A 2022-es év kivételes év volt, amelyet a COVID-19 világjárvány, az ellátási lánc szűk keresztmetszetei, geopolitikai konfliktusok és gazdasági problémák határoztak meg. Ehhez jött még a kibertámadások növekvő száma is. Mindezek együttesen megnehezítik a vállalatok életét.
A 2022-es év kivételes év volt, amelyet a COVID-19 világjárvány, az ellátási lánc szűk keresztmetszetei, geopolitikai konfliktusok és gazdasági problémák határoztak meg. Ehhez jött még a kibertámadások növekvő száma is. Mindezek együttesen megnehezítik a vállalatok életét. Az olyan szakértők, mint például az Interpol, a kibertámadások, ezen belül is a zsarolóprogramok és az adathalászat jelentős növekedésére számítanak a 2023-as évben. Ha a vállalatok fel akarnak készülni a 2023-as évre, akkor fontos, hogy ne csak tisztában legyenek a biztonsági szempontból sebezhető pontjaikkal, hanem ki is javítsák azokat. Ebben a kontextusban több olyan tendencia is van, amely fontos lesz 2023-ban.
1. A kritikus infrastruktúra továbbra is a kiberbűnözők célpontja marad
A különböző médiajelentések szerint a kritikus infrastruktúrát szinte naponta érik kibertámadások és ez a helyzet egyre nagyobb bizonytalanságot okoz a vállalatok számára. A kiberbűnözők 2023-ban még nagyobb mértékben veszik célba a rendkívül érzékeny infrastruktúrákat, például az egészségügyi- vagy az energiaszolgáltatókat. Ami feltűnő, hogy a támadások egyre gyakoribbá, gyorsabbá és célzottabbá válnak. Ez nemcsak a hackerek egyre nagyobb hozzáértésének köszönhető, hanem a Cybercrime-as-a-Service (CaaS, Kiberbűnözés-mint-egy-Szolgáltatás) trendjének is, amely az amatőr bűnözők számára is megkönnyíti, hogy saját támadásokat alakítsanak ki és ezekből profitáljanak.
2. Új szabályozás van készülőben
Az Európai Parlament 2022 végén megállapodott az uniós tagállamokkal egy olyan keretrendszerről (NIS 2), amelynek célja a hálózatok és információs rendszerek felkészültebb védelme a kibertámadásokkal szemben. A tagállamoknak 21 hónap áll rendelkezésükre, hogy a NIS 2-t átültessék nemzeti jogrendjükbe. A NIS 2 minimumkövetelményeket állapít meg az országok közötti együttműködésre vonatkozóan és ilyen módon igyekszik azt harmonizálni. A hangsúly itt is a kritikus infrastruktúrákon van; az új követelmények be nem tartása súlyos bírságokat von maga után. Más vállalatoknak is javítaniuk kell biztonsági intézkedéseiket az új keretrendszer alapján, és egy esemény bekövetkezésétől számított 24 órán belül jelenteniük kell azt az illetékes hatóságoknak. Ugyanakkor aggodalomra ad okot, hogy a legutóbbi Security Barometer 2022 felmérésben résztvevő vállalatok IT biztonsági vezetőinek 47 százaléka jelezte, hogy egyáltalán nem ismeri a jelenlegi intézkedéseket. A megkérdezettek 10 százaléka mondta, hogy nem tesz óvintézkedéseket az informatikai biztonság növelése érdekében. Ezért a vállalatoknak mielőbb lépéseket kellene tenniük ezen gyengeségeik orvoslására, és biztonsági intézkedéseiket is magasabb szintre szükséges emelniük – nemcsak a kibertámadások, hanem a bírságok elkerülése érdekében is.
3. A vállalatok még mindig hiányt szenvednek informatikai szakemberekből
A Német Szövetségi Statisztikai Hivatal szerint a német vállalatok több mint háromnegyedénél gondot okozott az üres álláshelyek betöltése 2022-ben és a nemzetközi helyzet sem jobb. A Cybersecurity Workforce Study 2022 szerint az informatikai biztonság területén a biztonsági szakemberek hiánya több mint 26 százalékos volt 2021-hez képest. Számokban kifejezve ez azt jelenti, hogy a vállalatoknak 3,4 millió további szakértő munkavállalóra lenne szükségük, miközben a kibertámadások száma egyre nő. Ennek eredményeképpen a helyzet 2023-ra még kritikusabbá válik, mert a biztonsági réseket vagy túl későn, vagy egyáltalán nem zárják be; esetleg egyszerűen figyelmen kívül hagyva ezeket. E kihívások kezelése érdekében a vállalatoknak fiatal, tehetséges munkavállalókat kell alkalmazniuk, akár olyanokat is, akik kevés szakmai tapasztalattal rendelkeznek. Megfelelő megoldást jelenthet a képzés és továbbképzések azon vállalatok számára, amelyek időben szeretnék végrehajtani az új biztonsági szabványokat és előírásokat.
4. A bankokat egyre inkább érinti a „social engineering” (pszichológiai befolyásolás)
A „social engineering” támadások gyakran csak a kezdetét jelentik egy nagyobb méretű kibertámadásnak. A bűnözők 2023-ban várhatóan tovább bővítik célpontjaik körét, mivel egyre inkább a banki és pénzügyi szektorra összpontosítanak. A valós időben végrehajtott „social engineering” támadások szintén komoly fenyegetést jelentenek. Ilyenkor egy magát banki vagy közintézményi alkalmazottnak kiadó személy felhívja az ügyfelet és arra ösztönzi, hogy utalja át a pénzét egy „biztonságos” számlára. Mivel az ügyfél maga utalja át a pénzt, a valódi bank számára nehéz megállapítani, hogy csalásról van-e szó. Ugyanakkor 2023-ban a bankszektorban a személyazonosság-lopások és a bűncselekmény céljából történő számlaátvételek előfordulása is növekedni fog, mivel a kiberbűnözők ezeken a területeken végrehajtott támadásokban is egyre jártasabb válnak.
5. Új fenyegetés a deepfake
Az Europol és az FBI szerint a deepfake komoly veszélyt jelent. Bár a deepfake még nem olyan fejlett, hogy széles körben elterjedtnek lehessen tekinteni, a kiberbűnözők egyre inkább visszaélnek majd ezzel a technológiával, hogy a csalás során alkalmazott “forgatókönyveiket” még hitelesebbé tegyék. Már érkeztek jelentések arról, hogy hamis videókat vagy akár hamisított hangfelvételeket is használtak a „know-your-customer” (KYC, ismerd-az-ügyfeledet) ügyfél ellenőrzési folyamatok megvalósítására. Mivel a technológia továbbra is rohamosan fejlődik, csak idő kérdése, hogy a kiberbűnözők is felhasználják azt. Az alapok már rendelkezésre állnak, a deepfake létrehozásához szükséges forráskód sokszor nyíltan elérhető.
A veszélyeket komolyan kell venni
A vállalatoknak és az informatikai döntéshozóknak fel kell készülniük a szigorúbb informatikai biztonsági követelményekre. A biztonsági intézkedéseket is fel kell gyorsítaniuk, hogy jobban megvédjék ügyfeleiket, hiszen csak valószínűleg idő kérdése, hogy kibertámadás áldozatává váljanak.