FORENSIC
Adatlopás a közép-kelet-európai régióban 2012 kpmg.com/hu
KPMG Közép-Kelet-Európában
Volt már valaha olyan érzése, hogy versenytársai vélhetően tudtában vannak stratégiai terveinek vagy egyéb bizalmas adatainak? Hányszor hiányzott promóciós kampányaik során a meglepetés ereje? Milyen volt, amikor harcolniuk kellett versenytársukkal azért a telekért vagy ingatlanért, amelyet Önök következő székhelyüknek szántak? Gondolja végig az alábbi forgatókönyvet: egy fogyasztópiaci cég középszintű vezetője haragban van főnökével; elégedetlensége napról napra nő. A vállalat fájlszerverén való keresgélés közben rátalál a hároméves üzleti terv egyik tervezetére, valamint néhány termékfejlesztési anyagra. Ezeket letölti egy pendrive-ra, amelyet magával visz, amikor hazamegy. Egy hónapon belül felmond, két hónapon belül pedig munkába áll az egyik nagyobb versenytársnál. Ön szerint mennyi a valószínűsége, hogy ez a forgatókönyv az Önök társaságánál is lejátszódik? Vannak megfelelő intézkedései az ilyen típusú adatlopás ellen? A KPMG Közép-Kelet-Európában (CEE) fogyasztópiaci és kereskedelmi vállalatokat kérdezett meg a témáról annak érdekében, hogy jobban megérthessük, hogyan látják a cégek ezekben a szektorokban az adatlopás kockázatát, és mit tesznek annak kezelésére. A felmérés eredményei röviden az alábbiakra mutatnak rá: • A válaszadók nagy többsége (84 százalék) az adatlopást jelentős kockázatnak látta üzletmenetére nézve. A válaszadók több mint fele (52 százalék) úgy vélte továbbá, hogy az adatlopás kockázata az elkövetkező három év során nőni fog. • Az adatlopásért leginkább saját alkalmazottjaikat tartják felelősnek (64 százalék), különösen a középvezetői szintről számítanak ilyen esetekre. A cserélhető adathordozók,
például pendrive-ok használata sok válaszadó (61 százalék) szerint jelentős kockázattal jár, mégis nagyon kevesen (16 százalék) jelezték, hogy életbe léptettek intézkedéseket az azok használatában rejlő kockázatok kezelésére. • A legkockázatosabbnak vélt adatok a stratégiával és a tervezéssel kapcsolatos adatok voltak (80 százalék). • A legtöbb válaszadó (59 százalék) csak informálisan foglalkozott a szervezetét érintő adatlopás kockázatával, 50százalék pedig csak alkalomszerűen, ami azt jelenti, hogy fáziskésés van a felmerülő adatlopás-kockázatok felismerése és megfelelő kezelése között. Válaszadóinkról Válaszadóink kilenc közép-kelet-európai ország 44 kiskereskedelemmel és fogyasztási cikkekkel (ezen belül elsősorban élelmiszer és ital termékekkel) foglalkozó vállalatának információ-technológiai és biztonsági munkakört betöltő munkatársai voltak. A megkérdezett társaságok szektoruk piacvezetőinek számítanak az adott CEE-országban, és globális, regionális, vagy helyi társaságok. A válaszok többsége (több mint 90 százaléka) személyes interjúk során született. A kockázat általános megítélése A válaszadók nagy többsége (84 százalék) az adatlopást jelentős kockázatnak tekinti üzletmenetére nézve. Emellett úgy ítélték meg, hogy az adatlopás kockázata nem csökken: • 39 százalék úgy vélte, hogy az adatlopás kockázata nőtt az elmúlt három év során (csak 14 százalék látta úgy, hogy csökkent); és • 52 százalék úgy gondolta, hogy az adatlopás kockázata nőni fog az elkövetkező három év során (csak 9 százalék találta úgy, hogy csökkenni fog). Viszonylag kevés válaszadó számolt be arról, hogy adatlopás áldozata lett: csak 9 százalék említette, hogy tudomása van megtörtént esetről, és csak 18 százalékuk nyilatkozott arról, hogy tudomása van vélt adatlopási esetről az elmúlt három év során. A bejelentett jogsértések viszonylag alacsony száma azt mutatja, hogy a válaszadók vonakodtak az ilyen jogsértések beismerésétől; az is lehetséges, hogy a válaszadó társaságok olyan adatlopást szenvedtek el, amelyre nem derült fény, vagy amelyet nem ismertek el adatlopásként. A tényleges esetek számától függetlenül a válaszokból nyilvánvaló volt, hogy a kockázatot magasnak ítélték. A fenyegetettség forrása Míg a legnagyobb visszhangja a külső elkövetők általi kockázatnak van, válaszadóink szerint az adatlopás legvalószínűbb elkövetői (64 százalék) a munkavállalók. A munkavállalóknak a normál üzletmenet folyamán óhatatlanul hozzáférésük van a vállalat adataihoz, és úgy gondoljuk, ez fontos szerepet játszik magas kockázati besorolásukban.
