KPMG a kiberbiztonságról: Kiszolgáltatottság helyett kiszolgálás

A KPMG hatodik éve készíti el Cybersecurity Considerations jelentését. Az eltelt öt évben, tehát 2020 és 2025 között a folyamatosan változó kiberbiztonsági környezet kézzelfogható fókuszpontként jelent meg a szervezeti vezetők számára. Több kulcsfontosságú téma évről évre visszaköszön, ilyen például a rugalmasság, a személyazonossági hozzáférés-kezelés (IAM), a felhőbiztonság, vagy a tehetség- és készséghiány. A hangsúly azonban eltolódott a hagyományos biztonsági intézkedésektől a globális és sokrétű digitális környezet prioritásai és kihívásai felé, amelyekre az ionformációbiztonsági vezetőknek szinte valós időben kell reagálniuk. A COVID-19 járvány magával hozta a távmunka elterjedését, emiatt a felhő és a mesterséges intelligencia biztonságára való összpontosítás az információbiztonsági terület kulcsfontosságú célkitűzésévé vált. A tehetséghiány már régóta kritikus kérdés, és ez csak fokozódik a feltörekvő technológiák és az ezekhez szükséges új és változatos készségek tükrében. A személyazonossági hozzáférés-kezelés a Zero Trust stratégiák középpontjába került, a digitális identitások és a hamisítványok azonosításának eszköze lett. A rugalmasság általános követelménnyé vált, és ez a jövőben is így marad. A KPMG kutatásai szerint a vizsgált alapvető biztonsági eszközök nagy része továbbra is központi szerepet játszik. Azonban az új technológiák, a bővülő szabályozások, a kifinomultabb eszközök és a növekvő fenyegetések között az információbiztonsági vezetők szerepe és felelőssége egyre nagyobb.

Nyolc kulcsfontosságú szempont a kiberbiztonságban

A KPMG jelentése nyolc kulcsfontosságú szempontot határoz meg – ezeket kell figyelembe venniük a korszerű vállalatok vezetőinek 2025-ben, hogy mérsékeljék az aktuális kockázatokat, kiépítsék a megfelelő ellenálló képességet, és közben elősegítsék az üzleti növekedést.

1. Meddig terjed a CISO hatásköre?

A szervezetek digitális átalakulása, a kiberfenyegetések és a szabályozások bővülése jelentős változásokat hozott az információbiztonsági vezetők (CISO-k) szerepében. Ők ma már nem csupán informatikai biztonsági vezetők, és nem is csak a szervezetek influenszerei (ahogy azt a 2022-es Cybersecurity Considerations KPMG-felmérés megállapította), hanem kulcsfontosságú szereplők a vállalatirányításban. Részt vesznek a kockázatértékelésben, a vállalati célok és biztonsági prioritások összehangolásában, a megfelelő kockázatkezelési szint kialakításában. A vezetőség egyre gyakrabban kéri közvetlen beszámolóikat, és elvárja tőlük, hogy a technikai részleteket világosan és érthetően közvetítsék a nem technikai döntéshozók felé. Meg kell érteniük az üzleti folyamatokat, és képesnek kell lenniük arra, hogy a biztonsági intézkedéseket ezekhez igazítsák. A szervezeti kultúra és munkamódszerek alakításában is szerepet kell vállalniuk. Meg kell határozniuk, hogyan segítheti a mesterséges intelligencia a vállalat, az alkalmazottak és az ügyfelek védelmét, miközben beruházásokkal és integrált AI-specifikus védelmi megoldásokkal kell biztosítaniuk a modellek biztonságát.

Helyzetüket nehezítik a tisztázatlan felelősségi körök, gyakran egyensúlyoznak a tanácsadói és a döntéshozói szerep között. Sokszor erőforráshiánnyal küzdenek, és folyamatos nyomás alatt vannak, hiszen a dinamikus fenyegetések állandó éberséget és gyors reagálást követelnek. „Megoldás lehet itt a felelősségi körök felosztása – egyre több vállalat ismeri fel, hogy ezt a feladattengert nem lehet egyetlen személyre rázúdítani. A kiberbiztonsági küzdelem egyenlőtlen: az adott csapatnak folyamatosan védenie kell az egész vállalatot, a támadóknak viszont elég egyetlen gyenge pontot találniuk, hogy hozzáférjenek a hálózathoz. Ahhoz, hogy jól működjön a védekezés, több szegmens összehangolt együttműködésére van szükség” – tanácsolja Lukács Kornél, a KPMG kiberbiztonsági tanácsadásért felelős partnere.

