Sürgős kiberbiztonsági intézkedésekre van szükség a digitális környezet rohamos fejlődése miatt. A digitális kapcsolatok és a mesterséges intelligencia(AI) átírják a szakmai és magánéletünk szinte minden területét. Mi a teendő és milyen új szerep hárul mindebben az információbiztonsági vezetőkre?
A KPMG idén is elkészítette a Cybersecurity Considerations jelentését, amiben több téma is évről évre visszaköszön, ilyen a személyazonossági hozzáférés-kezelés (IAM), a felhőbiztonság, vagy a tehetség- és készséghiány.
Az ideiben viszont a hangsúly eltolódott a hagyományos biztonsági intézkedésektől a digitális környezet prioritásai és kihívásai felé, amelyekre ráadásul az IT-biztonsági vezetőknek(CISO) szinte valós időben kell reagálniuk.
A jelentés nyolc kulcsfontosságú szempontot határoz meg 2025-re, amikkel mérsékelhetők az aktuális kockázatok, kiépíthető a megfelelő ellenálló képesség, és egyben elősegíthető az üzleti növekedés.
Eddig terjed a CISO hatásköre
A vállalkozások digitális átalakulása, a kiberfenyegetések és a szabályozások bővülése jelentős változásokat hozott az információbiztonsági vezetők (CISO-k) szerepében. Ők ma már nem csupán IT-biztonsági vezetők, és nem is csak „céges influenszerek”, hanem már fontos szereplők a vállalatirányításban.
Részt vesznek a kockázatértékelésben, a vállalati célok és a biztonsági prioritások összehangolásában, a megfelelő kockázatkezelési szint kialakításában. A vezetőség egyre gyakrabban kéri a beszámolóikat, és ami még fontosabb elvárja tőlük, hogy a technikai részleteket világosan és érthetően közvetítsék a nem technikai döntéshozók felé.
Meg kell érteniük az üzleti folyamatokat, és képesnek kell lenniük arra, hogy a biztonsági intézkedéseket ezekhez igazítsák. A szervezeti kultúra és munkamódszerek alakításában is szerepet kell vállalniuk.
Meg kell határozniuk, hogyan segítheti az AI a vállalat, az alkalmazottak és az ügyfelek védelmét, miközben beruházásokkal és integrált AI-specifikus védelmi megoldásokkal kell biztosítaniuk a modellek biztonságát.
El kell ugyanakkor azt is ismerni, hogy a helyzetüket nehezítik a tisztázatlan felelősségi körök, gyakran egyensúlyoznak a tanácsadói és a döntéshozói szerep között. Sokszor erőforráshiánnyal küzdenek, és folyamatos nyomás alatt vannak, hiszen a dinamikus fenyegetések állandó éberséget és gyors reagálást követelnek.
„Megoldás lehet a felelősségi körök felosztása – egyre több vállalat ismeri fel, hogy ezt a feladattengert nem lehet egyetlen személyre rázúdítani. A kiberbiztonsági küzdelem egyenlőtlen: az adott csapatnak folyamatosan védenie kell az egész vállalatot, a támadóknak viszont elég egyetlen gyenge pontot találniuk, hogy hozzáférjenek a hálózathoz. Ahhoz, hogy jól működjön a védekezés, több szegmens összehangolt együttműködésére van szükség” – emeli ki Lukács Kornél, a KPMG kiberbiztonsági tanácsadásért felelős partnere.
Így védhető ki a humánkockázat
A kiberfenyegetések elleni küzdelemben továbbra is az emberi oldal a legkritikusabb. Miközben a cégek folyamatosan digitalizálják üzleti modelljüket, a kiberkockázatok ellensúlyozásához szükséges tudást és humánerőt egyre nehezebb felépíteni.
Az új, bonyolultabb technológiák és a gyorsan fejlődő fenyegetések csak súlyosbítják a már most is növekvő szakképzettségi hiányosságokat. Ráadásul egyre mélyül a szakadék a műszaki és nem műszaki készségek között.
