Amikor a védelem már nem elég – Kiberkitettség 2025-ben

A cikk a Trade magazin 2025/8-9. lapszámában olvasható.

Vendégszerző:
Daniel Wittinghoff
üzletfejlesztési igazgató
Mastercard

Vendégszerző:
Mondovics Péter
marketingvezető
Mastercard

Cikksorozatunk első részében feltártuk a kiberbűnözés új mechanizmusait, az emberi manipulációra építő módszereket és az AI-alapú támadások térnyerését. Most arra keressük a választ, hogyan reagálhat minderre a gazdaság: mit tesznek a vállalatok, mire lenne szükség a szabályozásban, és miként lehetne a védekezést a valós kockázatokhoz igazítani.

Időcsapda: lassú reakció, gyors támadás

A Mastercard jelentése szerint a szervezetek többsége nem a technológia hiánya, hanem a lassú reakcióidő miatt sérülékeny. Míg egy kibertámadás akár másodpercek alatt végbemegy, az észlelés és az elhárítás gyakran napokat, heteket csúszik – ez pedig többszörösére növeli a károk mértékét.

Különösen a kkv-k esetében jellemző, hogy hiányzik az incidenskezelési gyakorlat, nincs kijelölt felelős, pedig csupán a válaszreakció reaktív, nem megelőző jellegű. A jelentés kiemeli: sok szervezet túlbecsüli a saját felkészültségét, így késlekedik a beavatkozással – miközben a támadások időelőnyben vannak.

Vakfoltok: nincs erőforrás, nincs stratégia

A jelentés szerint a vállalatok jelentős része nem rendelkezik integrált kiberbiztonsági stratégiával. Sokszor hiányzik az egységes szemlélet: az IT-biztonság nem épül be a kockázatkezelésbe, a döntéshozatalba vagy az üzletmenet-folytonosság tervezésébe. A magyar szervezetek 58%-a saját bevallása szerint nem rendelkezik formális eljárásrenddel egy kibertámadás esetére.

Ez különösen aggasztó a kis- és középvállalkozások esetében, ahol gyakran sem kapacitás, sem kompetencia nincs az alapvető biztonsági intézkedések meghozatalára. A Mastercard kutatása alapján a cégek többsége még mindig elszigetelt intézkedésekkel (pl. vírusirtó, jelszavak) próbál védekezni, miközben hiányzik a proaktív kockázatmenedzsment és a rendszeres oktatás.

Nulla bizalom, nulla kockázat?

A „zero trust” – azaz nulla bizalmon alapuló – modell a kiberbiztonság egyik legígéretesebb megközelítése, amely szerint senki sem tekinthető automatikusan megbízhatónak, még a belső hálózaton belül sem. A gyakorlatban azonban a bevezetése lassan halad: a Mastercard adatai szerint a vállalatok mindössze 16%-a alkalmaz teljes körű zero trust modellt.

Az átállás akadályai közt szerepel a komplexitás, a meglévő rendszerek közötti integrációs nehézségek, valamint a vezetői szintű elköteleződés hiánya. A legtöbb szervezet részleges megoldásokban gondolkodik – például többfaktoros hitelesítés vagy szegmentált hálózat – ám ezek csak akkor működnek hatékonyan, ha egységes elvek mentén kerülnek bevezetésre. A jelentés szerint a zero trust nem technológiai kérdés, hanem szemléletváltás, amely az egész vállalati működést áthatja.

Többet költünk, mégis keveset teszünk

A vállalatok többsége úgy érzi, egyre többet áldoz IT-biztonságra – a valós védelem azonban nem feltétlenül nő ezzel arányosan. Az önbevallott biztonsági kiadások gyakran nincsenek összhangban a tényleges hatékonysággal. Sokan rutinszerűen ruháznak be új megoldásokba, miközben elmarad a rendszeres tesztelés, frissítés és tudásfejlesztés.

A cégek 45%-a nem rendelkezik pontos képpel arról, hogyan térül meg a biztonsági befektetés, és hiányzik az adatalapú visszamérés is. Így jöhet létre az „IT-security színház” – amikor a látható beruházások megnyugtatják a vezetést, de nem állítják meg a támadásokat.

