A Compliance Data Systems Kft. 2015-ös adatszivárgási felmérésének eredménye

A Compliance Data Systems Kft. 2015-ös adatszivárgási felmérésének eredménye 2015. december 7. COMPLIANCE DATA SYSTEMS KFT. 1 / 20

Copyright Jelen dokumentumhoz fűződő valamennyi jog a Compliance Data Systems Kft. tulajdonát képezi. A dokumentum szigorúan bizalmas, bármely részének a Compliance Data Systems Kft. szándékától eltérő felhasználása, másolása, változatlan vagy módosított formában történő közlése tilos, kivéve, ha a Compliance Data Systems Kft. ahhoz kifejezett hozzájárulását adja. Compliance Data Systems Kft. 2008-2015. Minden jog fenntartva. COMPLIANCE DATA SYSTEMS KFT. 2 / 20

Tartalomjegyzék 1 Összefoglalás... 4 2 Részletes eredmények... 6 2.1 A felmérés résztvevőiről... 6 2.2 Az adatszivárgás elleni megoldások ismertsége, bevezetéssel kapcsolatos tervek... 7 2.3 DLP megoldások használata... 9 2.4 Tervek a jövőre... 12 2.5 Adatosztályozás... 13 2.6 Belső szabályozás... 13 2.7 Adatszivárgási esetek... 14 2.8 Adatszivárgási eseteket követő intézkedések... 16 2.9 Nemzetközi esetek hatása... 17 2.10 Felhőalapú megoldások használata... 17 2.11 Dolgozói tulajdonú eszközök használata... 18 COMPLIANCE DATA SYSTEMS KFT. 3 / 20

1 Összefoglalás A Compliance Data Systems Kft., a hazai piacvezető adatszivárgás elleni megoldás szállítója idén már negyedik alkalommal végezte el hiánypótló felmérését a magyarországi kis, közepes és nagyvállalatok által használt adatszivárgás elleni megoldásokról és gyűjtötte össze a biztonsági szakembereik tapasztalatait, véleményét ebben a kérdéskörben. Összesen 178 fős minta alapján készült a felmérés, a vállalatok mérete alapján három, közel megegyező számosságú csoportokra bontva (kis-, közepes-, nagyvállalatok) értékeltük az eredményeket. A 2015-ös év fordulópontot jelentett a hazai vállalatoknál az adatszivárgás elleni védelmi megoldásokat tekintve. Nagymértékben nőtt a DLP megoldások elismertsége, a technológia bekerült a hagyományos védelmi megoldások (vírusvédelem, tűzfalak, spamszűrők, stb.) mellé a kötelező védelem elemei közé. Az üzemelő DLP rendszerek számának növekedésével, megnőtt a felderített adatszivárgási esetek száma is, valamint az ehhez kapcsolódó incidenskezelési és szabályozási tevékenység is nagyobb hangsúlyt kapott. Összességében kijelenthetjük, hogy a DLP technológia bekerült a nagyvállalatok mindennapjaiba. A közepes méretű vállalatok ugyan még jóval csekélyebb mértékben rendelkeznek ezzel a technológiával és a hozzá kapcsolódó szabályozási és eseménykezelési eljárásrenddel, viszont a jövő évi terveikben kiemelt helyen szerepel ennek a bevezetése. A kisvállalatok gyakorlatilag nem rendelkeznek DLP megoldással, a bevezetését is csak kevesebb, mint negyedük tervezi. A DLP szoftverek megfelelő használatának köszönhetően több a felderített incidens. Ahol megtörtént a baj, jellemzően milliós károkról számolnak be. A megtörtént adatvesztés utólépéseit a nagyvállalatok következetesen, a kisebb vállalatok csak esetlegesen teszik meg, oktatással vagy szabályzat módosítással. Fő megállapítások Adatszivárgási esetről a vállalatok 40%-a számolt be. Az ezernél több főt foglalkoztató vállalatok esetében szinte kivétel nélkül kezelték valamilyen módszerrel a szivárgási eseményeket, a kis és közepes nagyságú vállalatok negyed-ötöde semmilyen intézkedést nem kezdeményez. Az elveszett céges notebookok aránya két év alatt megduplázódott, a céges telefonoké viszont csökkent. Továbbra is jelentős mértékben számoltak be hálózaton kiküldött céges adatokról, melyeknek nem, vagy csak titkosítva szabadott volna elhagyni a vállalat kapuit. A nagyvállalatok több felderített adatszivárgást megkísérlő esetről számoltak be, mint a kis és középvállalatok együttesen. COMPLIANCE DATA SYSTEMS KFT. 4 / 20