Az adatvédelmi, kockázati és megfelelési szakemberek esetében az erős technikai ismeretek elengedhetetlenek, de egyre fontosabb a hatékony kommunikáció, a problémamegoldás, az alkalmazkodóképesség és az együttműködés is.
Ebben segíthetnek az átfogó képzési programok. A munkaerőt megtartani is nehezebbé válik; a KPMG egyik legutóbbi felmérésében a biztonsági vezetők csaknem fele mondta, hogy ezzel komoly problémái vannak.
Itt érdemes szorosan együttműködni a HR-rel: a rugalmas munkarend, a világos karrierlehetőségek és a szakmai fejlődési lehetőségek biztosítása vonzó lehet a kiberbiztonsági tehetségek számára.
Az AI pedig maga is valódi eszköz lehet a biztonsági csapatok számára a készséghiány kezelésében, miközben a legtöbb esetben nem helyettesíti az emberi munkaerőt. Azzal, hogy a rutinfeladatokat automatizálják az AI segítségével, a cégek jelentősen növelhetik a hatékonyságot, így a kibercsapatok felszabadulnak az összetettebb stratégiai feladatokra, a hálózat védelme érdekében.
Az emberi tényezőnek kulcsszerepe lesz az AI-asszisztensek ellenőrzésében. Az információbiztonsági vezetőknek biztosítaniuk kell, hogy csapataik megfelelő képzést kapjanak az AI-rendszerek melletti munkavégzésre, megismerve azok képességeit és korlátait.
Hogyan teremthető bizalom az AI iránt?
Az AI betört, és velünk is marad. A vállalatok még vizsgálják, hogy a mesterséges intelligencia hogyan növelheti üzleti tevékenységük értékét. Helye szinte minden szervezeti funkcióban megvan, elfogadását és bevezetését azonban számos kulcsfontosságú kiber- és adatvédelmi kihívás befolyásolhatja. Utóbbiakat figyelembe véve a vezetők továbbra is szkeptikusak.
A jogosulatlan hozzáférés és a visszaélések kockázata változatlanul magas. A vezérigazgatók 70 százaléka azt mondja: vállalata növeli a befektetéseit a kiberbiztonságba, kifejezetten az AI-hoz köthető fenyegetések elleni védekezés miatt.
A nagyobb átláthatóság, elszámoltathatóság és irányítás a mesterséges intelligencia fejlesztése és alkalmazása körül valószínűleg a CISO-k egyik fontos prioritása lesz. A bizalmat hiteles, minőségi és ellenőrzött adattal tanított AI-implementációk tarthatják fenn, a rendszerek folyamatos monitorozását és értékelését be kell építeni a cégek napi működésébe.
A vállalatoknak nyomon kell követniük a szabályozási előírásokat is, és ezeket proaktívan össze kell hangolniuk AI-irányítási gyakorlataikkal, hogy meg legyen a bizalom a technológia iránt.
Használható-e AI a kiberbiztonsághoz – ha maga az AI is inkább kockázat?
A mesterséges intelligencia a hatékonyságnövelés, a működési költségek csökkentése, a kockázatkezelés javítása és a növekvő munkaterhelés kezelésének az eszköze lehet. Ez azonban komoly kockázatokat is, és sok kérdést felvet az adatbiztonság vagy a képzés hiánya terén is.
A kutatás szerint eközben a vállalatok felsővezetői és igazgatói szintjén egyre erősebb a félelem attól, hogy kimaradnak az AI nyújtotta előnyökből. Több mint a négyötödük elismerte, hogy a versenytársakkal való lépéstartás érdekében fontosnak tartják az olyan technológiai beruházásokat, mint a virtuális és kiterjesztett valóság.
Mielőtt a cégvezetők fejest ugranának az AI bevezetésébe, a cégeknek gondoskodniuk kellene arról, hogy az alapvető kiberbiztonsági folyamatok szilárd alapokon álljanak.