© 2012 KPMG Közép és Kelet Európa Ltd., amely egy, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
1. ábra Az adatlopás valószínű elkövetői Kategória
A cserélhető adathordozó eszközök jelentette kihívás Az adatok cserélhető adathordozó eszközön való elvitelét a válaszadók széles körben tekintették az adatlopás valószínű módjának (61 százalék). Ennek ellenére a válaszadók csupán 45 százaléka alkalmazott végpontvédelmi szoftvert a cserélhető adathordozó eszközök használatának korlátozására, és csak 16 százalékuk követte nyomon a cserélhető adathordozó eszközök használatát.
Válaszadók %-a
Munkavállalók/Volt munkavállalók
64
Versenytársak
45
Ismeretlen külső felek (pl. tolvajok, névtelen hackerek)
16
Szállítók
9
Vevők
9
Megjegyzés: A táblázat azt mutatja, a válaszadók hány százaléka jelölte 4-es vagy 5-ös fokozattal az 1-től 5-ig tartó valószínűségi skálán (1 = nagyon valószínűtlen 5 = nagyon valószínű) a felsorolt elkövetőtípusokat
Az élelmiszerszektor válaszadói egyértelműen a középvezetői szintről számítanak adatlopási esetekre (47 százalék). Ez azt mutathatja, hogy ezeknek a munkavállalóknak jellemzően szélesebb körű hozzáférésük van a fontos adatokhoz, mint az alacsonyabb beosztású munkavállalóknak. Válaszadóink a versenytársakat jelölték az adatlopás második legvalószínűbb elkövetőinek (45 százalék). Úgy véljük, hogy ez összefügg a munkavállalók általi fenyegetettséggel is. A társaságok kísértést érezhetnek bizalmas adatok versenytársaiktól való megszerzésére, ezáltal a versenytársak kiszorítására, és saját maguk jobb piaci pozicionálására. Az ilyen adatok vonatkozhatnak termékekre, marketingtervekre, ár- és promóciós kampányokra, termékspecifikációkra, szállítókra és vevőkre, valamint üzleti tervekre és stratégiákra. Ezek az adatok a munkavállalók részére a normál üzletmenet folyamán általában hozzáférhetők, ezért a társaság munkavállalóival és vezetőivel összejátszó versenytársak által a társaság ellen elkövetett kémkedési kísérlet célpontjává válhatnak. A bennfentesek általi adatlopási fenyegetettség kezelése kifinomultabb megközelítést igényel, mint az egyéb forrásból érkező fenyegetettségé . A munkavállalók hatékony munkavégzéshez szükséges információkhoz való hozzáférésének biztosítása és ezen információk visszaélés elleni védelme között mindig feszültség fog húzódni. Ugyanez mondható el a külső támadók általi jogosulatlan hozzáférés kockázatáról: ez vitathatatlanul az az esemény, amelyet minden szervezet el szeretne kerülni. Mindazonáltal a belülről jövő visszaélés kockázatát szélesebb körű információkockázat-kezelési tervezés részének kell tekinteni és megfelelően mérsékelni.
