A 25 alkalmazottnál kevesebb főt foglalkoztató mikrovállalatok tartják a legkevésbé fontosnak, hogy IT stratégiát dolgozzanak ki – derült ki a Kaspersky Lab és a B2B International közös felmréséből (IT Security Risk Survey 2014), amely a világ 27 országában – közöttük Magyarországon – több mint 3900 vállalatot ölelt fel. A megkérdezett mikrovállalatok csupán 19 százaléka sorolta az IT-t a három legfontosabbnak tartott, stratégiai terület közé, míg a több mint 100 alkalmazottal rendelkező vállalatok körében ez az arány 30, az 5 ezernél több munkavállalót foglalkoztató cégek kategóriájában 35 százalék volt.
Sok kis- és mikrovállalat véli, túlságosan kicsi ahhoz, hogy támadások célpontjává váljon, és egyébként sincsenek olyan adatai, amelyekre a kiberbűnözők foga fájna. Hogy ez mekkora tévedés, arra a Verizon tavalyi – törvényszéki vizsgálatok eredményét összegző – jelentése (2013 Data Breach Investigations Report) is rámutatott: a 621 elemzett adatlopási incidens közül 193 – az esetek több mint 31 százaléka – 100 vagy annál kevesebb alkalmazottat foglalkoztató vállalatnál történt. Amint egy vállalat elkezd hitelkártyás fizetéseket feldolgozni, tárolja a vásárlói információkat, vagy új termékekre vonatkozó terveket készít, máris olyan adatokkal rendelkezik, amelyek értékesek a kiberbűnözők szemében, hangsúlyozza a jelentés. Nem a méret számít, egyes hackerek kifejezetten a könnyű célpontnak tartott kisvállalatokra vadásznak, amelyek jellemzően gyenge IT védelmet alakítanak ki.
A Kaspersky Lab felméréséből ugyanakkor kitűnik, hogy a mikrovállalatok tisztában vannak az online fenyegetések veszélyeivel. Amikor arról kérdezték őket, hogy az üzleti informatika terén mi miatt aggódnak a leginkább, 35 százalékuk az adatvédelmet a három legfőbb ok közé sorolta. Tudatában vannak ezek a cégek annak is, hogy az IT létfontosságú szerepet játszik az érzékeny adatok megóvásában, valamint annak elkerülésében, hogy a rosszindulatú programok és hackertámadások hátráltassák vagy megbénítsák az üzletmenetet.
Hasonlóképpen, a mikrovállalatok jól ismerik a mobil eszközök üzleti használatából származó előnyöket és biztonsági kockázatokat is. A megkérdezett vállalatok 34 százaléka számolt be arról, hogy mobil eszközöket integrált informatikai rendszereibe az elmúlt 12 hónapban, méghozzá a nagyobb vállalkozásokkal közel azonos ütemben. Mi több, ezek a cégek vannak leginkább tisztában a mobil eszközök biztonsági problémáival. A mikrovállalatok 31 százaléka sorolta a mobil, illetve hordozható informatikai eszközök védelmét a három legfontosabb IT biztonsági prioritás közé a következő 12 hónapra nézve. Kifejezetten magas arány ez a megkérdezett, összes vállalat 23 százalékos átlagához képest.
Veszélyes cégvezetés
Mindenek tükrében meglepő, hogy a mikrovállalatok többsége mégsem kezeli stratégiai jelentőségű prioritásként az IT stratégia, és vele együtt a hatékony védekezés kialakítását. Az ellentmondás egyik ésszerű magyarázata lehet, hogy a pénzeszközök hiánya akadályozza meg őket a fejlettebb informatikai és IT biztonsági intézkedések megtételében. A Kaspersky Lab ezért azt ajánlja ennek a cégkörnek, hogy olyan biztonsági technológiákba ruházzon be, amelyek a leghatékonyabb azonnali védelmet adják az őket fenyegető leggyakoribb veszélyekkel szemben.
A kibertámadás következtében üzleti adatokat már veszített kisvállalatok 32 százaléka a vírusfertőzést, a rosszindulatú kódot jelölte meg a biztonsági esemény lehetséges okaként. Ez az arány a nagyvállalatok körében csupán 16 százalék. Második helyen a szoftverek sérülékenységét említették a válaszadók. A mikrovállalatok 9, az összes megkérdezett cég 8 százaléka nevezte meg ezt az okot, ami azt mutatja, hogy a szoftverek sérülékenysége minden szervezetet közel azonos mértékben érint.
Méretükhöz illeszkedő, átfogó IT-biztonsági szoftvercsomag bevezetésén túl a Kaspersky Lab megfelelő biztonsági stratégia kialakítását tanácsolja a mikrovállalatoknak. Ennek a kockázatok kezelését szolgáló irányelvek és folyamatok kidolgozása és dokumentálása mellett vészhelyzeti tervet, valamint olyan mechanizmusokat is tartalmaznia kell, amelyek gondoskodnak a szabályzatokban foglaltak betartásáról, és a biztonságtudatosságot is erősítik az alkalmazottak körében. Nem utolsósorban a szoftverek rendszeres frissítéséről sem szabad megfeledkezni.