megfelelő használatának köszönhetően több a felderített incidens. Ahol megtörtént a baj, jellemzően milliós károkról számolnak be. A megtörtént adatvesztés utólépéseit a nagyvállalatok következetesen, a kisebb vállalatok csak esetlegesen teszik meg, oktatással vagy szabályzat módosítással.

Fő megállapítások 



Adatszivárgási esetről a vállalatok 40%-a számolt be. Az ezernél több főt foglalkoztató vállalatok esetében szinte kivétel nélkül kezelték valamilyen módszerrel a szivárgási eseményeket, a kis és közepes nagyságú vállalatok negyed-ötöde semmilyen intézkedést nem kezdeményez. Az elveszett céges notebookok aránya két év alatt megduplázódott, a céges telefonoké viszont csökkent. Továbbra is jelentős mértékben számoltak be hálózaton kiküldött céges adatokról, melyeknek nem, vagy csak titkosítva szabadott volna elhagyni a vállalat kapuit. A nagyvállalatok több felderített adatszivárgást megkísérlő esetről számoltak be, mint a kis és középvállalatok együttesen.





 

 



A válaszadó nagyvállatok esetében nagymértékben növekedett az adatszivárgás elleni megoldás (DLP szoftver) használata, közel a felük már rendelkezik ilyen védelemmel. A kis és közepes vállalatok csak 5-10%-a használ ilyen megoldást. Tovább növekedett azok aránya, akik tervezik, hogy Data Loss Prevention terméket vezessenek be (30,5%). A DLP megoldásokkal elsősorban a végponti (USB, CD/DVD) és az email forgalmat ellenőrzik, míg a webböngészőn, mobil eszközökön, fájlszervereken és a felhőalkalmazásokon keresztüli adatszivárgás elleni védelem elenyésző mértékben használt. Ugyanakkor a felhőalkalmazások használata jelentős mértékben (akár 50%al is) növekedett és válaszadók csak kevesebb mint 40% zárja ki felhőszolgáltatások használatát. A magyar piacon a válaszadó nagyvállalatok körében a Symantec megoldása a piacvezető, akit a McAfee és a Websense DLP megoldásai követnek. A jövőt tekintve a válaszadók az ATP, a DLP és a mobileszköz menedzsment technológiák bevezetését tartják időszerűnek, főleg a középvállalatok, mivel ők egyelőre kevesebb biztonsági megoldással rendelkeznek, mint a nagyvállalatok. A vállalatok felénél használnak olyan mobiltelefont vagy tabletet, mely a munkavállaló tulajdonát képezheti. A tavalyi válaszokhoz hasonlóan ezen készülékek használatára leginkább a nagyvállalatoknál (75%) vezettek be valamilyen szabályzást, míg ugyanez csupán középvállalatok feléről mondható el.



2 Részletes eredmények

2.1 A felmérés résztvevőiről A felmérést az eddigi évekhez hasonlóan az ország egyik legnagyobb IT biztonsági konferenciáján, az ITBN-en résztvevő szakemberek között hirdettük meg, de bárki által kitölthető volt az internetes kérdőív. Összesen 178-an töltötték ki a felmérést. Az eddigi évektől eltérően alkalmunk nyílt az eredményt a vállalatok mérete alapján három kategóriába sorolva rendezni, hogy így még részletesebb, pontosabb és átfogóbb eredményt publikálhassunk a kis- közép- és nagyvállalatok adatszivárgás-megelőző politikájáról. A vállalatok mérete alapján a három, közel megegyező számosságú csoportokra bontva értékeltük az eredményeket:   

A kisvállalatok csoportjába az ötven főt meg nem haladó cégek kerültek (36%), a középvállalatokat az 51-től 1000 főt foglalkoztató (35%), a nagyvállalatokat az 1001-nél magasabb dolgozói létszámú cégek alkotják (29%).