A CISO-knak ezért az AI kiber- és adatvédelmi funkciókba integrálása előtt ismerniük kell a szervezetük aktuális kiberbiztonsági helyzetét, be azonosítaniuk az esetleges hiányosságokat, és össze kell vetniük a potenciális előnyöket a kockázatokkal.
A platformok kialakításánál fontos a kellő diverzifikáltság
Ahhoz, hogy leküzdjék az egyre összetettebb kiberbiztonsági kockázatokat, a vállalatok folyamatosan bővítik a digitális eszközeik védelmére szolgáló megoldások arzenálját. Itt már pusztán a rendelkezésre álló lehetőségek száma is nyomasztó lehet.
Az elmozdulás a platformok konszolidációja felé azonban buktatókat is rejthet. Az egyik jelentős aggodalom a koncentrációs kockázat, amikor a cég túlzottan függővé válhat egyetlen szállítótól vagy platformtól.
Egy másik, kereskedelmi szempontból jelentkező kihívás a beszállítói kötöttség. Ahogy a cégek egyre jobban függenek egy adott terméktől vagy szolgáltatástól, előfordulhat, hogy a választott platform már nem felel meg igényeiknek.
Ilyen esetekben a szolgáltatóváltás költséges és összetett vállalkozás lehet, jelentős kompatibilitási problémákkal és további képzési követelményekkel járhat.
„E kockázatok mérséklése érdekében fontolóra kell venni a platformkonszolidáció hibrid megközelítését” – javasolja Lukács Kornél, a KPMG kiberbiztonsági tanácsadásért felelős partnere.
Digitális személyazonosságok a kibertérben
Az eszközök és felhasználók megbízható azonosítása nélkül nem létezik megfelelő IT-biztonság. A digitális személyazonosságok utat nyitnak egy agilisabb és hatékonyabb digitális világ felé, az identitás-hitelesítés azonban továbbra is kihívást jelent.
A rendszerek közötti széles átjárhatóság, a deepfake megjelenése és a személyes és biometrikus adatfeldolgozás terjedése megköveteli a jövőálló hitelesítési megoldások kidolgozását és korszerű szabályozások kialakítását.
Az okos eszközök helye az új AI-világban
Az okos eszközök és termékek robbanásszerű elterjedése megváltoztatta a kapcsolattartást a bennünket körülvevő világgal, ezzel együtt pedig a hagyományos biztonsági hozzáállás is elavulttá vált, az alig egy évtizeddel ezelőtt alkalmazott módszerek már nem elegendőek. A termékek egyre rövidülő életciklusa során megjelenő sebezhetőségek a gyártókat és a szabályozókat is arra késztetik, hogy minél gyorsabban minél fejlettebb módszereket keressenek, amelyekkel lehetővé teszik az összekapcsolt eszközök biztonságos használatát. Az eszközök által elért vállalati adatvagyon védelme kulcsfontosságú lesz az ágazatok és infrastruktúrák integritásának, biztonságának megőrzése szempontjából.
Megteremthető-e a stabil biztonsági kultúra?
A működés zavartalansága szempontjából a kiberbiztonság alapvető tényező lett nemcsak az üzleti világ, hanem az egész társadalom számára is. Továbbra is aggasztó, hogy a támadók zsarolóprogramokat vagy más rosszindulatú eszközöket használnak nagyszabású ipari zavarok előidézésére, adatok és akár emberi életek kockáztatásával.
A beszállítók is biztonsági kockázatot hordozhatnak: a cégek egyre inkább külső szolgáltatókra támaszkodnak a szoftverek és szolgáltatások terén, így fokozott a veszélye annak, hogy ezek az ellátási lánc gyenge láncszemei lesznek.
Meg kell találni a módját annak, hogyan hozhatunk létre széles körű, ellenálló biztonsági kultúrát az egész vállalatban azzal a céllal, hogy minden érintett felismerje és hozzátegye a magáét a rendszerek és folyamatok tervezésétől a működtetésen át egészen a kivezetésig.