A cserélhető adathordozó eszközökön történő adatlopás magas kockázata részben arra utal, hogy sok társaságnál nincsenek átfogó intézkedések azok használatának ellenőrzésére. A válaszadók nagy többsége nyilatkozott arról, hogy társaságuk alkalmaz intézkedéseket a külső fenyegetettség elleni védelemre – a tűzfalak, az antivírus és anti-malware szoftverek szinte mindenütt jelen vannak – ezzel az alapvetően belső veszéllyel azonban nem foglalkoznak kielégítően. 2. ábra Az adatlopási kockázat minimalizálásához használt eszközök és technológiák Válaszadók %-a
Kategória Tűzfal rendszerek (eszköz vagy szoftver)
98
Antivírus szoftverek
98
Anti-malware szoftverek
93
Hozzáférési jogok rendszerspecifikus korlátozása
89
E-mail szűrők
82
Hálózatmonitoring rendszerek (eszköz vagy szoftver)
80
Internettevékenység szűrők
75
Titkosítási technológiák
73
Behatolásfeltáró / -megelőző rendszerek (eszköz vagy szoftver)
64
Végpontvédelmi szoftver (pl. a felhasználói eszközök és cserélhető adattárolók használatának korlátozása vagy nyomon követése)
45
Többtényezős felhasználóazonosítási technológiák
39
Adatszivárgást feltáró / megelőző rendszerek
18
Biomertikus intézkedések
11
Az egyik iparág, amely sikeres lépéseket tett a cserélhető adathordozó eszközök jelentette kihívás kezelésére, a pénzügyi szolgáltatási terület, értve ez alatt elsősorban
3. ábra A válaszadók által alkalmazott nyomonkövetési intézkedések 80
75
Válaszadók %-a
70 60
55
52
50 40 30 20
30 16
10 0 Tétel- vagy folderszintű Webalapú e-mail Webalapú e-mail Cserélhető adathordozó Felhasználói címekre küldött, eszközök, például hozzáférés nagy felhasználói hozzáférés vagy fájlmegosztási belső iratkezelési weboldalak csatolmányt tartalmazó cserélhető lemezek, értékű adatokat tartalmazó rendszerekhez rendszerekre használata e-mailek pendrive-ok stb. használata és jelentésekhez vonatkozó anyaghoz © 2012 KPMG Közép és Kelet Európa Ltd., amely egy, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
a bankokat. Az olyan intézkedések, mint a cserélhető adathordozó eszközök titkosítása, a CD/DVD meghajtók letiltása, valamint az okostelefonok hálózati hozzáférésének korlátozása jelentősen hozzájárultak az adatlopás megelőzéséhez.
valamely integrált vállalatirányítási rendszer részét képező nyilvántartások. A fogyasztópiacra gyártók és az élelmiszeripari társaságok a vevőoldali adatok védelmét tartják aggályosabbnak, míg a kiskereskedőket a szállítóoldali információk biztonsága nyugtalanítja jobban. Ez összhangban áll számos CEE-ország versenyhatóságának fokozottabb figyelmével a különböző kereskedelmi gyakorlatok, és az erőfölénnyel való visszaélés kapcsán.
A veszélyeztetett adatok típusa A vállalati stratégiával és tervezéssel kapcsolatos információkat minden szegmensben magas kockázatúnak ítélték adatlopás szempontjától. A fogyasztópiaci vállalatok ezen kívül az üzleti folyamatokkal kapcsolatos adatokat is veszélyeztetettnek látták, ez azonban nem érvényes a kiskereskedelemre. A válaszadók által az ilyen típusú adatoknak tulajdonított magas kockázat két okra vezethető vissza: ezek az információk igen nagy értéket képviselnek a versenytársak vagy partnerek részére, és gyakran kevésbé szigorú ellenőrzés és nyomon követés alatt állnak, mint a strukturáltabb formában tárolt információk, például
A kockázat kezelése Bár a legtöbb válaszadó azt jelezte, hogy foglalkozik az adatlopás kockázatával, úgy tűnik, szükség van még további fejlődésre. A legtöbb válaszadó (59 százalék) csak informálisan foglalkozott a kockázattal, 50 százalékuk pedig csak alkalomszerűen. Nagyon kevesen (11 százalék) számoltak be arról, hogy ehhez külső tanácsadó segítségét veszik igénybe, bár többen jelezték, hogy dolgoztak már együtt független
4. ábra Az adatlopás által leginkább veszélyeztetett információtípusok 100
88
90 Válaszadók %-a
80
Fogyasztási cikkek
Kiskereskedők
88
75
71
70 60 40 30 20
54
46
50 32
31
29
31
19
36 19 11
10 Vállalati stratégiával Szállítóoldali Üzleti Vevőoldali Munkavállalókkal és tervezéssel tevékenységre folyamatokkal tevékenységre kapcsolatos kapcsolatos vonatkozó információk kapcsolatos vonatkozó információk információk információk (szerződések, információk (vevők összesen, teljes elköltött összeg, teljes elköltött termékárazás, összeg, termékárazás, engedmények stb.) engedmények stb.)