Kitöltők eloszlása a vállalatnál dolgozók száma alapján 14% 30% 15% 6%

10% 8%

8%

9%

30 alatt 31-50 51-100 101-300 301-500 501-1000 1001-5000 5001 felett

A 2015-ös DLP felmérésen a tavalyinál is magasabb létszámban vettek részt a nagyvállalatok, míg a közepes méretű vállalkozások és a kkv szektor is hasonlóan magas számban képviselte magát. A válaszadók a vállalati iparágak széles skálájáról érkeztek, átfogó képet adva a hazai IT biztonság helyzetéről. COMPLIANCE DATA SYSTEMS KFT. 6 / 20 1023 BUDAPEST, BÉCSI ÚT 4. | TEL: (1) 700-4450 | FAX: (1) 700-4650 | WEB: WWW.CDSYS.HU | E-MAIL: [email protected]


A felmérésen résztvevők iparági besorolása

20%

24%

IT Pénzügy Szolgáltatás

5%

Állami

5%

Telekom

5%

20%

9% 12%

Oktatás Kereskedelem Egyéb

A kutatásban résztvevők csaknem negyede IT, vagy hozzá szorosan kapcsolódó tevékenységet folytat, emellett a pénzügyi, állami és szolgáltatási szegmensben tevékenykedők aránya is magasabb volt, de nagyobb mennyiségben érkeztek válaszok telekommunikációs, oktatási és kereskedelmi körökből is.

2.2 Az adatszivárgás elleni megoldások ismertsége, bevezetéssel kapcsolatos tervek Hasonlóan a tavalyi évhez, idén is 70% körül volt azok aránya, akik már hallottak a DLP megoldásokról, változatlanul helytálló a tavalyi megállapítás, miszerint az IT biztonságra fordítható anyagi keretek szűkössége (34%), a vállalat menedzsmentje részéről tapasztalható érdektelen magatartás korlátozza a DLP megoldások szélesebb körű elterjedését.



Terveznek-e DLP megoldást bevezetni? 0

5

10

15

20

25

30

35

40

45

50

Igen, volt olyan esemény amit szeretnénk elkerülni a jövőben Igen, már elég megbízhatónak tartjuk a technológiát Igen, most sikerült biztosítani az anyagi kereteket Igen, külső nyomásra kell bevezetnünk Nem, nincs rá anyagi keretünk Nem, szerintem nálunk nincs kockázat Nem, mert nem tartom elég megbízhatónak a technológiát Nem, mert nem ismerem a technológiát Nem, mert már van Egyéb kisvállalatok

középvállalatok

nagyvállalatok

Fontos kiemelni: a vállalatoknál sok esetben nem veszik komolyan a fenyegetést egészen addig, amíg egy incidens be nem következik. 12% válaszolta azt, hogy azért tervezik DLP megoldás bevezetését, mert történt olyan incidens, amit szeretnének elkerülni a jövőben. Összességében növekedett azok aránya, akik tervezik, hogy Data Loss Prevention terméket vezessenek be (30,5%), a megoldásnak van helye a magyar piacon.

DLP-t bevezetni tervezők aránya 40 35 30 25 20 15 10 5 0 kisvállalatok

középvállalatok 2014

nagyvállalatok

2015



2.3 DLP megoldások használata

Az önök vállalatánál használnak-e bármilyen adatszivárgás elleni védelmi megoldást? 0,0

10,0

20,0

30,0

40,0

50,0

60,0

70,0

80,0

DLP szoftvert

Merevlemez titkosítást

Portvédelmet

E-mail titkosítást

Mobileszköz-menedzsmentet (MDM)

Mobilalkalmazás-menedzsmentet (MAM)

UTM-et

APT védelmet

nem

nem tudom

egyéb

kisvállalatok

középvállalatok

nagyvállalatok

A nagyvállalatok esetében jelentősen növekedett a DLP szoftvert használók aránya. Az aktuális trendeknek megfelelően a mobileszköz-menedzsment (MDM) és az e-mail titkosítás egyre több helyen alkalmazott. Továbbra is a portvédelmi, valamit a merevlemez titkosítási megoldások a védelem alappillérei. E technológiák alkalmazása a leggyakoribb, mely COMPLIANCE DATA SYSTEMS KFT. 9 / 20 1023 BUDAPEST, BÉCSI ÚT 4. | TEL: (1) 700-4450 | FAX: (1) 700-4650 | WEB: WWW.CDSYS.HU | E-MAIL: [email protected]


népszerűségük egyik oka az, hogy az észlelt adatszivárgási incidensek legnagyobb hányada elvesztett vagy ellopott notebookból származnak, így ehhez alkalmazkodva próbálják meg újra szervezni védelmi stratégiáikat. Sajnálatosan nem fordítanak ekkora jelentőséget az olyan adatszivárgási eseteknek, melyek kevésbé kézzelfoghatók.