2. Átfogó képzési programokkal leküzdhető a humánkockázat

A kiberfenyegetések elleni küzdelemben továbbra is az emberi tényező a legkritikusabb. Ahogy a szervezetek folyamatosan digitalizálják üzleti modelljüket, a kiberkockázatok ellensúlyozásához szükséges tudást és humánerőt egyre nehezebb felépíteni. Az új, kifinomult technológiák és a gyorsan fejlődő fenyegetések csak súlyosbítják a már most is növekvő szakképzettségi hiányosságokat. Ráadásul egyre mélyül a szakadék a műszaki és nem műszaki készségek között. Az adatvédelmi, kockázati és megfelelési szakemberek esetében az erős technikai képességek továbbra is elengedhetetlenek, de egyre fontosabb a hatékony kommunikáció, a problémamegoldás, az alkalmazkodóképesség és az együttműködés is. Ennek kezelésében segíthetnek az átfogó képzési programok. A munkaerőt megtartani is nehezebbé válik; a KPMG biztonsági műveleti központokról szóló friss felmérésében a biztonsági vezetők csaknem fele mondta, hogy ezzel komoly problémái vannak. Itt érdemes szorosan együttműködni a HR-rel: a rugalmas munkarend, a világos karrierlehetőségek és a szakmai fejlődési lehetőségek biztosítása vonzó lehet a kiberbiztonsági tehetségek számára, és a tapasztalatok szerint a befogadásra, a sokszínűségre és a méltányosságra irányuló kezdeményezések is fontosak lesznek a készséghiány kezelésében.

A mesterséges intelligencia valódi eszköz lehet a biztonsági csapatok számára a készséghiány kezelésében, ugyanakkor a legtöbb esetben nem helyettesíti az emberi munkaerőt. Azzal, hogy a rutinfeladatokat automatizálják az AI segítségével, a szervezetek jelentősen növelhetik a hatékonyságot, így a kibercsapatok felszabadulnak, hogy összetettebb stratégiai feladatokra összpontosíthassanak a hálózat védelme érdekében. Az emberi tényezőnek kulcsszerepe lesz az AI asszisztensek ellenőrzésében. Az információbiztonsági vezetőknek biztosítaniuk kell, hogy csapataik megfelelő képzést kapjanak az AI-rendszerek melletti munkavégzésre, megismerve azok képességeit és korlátait.

3. Miként teremthető bizalom az AI iránt?

Az AI betört, és velünk is marad. A szervezetek továbbra is vizsgálják, hogy a mesterséges intelligencia hogyan növelheti üzleti tevékenységük értékét. Helye gyakorlatilag minden szervezeti funkcióban van, elfogadását és bevezetését azonban számos kulcsfontosságú kiber- és adatvédelmi kihívás befolyásolhatja. E tekintetben a vezetők továbbra is szkeptikusak. Az adateltolódás, a jogosulatlan hozzáférés és a visszaélések kockázata változatlanul magas. A vezérigazgatók 70 százaléka azt mondja: vállalata növeli a befektetéseit a kiberbiztonságba, kifejezetten az AI-hoz köthető fenyegetések elleni védekezés miatt. A nagyobb átláthatóság, elszámoltathatóság és irányítás a mesterséges intelligencia fejlesztése és alkalmazása körül valószínűleg a CISO-k egyik legfontosabb prioritása lesz. A bizalmat hiteles, minőségi és ellenőrzött adattal tanított AI-implementációk tarthatják fenn, a rendszerek folyamatos monitorozását és értékelését be kell építeni a szervezet napi működésébe, mindez pedig komoly és folyamatos odafigyelést igényel. A vállalatoknak nyomon kell követniük a szabályozási fejleményeket is, és ezeket proaktívan össze kell hangolniuk AI-irányítási gyakorlataikkal, hogy bizalmat építsenek ki az érdekelt felekben.

4. Használható-e AI a kiberbiztonsághoz – ha egyébként maga az AI is még kockázat?

A mesterséges intelligencia a hatékonyság növelésének, a működési költségek csökkentésének, a kockázatkezelés javításának és a növekvő munkaterhelés lehetséges kezelésének eszközeként jelenik meg. A lehetőség ugyanakkor komoly kockázatokat is hordoz, és sok kérdést felvet egyebek mellett az adatbiztonság vagy a képzés hiánya terén. A KPMG kutatása szerint eközben a vállalatok felsővezetői és igazgatói szintjén egyre erősebb a félelem attól, hogy kimaradnak az AI nyújtotta előnyökből. 82 százalékuk elismerte, hogy a versenytársakkal való lépéstartás érdekében olyan technológiai beruházások mellett döntenek, mint például a virtuális és kiterjesztett valóság. Mielőtt azonban fejest ugranának az AI bevezetésébe, a szervezeteknek gondoskodniuk kellene arról, hogy az alapvető kiberbiztonsági folyamatok szilárd alapokon álljanak, és a vezetők az AI jelenlegi – és rohamosan fejlődő – képességeinek és korlátainak ismeretében döntsenek. A CISO-knak ezért az AI kiber- és adatvédelmi funkciókba való integrálásának mérlegelésekor ismerniük kell szervezetük jelenlegi kiberbiztonsági helyzetét, azonosítaniuk kell az esetleges hiányosságokat, gyengeségeket, és össze kell vetni a potenciális előnyöket a kockázatokkal – ez pedig rendszerenként különböző eredményeket hozhat.