Vevőkkel kapcsolatos információk
Dizájnnal kapcsolatos információk
13
Szállítókkal kapcsolatos információk
Megjegyzés: „Az 1-től 5-ig tartó valószínűségi skálán (1 = nagyon valószínűtlen 5 = nagyon valószínű) a felsorolt információkat 4-es vagy 5-ös fokozattal jelölő válaszadók százalékos aránya. Külön jelölve a kiskereskedelmi és a fogyasztási cikkek ágazatba tartozó válaszadók. A fogyasztási cikkek ágazatba a fogyasztási termékek, élelmiszer- és italáruk szegmensekben működő válaszadók tartoznak." © 2012 KPMG Közép és Kelet Európa Ltd., amely egy, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
tanácsadókkal behatolási teszt elvégzésekor (36 százalék), valamint rendszeres biztonsági ellenőrzések és adatvédelmi intézkedések végrehajtásánál (43 százalék).
Annak biztosítását szolgáló intézkedések, hogy a társaságtól távozó vezetők és munkavállalók nem szivárogtatnak ki érzékeny információkat
45
5. ábra Az adatlopási kockázat felmérése
A partnerekkel történő adatcsere biztonságosságát szolgáló IT-intézkedések
48
Adatkezeléssel és biztonsággal kapcsolatos, harmadik felekre / üzleti partnerekre is kiterjedő szabályzatok
55
Az adatkezeléssel és biztonsággal kapcsolatosan a munkavállalóknak szóló társasági szabályzatok
57
A nagy értékű adatok hálózatból történő eltávolításának lehetőségeit korlátozó ITintézkedések
61
Fizikai biztonsági intézkedések az olyan helyiségekhez való hozzáférés korlátozása céljából, ahol nagy értékű adatokat tartanak vagy ilyenekhez lehet hozzáférni
73
A nagy értékű adatok külső támadásoktól való védelmét biztosító IT-intézkedések
80
IT-intézkedések a nagy értékű adatokhoz való hozzáférésnek a hálózaton belüli releváns felhasználókra történő korlátozása céljából
86
Kategória
Válaszadók %-a
Informálisan Formálisan Egyáltalán nem
59 39 2
Alkalomszerűen Rendszeresen Folyamatosan Egyáltalán nem
50 34 14 2
A társaságon belül Külső tanácsadók igénybevétele Egyáltalán nem
82 11 2
Megjegyzés: A válaszadók valamennyi vonatkozó kritériumot választhatták. Egyes válaszadók nem válaszoltak.