Nagyvállalatoknál alkalmazott adatszivárgás elleni megoldások idén és tavaly 0,0

10,0

20,0

30,0

40,0

50,0

60,0

70,0

80,0

igen, DLP szoftvert, igen, merevlemez titkosítást igen, portvédelmi megoldást igen, email titkosítást igen, mobil eszköz menedzsment (MDM) megoldást igen, mobil alkalmazás menedzsment (MAM) megoldást igen, UTM megoldást igen, APT védelmet nem nem tudom egyéb 2014

2015

A vállalat méreteitől függetlenül megfigyelhető, hogy elsősorban a végpontokra és az email forgalomra kerül a megelőzés fókusza, pedig fontos lenne azzal is tisztában lenni, a fájlszervereken és webes adatforgalomban mennyi érzékeny adat halad keresztül nap, mint nap.



Amennyiben használnak DLP szoftvert, főként milyen csatornákat figyelnek? Végpont Hálózati email védelem

20% 41%

5% 3% 6% 5%

Hálózati web feltöltés Fájlszerverek felderítése Mobil eszközök forgalmának figyelése Felhőszolgáltatásokba küldött adatok figyelése Egyéb:

20%

Az alkalmazott szoftverek gyártói tekintetében a Symantec a piacvezető Magyarországon, akit az Intel Security (McAfee) követ a felmérés alapján.

A nagyvállalatok által aklalmazott DLP szoftverek megoszlása gyártó szerint

12% 12%

Symantec

35%

McAfee/Intel RSA/EMC

9%

Websense

32%

Egyéb



2.4 Tervek a jövőre A jövőt tekintve, a nagyvállalatok körében, az ATP, a DLP és a mobileszközmenedzsment technológiák bevezetését tartják időszerűnek. A középvállalatok bár bizonytalanabbak a jövőt illetően, kezdik felismerni a DLP-ben rejlő lehetőséget, jövőre bevezetnék az MDM megoldásokkal együtt.

Milyen védelmi technológia bevezetését tartja időszerűnek az elkövetkező évben? 0,0

5,0

10,0

15,0

20,0

25,0

30,0

35,0

40,0

45,0

DLP szoftvert

Merevlemez titkosítást

Portvédelmi megoldást

E-mail titkosítást

Mobileszköz-menedzsmentet (MDM)

Mobilalkalmazás-menedzsmentet (MAM)

UTM-et

APT védelmet

nem tudom

egyéb

kisvállalatok

középvállalatok

nagyvállalatok



2.5 Adatosztályozás A DLP szoftverek alkalmazhatóságának egyik feltétele az, hogy az adatok, adathalmazok megfelelően osztályozva legyenek, aszerint, hogy melyek tartalmaznak bizalmas információkat, üzleti szempontból melyek kritikusak, amennyiben pl. harmadik fél eltulajdonítaná azokat. A nagyvállalatok több mint 70%-a idén is vallja, hogy megjelölten és osztályozva kezeli az adatait. A középvállalatok több mint fele is hasonlóan tesz, miután felismerték azt, hogy nem minden esetben célravezető az adatok megítélését a munkavállalókra bízni. Szerencsére ebben a tekintetben is javulás figyelhető meg az elmúlt évek statisztikáit alapul véve.

