Sürgős intézkedésekre van szükség a kiberbiztonság terén a digitális környezet rohamos fejlődése miatt. A mindent átszövő digitális kapcsolatok és az olyan gyorsan megjelenő technológiák, mint a mesterséges intelligencia, szakmai és magánéletünk szinte minden aspektusát újra definiálják. Így a kiberbiztonság nem csupán üzleti szempontból aggasztó, hanem a társadalom minden területét érintő, egyetemes kérdéssé vált – hívja fel a figyelmet a KPMG Cybersecurity Considerations jelentése. A tanácsadó cég nyolc kulcsfontosságú szempontot határozott meg.

Meddig terjed a CISO hatásköre?

A szervezetek digitális átalakulása, a kiberfenyegetések és a szabályozások bővülése jelentős változásokat hozott az információbiztonsági vezetők (CISO-k) szerepében. Ők ma már nem csupán informatikai biztonsági vezetők, és nem is csak a szervezetek influenszerei, hanem kulcsfontosságú szereplők a vállalatirányításban. Részt vesznek a kockázatértékelésben, a vállalati célok és biztonsági prioritások összehangolásában, a megfelelő kockázatkezelési szint kialakításában. A vezetőség egyre gyakrabban kéri közvetlen beszámolóikat, és elvárja tőlük, hogy a technikai részleteket világosan és érthetően közvetítsék a nem technikai döntéshozók felé. Meg kell érteniük az üzleti folyamatokat, és képesnek kell lenniük arra, hogy a biztonsági intézkedéseket ezekhez igazítsák. A szervezeti kultúra és munkamódszerek alakításában is szerepet kell vállalniuk. Meg kell határozniuk, hogyan segítheti a mesterséges intelligencia a vállalat, az alkalmazottak és az ügyfelek védelmét, miközben beruházásokkal és integrált AI-specifikus védelmi megoldásokkal kell biztosítaniuk a modellek biztonságát.

Átfogó képzési programokkal leküzdhető a humánkockázat

A kiberfenyegetések elleni küzdelemben továbbra is az emberi tényező a legkritikusabb. Ahogy a szervezetek folyamatosan digitalizálják üzleti modelljüket, a kiberkockázatok ellensúlyozásához szükséges tudást és humánerőt egyre nehezebb felépíteni. Az új, kifinomult technológiák és a gyorsan fejlődő fenyegetések csak súlyosbítják a már most is növekvő szakképzettségi hiányosságokat. Ráadásul egyre mélyül a szakadék a műszaki és nem műszaki készségek között. Az adatvédelmi, kockázati és megfelelési szakemberek esetében az erős technikai képességek továbbra is elengedhetetlenek, de egyre fontosabb a hatékony kommunikáció, a problémamegoldás, az alkalmazkodóképesség és az együttműködés is. Ennek kezelésében segíthetnek az átfogó képzési programok. A munkaerőt megtartani is nehezebbé válik; a KPMG biztonsági műveleti központokról szóló friss felmérésében a biztonsági vezetők csaknem fele mondta, hogy ezzel komoly problémái vannak. Itt érdemes szorosan együttműködni a HR-rel: a rugalmas munkarend, a világos karrierlehetőségek és a szakmai fejlődési lehetőségek biztosítása vonzó lehet a kiberbiztonsági tehetségek számára, és a tapasztalatok szerint a befogadásra, a sokszínűségre és a méltányosságra irányuló kezdeményezések is fontosak lesznek a készséghiány kezelésében.

Miként teremthető bizalom az AI iránt?

Az AI betört, és velünk is marad. A szervezetek továbbra is vizsgálják, hogy a mesterséges intelligencia hogyan növelheti üzleti tevékenységük értékét. Helye gyakorlatilag minden szervezeti funkcióban van, elfogadását és bevezetését azonban számos kulcsfontosságú kiber- és adatvédelmi kihívás befolyásolhatja. E tekintetben a vezetők továbbra is szkeptikusak. Az adateltolódás, a jogosulatlan hozzáférés és a visszaélések kockázata változatlanul magas. A vezérigazgatók 70 százaléka azt mondja: vállalata növeli a befektetéseit a kiberbiztonságba, kifejezetten az AI-hoz köthető fenyegetések elleni védekezés miatt. A nagyobb átláthatóság, elszámoltathatóság és irányítás a mesterséges intelligencia fejlesztése és alkalmazása körül valószínűleg a CISO-k egyik legfontosabb prioritása lesz. A bizalmat hiteles, minőségi és ellenőrzött adattal tanított AI-implementációk tarthatják fenn, a rendszerek folyamatos monitorozását és értékelését be kell építeni a szervezet napi működésébe, mindez pedig komoly és folyamatos odafigyelést igényel. A vállalatoknak nyomon kell követniük a szabályozási fejleményeket is, és ezeket proaktívan össze kell hangolniuk AI-irányítási gyakorlataikkal, hogy bizalmat építsenek ki az érdekelt felekben.

Használható-e AI a kiberbiztonsághoz – ha egyébként maga az AI is még kockázat?