A válaszok az adatlopás, mint probléma általános alulbecslését tükrözik. Egyrészről magas kockázatnak tekintik, mégis kevés formális figyelmet kap. Jelentős előnnyel jár a kérdés formális kezelése az informálissal szemben, valamint a rendszeres vagy folyamatos kézben tartás az alkalmi ellenében. A formális, rendszeres figyelem alkalmas a kockázatok szisztematikus alapon történő áttekintésének és a felmerülő kockázatok gyors azonosításának biztosítására. A legtöbb szervezetben az adatlopási kockázattal kapcsolatos tevékenység az informatikai részleg sok feladatának egyike lesz; külső adatvédelmi szakértők bevonása a kockázatfelmérési folyamatba lehetővé teszi számukra, hogy szélesebb körű tapasztalatokra támaszkodjanak. A cserélhető adathordozó eszközök jelentette kockázat mellett voltak más területek is, amelyekkel kapcsolatban a válaszadók úgy vélték, hogy adatvédelmi intézkedéseik lehetnének szigorúbbak. Míg egyes területek megerősítése jelentős befektetést igényelhet, van néhány könnyen elérhető megoldás: gondoljunk a munkavállalói tudatosság növelésének költségeire vagy a munkavállalókra, illetve harmadik személyekre érvényes adatkezelési irányelvek tartalmának fejlesztésére. 6. ábra Az adatvédelmi intézkedések teljeskörűsége Kategória
Válaszadók %-a
A munkavállalók által a társaság létesítményein kívülre vitt adatok védelmét szolgáló IT-intézkedések
25
Rendszeres figyelemfelhívások valamennyi munkavállaló számára, amelyek célja a tudatosság növelése és a munkavállalók adatvédelemmel kapcsolatos felelősségeinek kommunikálása
27
A munkavállalók által a társaság létesítményein kívülre vitt, nagy értékű adatokat tartalmazó adatforrások védelmét célzó fizikai biztonsági intézkedések
30
Rendszeres behatolási teszt és etikus hacking eljárások elvégzése független felek által
36
A társaság biztonsági és adatvédelmi intézkedéseinek független felek által végzett rendszeres auditja
43
Megjegyzés: Az ábra azt mutatja, a válaszadók hány százaléka jelölte 4-es vagy 5-ös fokozattal a felsorolt adatvédelmi intézkedéseket a 0-tól 5-ig tartó skálán, amelyen azt értékelik, milyen mértékben vezette be az adott válaszadó ezeket az intézkedéseket (0 = nem alkalmazzák 5 = teljes körű intézkedések)
7. ábra Az adatkezelési politikák jellemzői Kategória
Válaszadók %-a
Az adatbiztonsággal kapcsolatos munkavállalói kötelezettségek jelzése
91
A társasági bizalmas anyagokkal kapcsolatos munkavállalói kötelezettségek jelzése
75
A munkavállalókkal szemben fennálló követelmény arra vonatkozóan, hogy jelezzék a szabályzatokkal való egyetértésüket
75
Annak jelzése, hogy a társasági ITberendezések és hálózatok használatát nyomon követik
73
Annak jelzése, hogy a társasági IT-berendezések és hálózatok magáncélú használata nem engedélyezett
64
Utószó A válaszadók 30 százaléka úgy nyilatkozott, hogy a növekvő kockázatok közepette nem elégedett az adatlopás kezelésére alkalmazott jelenlegi intézkedéseikkel.
© 2012 KPMG Közép és Kelet Európa Ltd., amely egy, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
Mit gondol, az Ön szervezete mennyire felkészült? A KPMG Forensic részlege támogatást nyújt a csalással és visszaéléssel kapcsolatos esetek kezelésében, beleértve az adatlopással kapcsolatos állítások vizsgálatát, jogi, büntető és hatósági eljárásokban a digitális bizonyítékok visszaállítását, a proaktív adatelemzést, és a csalásészlelési rendszereket. A KPMG IT Advisory részlege támogatást nyújt az ügyfeleknek valamennyi adatkezelési és információs biztonsági területen, tanácsot ad ajánlásokkal kapcsolatban, és segít az említett területeken azonosított kockázatok és hiányosságok kezelésére szolgáló intézkedések megvalósításában.
Kapcsolat:
Jimmy Helm partner, CEE Forensic T: +420 222 123 430
[email protected]
György Antalóczy menedzser, Forensic T: +36-70-3701794
[email protected] kpmg.com/hu
Az itt megjelölt információk tájékoztató jellegűek, és nem vonatkoznak valamely meghatározott természetes vagy jogi személy, illetve jogi személyiség nélküli szervezet körülményeire. Társaságunk ugyan törekszik pontos és időszerű információkat közölni, ennek ellenére nem vállal felelősséget a közölt információk jelenlegi vagy jövőbeli hatályosságáért. Társaságunk nem vállal felelősséget az olyan tevékenységből eredő károkért, amelyek az itt közölt információk felhasználásából erednek, és nélkülözik társaságunknak az adott esetre vonatkozó teljes körű vizsgálatát és az azon alapuló megfelelő szaktanácsadást. A KPMG név, a KPMG logó és a „cutting through complexity” a KPMG International lajstromozott védjegye. © 2012 KPMG Közép és Kelet Európa Ltd., amely egy, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