Vállalatánál vannak-e osztályozva az adatok? 80 70 60 50 40 30 20 10 0 kisvállalatok

középvállalatok

nagyvállalatok

igen, vannak konkrétan megjelölt bizalmas adatok részben, minden munkavállaló saját maga osztályozza az adatokat, és kezeli ennek megfelelően nincs, minden információt/adatot ugyanúgy kezelünk

2.6 Belső szabályozás Fontos, hogy a megfelelő osztályzással tisztában legyenek a munkavállalók, akik így keresztül tudják vinni a folyamatokon a szabályozásokat. Ez jellemzően a nagy, más folyamatokkal is



ellátott vállalatok sajátja. Ahol nincs ilyen jellegű szabályzat, ott egy DLP bevezetés segíthet változtatni a helyzeten.

Van-e céges szabályzat az adatok megfelelő használatáról? A munkavállalók kapnak-e bármilyen oktatást erre vonatkozóan? 90 80 70 60 50 40 30 20 10 0 igen, van céges szabályozás, és ennek igen, van céges szabályozás, de nincs oktatás része is van oktatás kisvállalatok

középvállalatok

nincs adatkezelésre vonatkozó külön szabályozás

nagyvállalatok

2.7 Adatszivárgási esetek Adatszivárgási esetről a vállalatok 40%-a számolt be. Az elveszett céges notebookok aránya két év alatt megduplázódott, a céges telefonoké viszont csökkent. Továbbra is jelentős mértékben számoltak be a hálózaton kiküldött céges adatokról, melyeknek nem, vagy csak titkosítva szabadott volna elhagyni a vállalat kapuit. A nagyvállalatok több felderített adatszivárgást megkísérlő esetről számoltak be, mint a kis és középvállalatok együttesen. Jól látszik tehát a DLP bevezetéseinek jótékony hatása, a nagyvállalatok sokkal több incidenst voltak képesek felderíteni és megakadályozni.



Milyen csatornákon történtek a cégnél felderített adatszivárgási esetek? 0,0

5,0

10,0

15,0

20,0

25,0

30,0

35,0

Elveszett céges notebookon Elveszett céges telefonon Elveszett céges hordozható eszközön (USB, DVD, stb.) Dolgozó másolt hordozható eszközre Dolgozó küldött ki adatot a hálózaton, emailben, weben stb. Külső partner vitt el adatot Külső támadó vitt el adatot Egyéb típusú adatvesztés

kisvállalatok

középvállalatok

nagyvállalatok

Ahol ismert adatszivárgási incidensek történtek, legtöbbször nagyon nehéz megbecsülni a károkat, de a legtöbb esetben akár több milliós károkról is beszélhetünk.

Fel tudja becsülni mekkora kárt okozhatott az adatszivárgás? 70 60 50 40 30 20 10 0 igen, százezres nagyságrendűt

igen, milliós nagyságrendűt kisvállalatok

igen, tízmilliós vagy annál nagyobb kárt

középvállalatok

nem

nagyvállalatok



2.8 Adatszivárgási eseteket követő intézkedések Az incidenseket követő lépésekben pozitív megállapításokat tehetünk. A tavalyi eredményekhez képest növekedtek a különböző intézkedések mutatói, az ezernél több főt foglalkoztató vállalatok esetében szinte kivétel nélkül kezelték valamilyen módszerrel a szivárgási eseményeket, náluk a jogi, törvényi lépések és fegyelmi eljárások is gyakrabban tetten érhetőek, szintén ők képesek leginkább válaszolni valamilyen adatvédelmi megoldás bevezetésével. A kis és közepes nagyságú vállalatok negyed-ötöde semmilyen intézkedést nem kezdeményez. A középvállalatok esetében szabályzat létrehozása és a biztonsági oktatás a bevált gyakorlat.

Milyen intézkedések történtek a tudomásukra jutott adatszivárgási esetek kapcsán? Egyéb

Nem tudok róla, hogy történt-e intézkedés

Nem történt intézkedés

Jogi/törvényi lépések

Fegyelmi eljárás a dolgozó felé

Valamilyen adatvédelmi megoldás bevezetése

Biztonsági oktatás

Szabályzat létrehozása 0,0

5,0

nagyvállalatok

10,0

15,0

középvállalatok

20,0

25,0

30,0

35,0

40,0

45,0

kisvállalatok



2.9 Nemzetközi esetek hatása Tíz válaszolóból kilencen számon tartják a nagy nemzetközi adatszivárgási botrányokat, de kétharmaduk adatvédelmi stratégiáit ez nem befolyásolta. A nagyvállalatok foglalkoznak leginkább az ilyen incidensekkel, 40%-uk döntött ezek hatására úgy, hogy saját védelmét is megerősíti, mielőtt hasonló incidens bekövetkezne.