5. Meddig biztonságos csökkenteni a platformok számát?

Annak érdekében, hogy leküzdjék az egyre összetettebb kiberbiztonsági kockázatokat, a szervezetek folyamatosan bővítik a digitális eszközeik védelmére szolgáló megoldások arzenálját. Itt már pusztán a rendelkezésre álló lehetőségek száma is nyomasztó lehet. Sok szervezet vizsgálja a biztonsági platformok bevezetését, amelyek nagyobb hatékonyságot, jobb átláthatóságot, a költségek csökkentését, és a biztonsági környezet feletti fokozott ellenőrzést biztosítanak számukra. Az elmozdulás a platformok konszolidációja felé azonban buktatókat is rejthet. Az egyik jelentős – bár nem új – aggodalom a koncentrációs kockázat, amikor a szervezet túlzottan függővé válhat egyetlen szállítótól vagy platformtól. Egy másik, kereskedelmi szempontból jelentkező kihívás a beszállítói kötöttség. Ahogy a szervezetek egyre inkább függenek egy adott termék- vagy szolgáltatáskészlettől, előfordulhat, hogy a választott platform már nem felel meg igényeiknek. Ilyen esetekben a szolgáltatóváltás költséges és összetett vállalkozás lehet, jelentős kompatibilitási problémákkal és további képzési követelményekkel járhat. „E kockázatok mérséklése érdekében fontolóra kell venni a platformkonszolidáció hibrid megközelítését” – javasolja Lukács Kornél, a KPMG kiberbiztonsági tanácsadásért felelős partnere. „Tehát azok a szervezetek, amelyek a platformok konszolidációja felé mozdulnának el, jól teszik, ha a döntés előtt azonosítják és a megvalósítás során kezelik az ezzel járó kockázatokat, a hiányosságokat pedig célzott megoldásokkal egészítik ki, amelyek biztosíthatják a rugalmasságot, az alkalmazkodást a változó körülményekhez.”

6. Hogyan azonosíthatók az emberek a kibertérben?

Az eszközök és felhasználók megbízható azonosítása egy olyan szilárd alap, amely nélkül nem létezik IT-biztonság. A digitális személyazonosságok utat nyitnak egy agilisabb és hatékonyabb digitális világ felé. Ezen a téren világszerte számos innovációval találkozhatunk, az identitás-hitelesítés azonban továbbra is kihívást jelent. A rendszerek közötti széles átjárhatóság, a deepfake megjelenése és a személyes és biometrikus adatfeldolgozás terjedése megköveteli a jövőálló hitelesítési megoldások kidolgozását és korszerű szabályozások kialakítását. A CISO-knak és a döntéshozóknak jobban meg kell érteniük a helyzetet, újra kell gondolniuk a berögzült folyamatokat, és be kell fektetniük a szilárd elveken nyugvó innovatív rendszerekbe.

7. Megvédhetők-e az okoseszközök?

Az okos eszközök és termékek robbanásszerű elterjedése megváltoztatta a kapcsolattartást a bennünket körülvevő világgal, ezzel együtt pedig a hagyományos biztonsági hozzáállás is elavulttá vált, az alig egy évtizeddel ezelőtt alkalmazott módszerek már nem elegendőek. A termékek egyre rövidülő életciklusa során megjelenő sebezhetőségek a gyártókat és a szabályozókat is arra késztetik, hogy minél gyorsabban minél fejlettebb módszereket keressenek, amelyekkel lehetővé teszik az összekapcsolt eszközök biztonságos használatát. Az eszközök által elért vállalati adatvagyon védelme kulcsfontosságú lesz az ágazatok és infrastruktúrák integritásának, biztonságának megőrzése szempontjából.

8. Létezik-e stabil biztonsági kultúra?

A működés zavartalansága szempontjából a kiberbiztonság alapvető tényező lett az egyes szervezetek és az egész társadalom számára is. Továbbra is aggasztó, hogy a támadók zsarolóprogramokat vagy más rosszindulatú eszközöket használnak nagyszabású ipari zavarok előidézésére, adatok és akár emberi életek kockáztatásával. A beszállítók is biztonsági kockázatot hordozhatnak: a szervezetek egyre inkább külső szolgáltatókra támaszkodnak a szoftverek és szolgáltatások terén, így fokozott a veszélye annak, hogy ezek az ellátási lánc gyenge láncszemei lesznek. Meg kell találni a módját annak, hogyan hozhatunk létre széles körű, holisztikus és ellenálló biztonsági kultúrát az egész vállalatban azzal a céllal, hogy minden érintett felismerje és hozzátegye a magáét a rendszerek és folyamatok tervezésétől a működtetésen át egészen a kivezetésig.

A teljes riport itt olvasható: Kiberbiztonsági tanácsadás – KPMG Magyarország