A válaszadó nagyvállatok esetében nagymértékben növekedett az adatszivárgás elleni megoldás (DLP szoftver) használata, közel a felük már rendelkezik ilyen védelemmel. A kis és közepes vállalatok csak 5-10%-a használ ilyen megoldást. Tovább növekedett azok aránya, akik tervezik, hogy Data Loss Prevention terméket vezessenek be (30,5%). A DLP megoldásokkal elsősorban a végponti (USB, CD/DVD) és az email forgalmat ellenőrzik, míg a webböngészőn, mobil eszközökön, fájlszervereken és a felhőalkalmazásokon keresztüli adatszivárgás elleni védelem elenyésző mértékben használt. Ugyanakkor a felhőalkalmazások használata jelentős mértékben (akár 50%- al is) növekedett és válaszadók csak kevesebb mint 40% zárja ki felhőszolgáltatások használatát. A magyar piacon a válaszadó nagyvállalatok körében a Symantec megoldása a piacvezető, akit a McAfee és a Websense DLP megoldásai követnek. A jövőt tekintve a válaszadók az ATP, a DLP és a mobileszköz menedzsment technológiák bevezetését tartják időszerűnek, főleg a középvállalatok, mivel ők egyelőre kevesebb biztonsági megoldással rendelkeznek, mint a nagyvállalatok. A vállalatok felénél használnak olyan mobiltelefont vagy tabletet, mely a munkavállaló tulajdonát képezheti. A tavalyi válaszokhoz hasonlóan ezen készülékek használatára leginkább a nagyvállalatoknál (75%) vezettek be valamilyen szabályzást, míg ugyanez csupán középvállalatok feléről mondható el. COMPLIANCE DATA SYSTEMS KFT. 5 / 20

2 Részletes eredmények 2.1 A felmérés résztvevőiről A felmérést az eddigi évekhez hasonlóan az ország egyik legnagyobb IT biztonsági konferenciáján, az ITBN-en résztvevő szakemberek között hirdettük meg, de bárki által kitölthető volt az internetes kérdőív. Összesen 178-an töltötték ki a felmérést. Az eddigi évektől eltérően alkalmunk nyílt az eredményt a vállalatok mérete alapján három kategóriába sorolva rendezni, hogy így még részletesebb, pontosabb és átfogóbb eredményt publikálhassunk a kis- közép- és nagyvállalatok adatszivárgás-megelőző politikájáról. A vállalatok mérete alapján a három, közel megegyező számosságú csoportokra bontva értékeltük az eredményeket: A kisvállalatok csoportjába az ötven főt meg nem haladó cégek kerültek (36%), a középvállalatokat az 51-től 1000 főt foglalkoztató (35%), a nagyvállalatokat az 1001-nél magasabb dolgozói létszámú cégek alkotják (29%). Kitöltők eloszlása a vállalatnál dolgozók száma alapján 15% 10% 14% 8% 8% 9% 30% 6% 30 alatt 31-50 51-100 101-300 301-500 501-1000 1001-5000 5001 felett A 2015-ös DLP felmérésen a tavalyinál is magasabb létszámban vettek részt a nagyvállalatok, míg a közepes méretű vállalkozások és a kkv szektor is hasonlóan magas számban képviselte magát. A válaszadók a vállalati iparágak széles skálájáról érkeztek, átfogó képet adva a hazai IT biztonság helyzetéről. COMPLIANCE DATA SYSTEMS KFT. 6 / 20

