A jelenlegi helyzetben a legtöbb magántulajdonú gazdasági szereplő is home office-ba és más távmunkába kényszerül, aminek köszönhetően kiugróan nagy hányadukat fenyegeti speciális kiberbiztonsági kockázat. A Deloitte Private szakértői összefoglalták, milyen kihívásokkal kell szembenézniük a családi vállalkozásoknak az adatvédelem terén és miket érdemes átgondolni a megelőzéshez.
A kíméletlen gyorsasággal erősödő válságra adandó gyors és gyakorlatias reakciók kialakítása kapcsán a téma aktualitását mi sem tükrözi jobban, minthogy a COVID-19 világjárvány olyan szervezeket is új digitális munkafolyamatok és gyakorlatok alkalmazására kényszeríti, ahol ezek megfelelő előkészítése jellemzően nem történt meg a múltban. Emberek milliói dolgoznak otthonról, különböző videó kommunikációs eszközök válnak a napi rutin részévé, a virtuális magánhálózatok (VPN) használata pedig kulcsfontosságú szerepet tölt be a biztosított információcserében. Míg a világ az egészségügyi és a gazdasági veszélyekre összpontosít, fokozott kiberbiztonsági kockázat jelentkezik az otthoni munkavégzés miatt, amit a kiberbűnözők előszeretettel ki is használnak.
Egy autó is okozhat adatvesztést
A családi vállalkozásokra jellemző, hogy szorosan összekapcsolt környezetben működnek, ahol a növekvő adatmennyiség az online támadások kockázatát is magában hordozza. A legfőbb döntéshozók személyes informatikai eszközei – például a laptopok, okostelefonok, de ide tartoznak már az autók és más szenzoros eszközök is -, egyszerre tartalmaznak személyes és üzleti információkat, illetve hozzáférési pontokat a céges levelezéshez, belső rendszerekhez, vagy közösségi média profilokhoz. Bár a legtöbb családi vállalkozás úgy ítélheti meg, hogy az online támadások ártalmatlanok, ezek miatt a sérülékeny, jellemzően nem megfelelően védett hozzáférési pontok miatt a családi vállalkozások jelentős része mégis vonzó célpont a hackerek és bűnözők számára. Gondoljunk csak egy feltört közösségi média fiókból származó hamis hírre a tulajdonosok személyes vagy üzleti preferenciáit és a társaságot érintően, vagy egy megtévesztő e-mailre a CEO, CFO mail fiókjából. A veszélyeket tovább fokozza, hogy az egyes eszközök céges és magáncélú együttes használata egyre jobban összemosódik a kialakult helyzetben. A szélesebb felhasználói kör automatikusan több, szenzitív adat megjelenését jelenti, ezzel jelentősen megnövelve cyber-fenyegetettség mértékét.
Business Email Compromise: kiemelt veszély a vezetők emailjei között
Az úgynevezett ‘Business Email Compromise’ típusú csalások a családi vállalkozások vezetőit fenyegetik leginkább. Az ilyen jellegű támadások során a cégek vezetőit személyesítik meg a csalók, aminek következtében pénzátutalásra presszionáló lépéseket tesznek. Ezeknek a megelőzése azonban kevésbé az IT rendszerek és egyéb infrastruktúrák tovább fejlesztésével kezelhető leghatékonyabban, hanem a belső folyamatok kialakításával és szigorításával, valamint a jogi feltételrendszer, szerződések felülvizsgálatával, folyamat szintű monitorozásával. A fenyegetettség súlyosságát jól mutatja, hogy az FBI is kiemelt veszélyként kezeli ezt a típust a csalási módszerek közül.
Azonnali kár és hosszú távú hatások
A kiberbűnözők egyik leggyakoribb taktikája a munkavállalók bizalmának megszerzése, amit valósághű kommunikáción keresztül érnek el. A munkavállalók bizalmát kihasználva olyan bizalmas információkról szereznek tudomást, amelyek korrumpálása jelentősen veszélyezteti az üzleti teljesítményt. A kibertámadások „látható” hatásai olyan közvetlen költségek, amelyek az adatlopás, hamis tranzakciók, jognyilatkozatok leggyakoribb velejárói. A „nem látható” vagy nem közvetlen hatások azonban sokszor súlyosabban érinti a szervezeteket olyan következmények formájában, amelyekről kevesebb információ áll a rendelkezésünkre. Ezek legtöbbje nem kézzelfogható, azonnali költség, és nehéz őket számszerűsíteni, de többek között ide tartozik a márkanév sérelme, a szellemi termékek eltulajdonítása, a megbízható működés megbénulása, vagy akár a vállalatot irányító család tagjainak érzelmi, morális és reputációs sérülése is.
