Skip to main content

Kiberbiztonság

június 20, 2024

 

Az igazgatótanácsból a kiberhadszíntérre vinni

A kiberszakértők a vállalati vezetőket képzik ki, hogy meghozzák azokat a fontos döntéseket, amelyek megvédik vállalatukat a növekvő zsaroló- és kémprogram-támadásoktól és más fenyegetésektől.

Christine Gibson

Contributor

2020 elején egy rendkívül kifinomult hackercsoport a történelem egyik legelterjedtebb kibertámadását hajtotta végre. Úgy vélték, hogy az orosz kormánynak dolgoznak, beszivárogtak a SolarWinds nevű IT-menedzsment szoftverfejlesztő cég számítógépes rendszereibe, és rosszindulatú kódot építettek be a vállalat felügyeleti eszközeinek sorába.

Júniusra a rosszindulatú szoftverek révén a hackerek több száz szövetségi ügynökség és Fortune 500 vállalat belső működéséhez fértek hozzá. Mire a hackert felfedezték, a csoportnak már hónapok óta kémkedhetett kormányzati és vállalati műveletek után.

Az incidens mind a köz-, mind a magánszektor számára ébresztőként hatott a folyamatosan növekvő fenyegetésre. A kibertámadások egyidősek az internettel, de az elmúlt években egyre kifinomultabbá, alattomosabbá és pusztítóbbá váltak. Míg a kibertámadásokból származó közvetlen bejelentett veszteségek csekélyek, 500 000 dollár körüliek, a Nemzetközi Valutaalap nemrégiben arról számolt be, hogy a rendkívüli veszteségek kockázata - legalább 2,5 milliárd dollár - megnőtt.

Tekintettel arra, hogy milyen nagy a tét, a vállalatok kibertámadások elleni védelme a legmagasabb rangú tagokra, azaz az igazgatótanácsra hárul. Az igazgatóság munkájának fontos része ma annak felmérése, hogy a megfelelő kultúra és irányítás biztosítja-e a vállalat rendszereinek védelmét a kiberbiztonsági fenyegetésekkel szemben, és ehhez a kiberkockázatok árnyalt megértésére van szükségük.

"Az igazgatótanácsoknak természetesen pénzügyileg is okosnak kell lenniük, de kiberügyileg is" - mondja Ron Green, a Mastercard kiberbiztonsági ösztöndíjasa és korábbi biztonsági vezetője. "Minden nap szembesülnek ezzel a kihívással, akár tudnak róla, akár nem."

Ez a szintű szakértelem azonban ritka az igazgatók körében. Az S&P 500 igazgatótanácsának mindössze 12% tagja van kiberbiztonsági szakember - állítja Kimberly Cheatle, az amerikai titkosszolgálatok igazgatója, a NightDragon, egy kiberbiztonsági cégeket finanszírozó kockázati tőkecég és a Diligent Institute 2023-as tanulmányára hivatkozva.

Annak érdekében, hogy az igazgatók megvédjék vállalatukat - és polgártársaikat - a kiberbűnözéstől, a Mastercard a U.S. Secret Service, a Cybersecurity and Infrastructure Security Agency, a Vállalati Igazgatók Nemzeti Szövetsége és a NightDragon együttműködésével kifejlesztett egy tanfolyamot, a Cybersecurity Board Academyt. "Ez egy igazán egyedülálló lehetőség arra, hogy elkezdjük ezt a szakadékot megszüntetni" - mondja Cheatle.

A CISA és a Secret Service igazgatótanácsi akadémiájának első ülésén, amelyet kedden tartottak a Secret Service James J. Rowley Training Centerében, a marylandi South Laurelben, a vállalati igazgatók és az iparág szakértői találkoztak, hogy feltárják a digitális hálózatok védelmének jelenlegi állását.

 

Ron Green, a Mastercard kiberbiztonsági szakértője a hét elején Marylandben tartott, a kiberkockázatokról és a kiberbiztonságról szóló képzésen részt vevő vállalati igazgatókhoz szól. (Fotó hitel: Rebecca Abraham)

"Biztosítani akartuk, hogy erősítsük ezt a kapcsolatot" - mondja Jen Easterly, a CISA igazgatója. A magánszektor - mondja - "nyilvánvalóan nem várhatjuk el, hogy egyedül szálljon szembe a kifinomult nemzetállami szereplőkkel". Tehát ez valóban nagy hangsúlyt fektet a közszféra és a magánszféra közötti kapcsolatok növelésére és megerősítésére."

Együttműködés a nemzeti infrastruktúra védelmében

Az egyre inkább összekapcsolt világban a kiberbiztonságnak csapatmunkának kell lennie. Ezért a Mastercard és partnerei meghívták a Fortune 500 vállalat igazgatóit, valamint számos, az Egyesült Államok kritikus infrastruktúráját képviselő vállalatot, hogy első kézből értesüljenek a kormányzati és ipari szakértőktől. A résztvevők a NACD és az Internet Security Alliance hatékony kiberkockázat-felügyeletre vonatkozó elvei alapján összeállított tanterv alapján megvitatták a fenyegetéseket, az irányítást, a védelmet és az ellenálló képességet, megalapozva a folyamatos kibervédelem legjobb gyakorlatát.

E támadások során a károk messze túlmutathatnak a pénzügyin: a bűnözők és az államilag támogatott szereplők kémkedési kampányokat indítanak, vagy megkísérlik megbénítani a kritikus nemzeti infrastruktúrát. Nincs olyan intézmény, amelyik ne lenne elérhető. Kórházak, iskolarendszerek, orvosi kutatólaboratóriumok, állami és helyi önkormányzatok - mind célpontok lettek. És mivel az Egyesült Államok infrastruktúrájának nagy része magántulajdonban van, az üzleti szektor döntő szerepet játszik a polgári védelemben.

"Az, hogy kitaláljuk, hogyan lehetünk éberek ezzel kapcsolatban a vállalataink - és az országunk - nevében, alapvető fontosságú a munkánk szempontjából" - mondta Stephen Jennings, az Analog Devices chipgyártó cég független igazgatója, aki az első ülésen részt vevő 16 igazgató között volt. "Jobban megértjük a végrehajtási képességeket, a legújabb trendeket és a legújabb kockázatokat".

"A kiberbiztonságnak közös erőfeszítésnek kell lennie, és mostantól az ipar és a közszféra között nagyobb az adok-kapok a támadáshoz. A fenyegetés nem fog egyhamar megszűnni. Ez egy folyamatos küzdelem lesz."

Stephen Jennings

A program egy folyamatos köz- és magánszféra közötti partnerséget is létrehoz, így a résztvevők továbbra is tanulhatnak egymástól, és a fenyegetések előtt járhatnak. Az igazgatótanács tagjai a kiberbiztonsági szakértelem egyre szélesedő hálózatát használhatják ki, míg a CISA és a titkosszolgálat visszajelzési lehetőséget kap, hogy finomhangolják a magánszektornak szóló üzeneteiket.

"A kiberbiztonságnak kollektív erőfeszítésnek kell lennie, és most már az ipar és a közszféra között is nagyobb az adok-kapok a támadáshoz" - mondja Jennings. "A fenyegetés nem fog egyhamar megszűnni. Ez egy folyamatos küzdelem lesz."