A mesterséges intelligencia a hatékonyság növelésének, a működési költségek csökkentésének, a kockázatkezelés javításának és a növekvő munkaterhelés lehetséges kezelésének eszközeként jelenik meg. A lehetőség ugyanakkor komoly kockázatokat is hordoz, és sok kérdést felvet egyebek mellett az adatbiztonság vagy a képzés hiánya terén. A KPMG kutatása szerint eközben a vállalatok felsővezetői és igazgatói szintjén egyre erősebb a félelem attól, hogy kimaradnak az AI nyújtotta előnyökből. 82 százalékuk elismerte, hogy a versenytársakkal való lépéstartás érdekében olyan technológiai beruházások mellett döntenek, mint például a virtuális és kiterjesztett valóság. Mielőtt azonban fejest ugranának az AI bevezetésébe, a szervezeteknek gondoskodniuk kellene arról, hogy az alapvető kiberbiztonsági folyamatok szilárd alapokon álljanak, és a vezetők az AI jelenlegi – és rohamosan fejlődő - képességeinek és korlátainak ismeretében döntsenek. A CISO-knak ezért az AI kiber- és adatvédelmi funkciókba való integrálásának mérlegelésekor ismerniük kell szervezetük jelenlegi kiberbiztonsági helyzetét, azonosítaniuk kell az esetleges hiányosságokat, gyengeségeket, és össze kell vetni a potenciális előnyöket a kockázatokkal – ez pedig rendszerenként különböző eredményeket hozhat.

Meddig biztonságos csökkenteni a platformok számát?

Annak érdekében, hogy leküzdjék az egyre összetettebb kiberbiztonsági kockázatokat, a szervezetek folyamatosan bővítik a digitális eszközeik védelmére szolgáló megoldások arzenálját. Itt már pusztán a rendelkezésre álló lehetőségek száma is nyomasztó lehet. Sok szervezet vizsgálja a biztonsági platformok bevezetését, amelyek nagyobb hatékonyságot, jobb átláthatóságot, a költségek csökkentését, és a biztonsági környezet feletti fokozott ellenőrzést biztosítanak számukra. Az elmozdulás a platformok konszolidációja felé azonban buktatókat is rejthet. Az egyik jelentős – bár nem új – aggodalom a koncentrációs kockázat, amikor a szervezet túlzottan függővé válhat egyetlen szállítótól vagy platformtól. Egy másik, kereskedelmi szempontból jelentkező kihívás a beszállítói kötöttség. Ahogy a szervezetek egyre inkább függenek egy adott termék- vagy szolgáltatáskészlettől, előfordulhat, hogy a választott platform már nem felel meg igényeiknek. Ilyen esetekben a szolgáltatóváltás költséges és összetett vállalkozás lehet, jelentős kompatibilitási problémákkal és további képzési követelményekkel járhat.

„E kockázatok mérséklése érdekében fontolóra kell venni a platformkonszolidáció hibrid megközelítését” – javasolja Lukács Kornél, a KPMG kiberbiztonsági tanácsadásért felelős partnere.

Hogyan azonosíthatók az emberek a kibertérben?

Az eszközök és felhasználók megbízható azonosítása egy olyan szilárd alap, amely nélkül nem létezik IT-biztonság. A digitális személyazonosságok utat nyitnak egy agilisabb és hatékonyabb digitális világ felé. Ezen a téren világszerte számos innovációval találkozhatunk, az identitás-hitelesítés azonban továbbra is kihívást jelent. A rendszerek közötti széles átjárhatóság, a deepfake megjelenése és a személyes és biometrikus adatfeldolgozás terjedése megköveteli a jövőálló hitelesítési megoldások kidolgozását és korszerű szabályozások kialakítását. A CISO-knak és a döntéshozóknak jobban meg kell érteniük a helyzetet, újra kell gondolniuk a berögzült folyamatokat, és be kell fektetniük a szilárd elveken nyugvó innovatív rendszerekbe.

Megvédhetők-e az okoseszközök?

Az okos eszközök és termékek robbanásszerű elterjedése megváltoztatta a kapcsolattartást a bennünket körülvevő világgal, ezzel együtt pedig a hagyományos biztonsági hozzáállás is elavulttá vált, az alig egy évtizeddel ezelőtt alkalmazott módszerek már nem elegendőek. A termékek egyre rövidülő életciklusa során megjelenő sebezhetőségek a gyártókat és a szabályozókat is arra késztetik, hogy minél gyorsabban minél fejlettebb módszereket keressenek, amelyekkel lehetővé teszik az összekapcsolt eszközök biztonságos használatát. Az eszközök által elért vállalati adatvagyon védelme kulcsfontosságú lesz az ágazatok és infrastruktúrák integritásának, biztonságának megőrzése szempontjából.

Létezik-e stabil biztonsági kultúra?

A működés zavartalansága szempontjából a kiberbiztonság alapvető tényező lett az egyes szervezetek és az egész társadalom számára is. Továbbra is aggasztó, hogy a támadók zsarolóprogramokat vagy más rosszindulatú eszközöket használnak nagyszabású ipari zavarok előidézésére, adatok és akár emberi életek kockáztatásával. A beszállítók is biztonsági kockázatot hordozhatnak: a szervezetek egyre inkább külső szolgáltatókra támaszkodnak a szoftverek és szolgáltatások terén, így fokozott a veszélye annak, hogy ezek az ellátási lánc gyenge láncszemei lesznek. Meg kell találni a módját annak, hogyan hozhatunk létre széles körű, holisztikus és ellenálló biztonsági kultúrát az egész vállalatban azzal a céllal, hogy minden érintett felismerje és hozzátegye a magáét a rendszerek és folyamatok tervezésétől a működtetésen át egészen a kivezetésig.

Kapcsolódó