„A családok körül minden információ érzékeny – információ a vagyonról, a család magánéletére vonatkozó körülményekről, a szubjektív döntések által vezérelt üzleti tervekről és döntésekről. Mivel a tehetős családok a kiberbűnözők kiemelt célpontjai lehetnek, az információk dedikált és egységes védelmére kell törekedniük” – mondta dr. Kóka Gábor, a Deloitte Private közép-kelet európai vezető partnere.
Személyre szabott védelemre van szükség
A tudatosság és a megfelelő felkészültség nélkülözhetetlen, amely a családi vállalkozás méretétől, iparágától függően változhat. Míg egy gyártó cég működése során a szellemi termék védelme kaphat prioritást, addig egy fogyasztási cikkekkel kereskedő vállalat többet aggódhat az ügyfelek adatai miatt. Az Európai Unió 2018 májusától hatályos Általános Adatvédelmi Rendelete (GDPR) jelentősen megváltoztatta az adatkezelési szabályokat Magyarországon is. A GDPR értelmében a vállalkozások felelőssége megnőtt az általuk kezelt adatok védelmével kapcsolatban, azonban az ennek való jogi megfeleléssel párhuzamosan mégis jelentős hiányosságok érhetők tetten a kiberbiztonság területén.
Kihívások
A kiberbiztonsági kockázatok egyik hatékony kezelése, ha az intézkedések közvetlenül a vállalati stratégiába épülnek be. Egy 2019-es Deloitte tanulmány például feltárta, hogy habár a family office-ok 32%-a jelentett veszteségeket kibertámadások miatt, csupán alig 48%-uk rendelkezett erre a területre fókuszált stratégiával. A hatékony hálózatvédelem kiépítése mellett vannak olyan figyelőeszközök, amelyek a kibertámadások valós idejű észlelésére képesek. Annak érdekében, hogy a munkavállók számára is felismerhetővé váljanak a kockázati tényezők, érdemes képzéseket tartani, ahol lehetőség nyílik az adathalász támadások szimulációs gyakorlatára is. A megelőző intézkedések mellett ugyanakkor egyre elterjedtebb, hogy a vállalkozások kiberbiztosítást kötnek. A globális kiberbiztosítási piac 2017-ben már több, mint 4.5 milliárd USD méretű volt.
Kiberbiztonsági checklist
A fenti kihívásokra egy felkészült családi vállalkozás megelőző jelleggel könnyebben találhat megoldást, ha képes a lehetséges kockázatokat időben beazonosítani, ezáltal egy tényleges támadást gyorsan észlelni és arra megfelelően reagálni, mintha utólag tenné meg ezeket. Gondolatébresztőként a Deloitte Private szakértői összeszedtek néhány általánosabb kérdés, aminek a megválaszolásával is hatékony lépések tehetők annak érdekében, hogy egy családi vállalkozás képes legyen kivédeni a potenciális kibertámadásokat.
· Rendelkezik-e a vállalkozás megfelelő stratégiával a szervezetet érintő fenyegetések feltárása, azonosítása, kivédése és a szükséges reakciók megadása érdekében?
· Felismerve, hogy a legtöbb támadás emberi hibára épít, tart-e megfelelő képzéseket az alkalmazottak számára, hogy a veszélyeket idejében felismerjék?
· Rendelkezik-e a társaság naprakész adattárolási és védelmi politikával minden digitális hozzáférés tekintetében?
· Képes-e a szervezet a család és az üzlet számára legfontosabb digitális eszközök beazonosítására és védelmére?
· Megtörtént-e a szervezeten belül az információbiztonsági ügyekért felelős dedikált személy vagy csoport kinevezése?
· Rendelkezik-e a család, illetve a vállalkozás közösségi média platformokra vonatkozó politikával?
· A vezető beosztású és érzékeny információkhoz hozzáférő családtagok valóban tisztában vannak-e a lehetséges kockázatok szintjével és mértékével? Rendelkezik-e a kockázatok csökkentésére irányuló intézkedésekkel a család és a társaság?