Hallott-e az elmúlt időszak nagy nemzetközi adatszivárgási botrányairól, és ha igen befolyásolta-e cége adatvédelmi lépéseit? 80 70 60 50 40 30 20 10 0 Igen hallottam róluk, és befolyásolták az Igen hallottam róluk, de nem voltak adatvédelemmel kapcsolatos stratégiánkat befolyással adatvédelmi stratégiánkra kisvállalatok

középvállalatok

Nem hallottam ezekről az esetekről

nagyvállalatok

2.10 Felhőalapú megoldások használata A felhőszolgáltatásokat tekintve megfigyelhetjük azt, hogy a nagy nemzetközi trendeknek megfelelően hazánkban is egyre jobban teret hódítanak e szolgáltatások mind az egyéni felhasználók, mind a vállalati üzletágakban. A válaszadók kevesebb, mint 40% zárja csak ki felhőszolgáltatások használatát. A SaaS (Software as a Service) alkalmazások használata például 50%-kal növekedett.



Használnak-e az önök cégénél bármilyen felhőalapú megoldást? 0,0

10,0

20,0

30,0

40,0

50,0

60,0

70,0

Szoftverszolgáltatást (SaaS)

Platformszolgáltatást (PaaS)

Infrastruktúraszolgáltatás t (IaaS)

IT biztonsági megoldást

Nem használnak

Nem tudja

kisvállalatok

középvállalatok

nagyvállalatok

2.11 Dolgozói tulajdonú eszközök használata A vállalatok nagyjából 50%-ban használnak mobiltelefont vagy tabletet, mely a munkavállaló tulajdonát képezheti. Ez azt jelentheti, hogy vagy a BYOD trendeket nem tartják megfelelően biztonságosnak és felügyelhetőnek, vagy pedig a vállalat profiljába ezek az eszközök használata nem férnek bele.



Használnak-e a munkahelyi IT infrastruktúrába csatlakozó dolgozói tulajdonú okostelefonokat és/vagy táblagépeket? 60

50

40

30

20

10

0 igen, mindkettőt

igen, csak okostelefont kisvállalatok

középvállalatok

nem, egyiket sem nagyvállalatok

A készülékek használatára leginkább a nagyvállalatoknál (75%) vezettek be valamilyen szabályzást eddig, ugyanez csupán középvállalatok feléről mondható el. A tavalyi eredményekkel ez összevág, ám a közeljövőben minden valószínűséggel ez pozitív irányba fog elmozdulni, hiszen láttuk, az MDM bevezetése iránti magas az érdeklődés leginkább a középvállalatokra jellemző.



Van-e bármilyen szabályozás a saját mobileszközök használatára vállalatánál? 80 70 60 50 40 30 20 10 0 kisvállalatok

középvállalatok igen, van

nagyvállalatok

nem tudom

Szigorúbb a szabályozás a hordozható gépeket tekintve. Itt minden bizonnyal jobban tartanak az esetlegesen fertőzött gépek vállalatba kerülésétől. Fontos megjegyezni, hogy a mobiltelefonok operációs rendszerét is meg tudják oly módon fertőzni, hogy onnan vállalati adatok tudnak elszivárogni, így azok védelmét is kiemelten kellene kezelni.

Használnak-e az önök cégénél dolgozói tulajdonban lévő asztali vagy hordozható számítógépet? 70 60 50 40 30 20 10 0 igen, használnak saját gépet, amin nincs igen, és ugyanolyan védelmi megoldások nem használunk dolgozói tulajdonban lévő védelmi megoldás vannak rajta mint a többi gépen gépeket kisvállalatok

középvállalatok

nagyvállalatok


A Compliance Data Systems Kft ös adatszivárgási felmérésének eredménye

Recommend Documents