Nem (csak) technikai kérdés

A Mastercard jelentése szerint a védekezés hatékonysága legalább annyira múlik a szervezeti kultúrán és a szabályozási kereteken, mint a technológián. Magyarországon sok vállalatnál hiányoznak a jól definiált incidenskezelési protokollok, és nem egyértelmű, ki mit tegyen támadás esetén.

A probléma gyakran a kultúrából ered: a hibák elhallgatása, a bizalmatlanság és a felelősséghárítás légköre megakadályozza a nyílt tanulást és a gyors reagálást. A jelentés hangsúlyozza: minél inkább bátorít egy szervezet a gyanús jelek jelentésére és az együttműködésre, annál ellenállóbbá válik a kiberfenyegetésekkel szemben.

Amikor a kockázat pénzbe kerül

A kiberfenyegetettség ma már nemcsak IT-kockázat, hanem üzleti és pénzügyi realitás. A Mastercard szerint a támadások gyakorisága és következményei egyre nagyobb terhet rónak a vállalati működésre – az adatvesztéstől a reputációs válságon át egészen a versenyképesség csökkenéséig.

Különösen a kis- és középvállalkozások vannak kitéve a veszélynek: ők ritkán rendelkeznek tartalékokkal vagy biztosítási védelemmel egy jelentős incidens utóhatásainak kezelésére. A jelentés rávilágít: egyetlen nem kezelt támadás hónapokra visszavetheti a szervezet működését, és komoly piaci pozícióvesztést okozhat – különösen egy globálisan szabályozott környezetben.

Az új szabályozási környezet – például az EU NIS2 irányelve – további kihívásokat állít a vállalatok elé: az információbiztonság többé nem csak technikai kérdés, hanem vezetői felelősség. Az irányelv értelmében a cégeknek nemcsak védekezniük kell, hanem bizonyítaniuk is kell a megtett lépéseiket – ez pedig a kockázatkezelés és az átláthatóság új szintjét követeli meg.

Rejtett kockázatok a háttérben

A Mastercard jelentése figyelmeztet: a vállalatok gyakran nem saját rendszereiken keresztül válnak áldozattá, hanem külső partnereiken keresztül. A beszállítói lánc – különösen a digitálisan összekapcsolt szolgáltatók és alvállalkozók – egyre több támadás célpontjává válik. A támadók gyakran egy kisebb, gyengébb védelmű partneren keresztül jutnak be a nagyvállalat infrastruktúrájába, és így képesek hozzáférni érzékeny adatokhoz vagy megbénítani a működést.

Egy 2024-es nemzetközi incidens során pl. egy közepes méretű logisztikai alvállalkozón keresztül sikerült a támadóknak bejutni egy európai FMCG-nagykereskedő rendszerébe – az eredmény: háromnapos leállás, többmilliós veszteség és komoly reputációs kár. A Mastercard kutatása szerint az ilyen típusú, indirekt támadások száma az elmúlt két évben 38%-kal nőtt.

A védekezéshez ezért nem elég a saját rendszer megerősítése – szükség van a beszállítói lánc rendszeres auditálására, minimális biztonsági követelmények bevezetésére, és a partneri kockázatok integrálására a vállalati kockázatkezelési stratégiába. A jelentés szerint a magyar cégek mindössze 27%-a rendelkezik formális eljárásrenddel a beszállítók IT-biztonsági értékelésére. A jövőben tehát nemcsak az fog számítani, hogy egy vállalat mennyire biztonságos – hanem az is, hogy milyen kockázatot hordoznak azok, akikkel együttműködik.

Készen állunk vajon?

A Mastercard „Cyber Insights 2025” jelentése világosan mutatja: a kiberbűnözés új gazdasági realitást teremtett, amelyben a reagálás gyorsasága, a szervezeti kultúra nyitottsága és a dolgozók viselkedési felkészültsége legalább annyira számít, mint a technológiai háttér. A védekezés jövője nem elsősorban újabb szoftvereken, hanem tudatos, tanulóképes embereken múlik – vezetőkön, döntéshozókon és felhasználókon egyaránt.

A digitális támadások korában a biztonság már nem állapot, hanem folyamat. És ahogy a fenyegetések egyre kifinomultabbak, úgy kell a válaszoknak is azzá válniuk – mert a kérdés nem az, hogy célba vesznek-e minket, hanem az, hogy készen állunk-e. (x)