A felmérésen résztvevők iparági besorolása 20% 24% IT Pénzügy 5% Szolgáltatás Állami 5% Telekom 5% 9% 12% 20% Oktatás Kereskedelem Egyéb A kutatásban résztvevők csaknem negyede IT, vagy hozzá szorosan kapcsolódó tevékenységet folytat, emellett a pénzügyi, állami és szolgáltatási szegmensben tevékenykedők aránya is magasabb volt, de nagyobb mennyiségben érkeztek válaszok telekommunikációs, oktatási és kereskedelmi körökből is. 2.2 Az adatszivárgás elleni megoldások ismertsége, bevezetéssel kapcsolatos tervek Hasonlóan a tavalyi évhez, idén is 70% körül volt azok aránya, akik már hallottak a DLP megoldásokról, változatlanul helytálló a tavalyi megállapítás, miszerint az IT biztonságra fordítható anyagi keretek szűkössége (34%), a vállalat menedzsmentje részéről tapasztalható érdektelen magatartás korlátozza a DLP megoldások szélesebb körű elterjedését. COMPLIANCE DATA SYSTEMS KFT. 7 / 20

Terveznek-e DLP megoldást bevezetni? 0 5 10 15 20 25 30 35 40 45 50 Igen, volt olyan esemény amit szeretnénk elkerülni a jövőben Igen, már elég megbízhatónak tartjuk a technológiát Igen, most sikerült biztosítani az anyagi kereteket Igen, külső nyomásra kell bevezetnünk Nem, nincs rá anyagi keretünk Nem, szerintem nálunk nincs kockázat Nem, mert nem tartom elég megbízhatónak a technológiát Nem, mert nem ismerem a technológiát Nem, mert már van Egyéb Fontos kiemelni: a vállalatoknál sok esetben nem veszik komolyan a fenyegetést egészen addig, amíg egy incidens be nem következik. 12% válaszolta azt, hogy azért tervezik DLP megoldás bevezetését, mert történt olyan incidens, amit szeretnének elkerülni a jövőben. Összességében növekedett azok aránya, akik tervezik, hogy Data Loss Prevention terméket vezessenek be (30,5%), a megoldásnak van helye a magyar piacon. 40 DLP-t bevezetni tervezők aránya 35 30 25 20 15 10 5 0 2014 2015 COMPLIANCE DATA SYSTEMS KFT. 8 / 20

2.3 DLP megoldások használata Az önök vállalatánál használnak-e bármilyen adatszivárgás elleni védelmi megoldást? 0,0 10,0 20,0 30,0 40,0 50,0 60,0 70,0 80,0 DLP szoftvert Merevlemez titkosítást Portvédelmet E-mail titkosítást Mobileszköz-menedzsmentet (MDM) Mobilalkalmazás-menedzsmentet (MAM) UTM-et APT védelmet nem nem tudom egyéb A nagyvállalatok esetében jelentősen növekedett a DLP szoftvert használók aránya. Az aktuális trendeknek megfelelően a mobileszköz-menedzsment (MDM) és az e-mail titkosítás egyre több helyen alkalmazott. Továbbra is a portvédelmi, valamit a merevlemez titkosítási megoldások a védelem alappillérei. E technológiák alkalmazása a leggyakoribb, mely COMPLIANCE DATA SYSTEMS KFT. 9 / 20

népszerűségük egyik oka az, hogy az észlelt adatszivárgási incidensek legnagyobb hányada elvesztett vagy ellopott notebookból származnak, így ehhez alkalmazkodva próbálják meg újra szervezni védelmi stratégiáikat. Sajnálatosan nem fordítanak ekkora jelentőséget az olyan adatszivárgási eseteknek, melyek kevésbé kézzelfoghatók. Nagyvállalatoknál alkalmazott adatszivárgás elleni megoldások idén és tavaly igen, DLP szoftvert, 0,0 10,0 20,0 30,0 40,0 50,0 60,0 70,0 80,0 igen, merevlemez titkosítást igen, portvédelmi megoldást igen, email titkosítást igen, mobil eszköz menedzsment (MDM) megoldást igen, mobil alkalmazás menedzsment (MAM) megoldást igen, UTM megoldást igen, APT védelmet nem nem tudom egyéb 2014 2015 A vállalat méreteitől függetlenül megfigyelhető, hogy elsősorban a végpontokra és az e- mail forgalomra kerül a megelőzés fókusza, pedig fontos lenne azzal is tisztában lenni, a fájlszervereken és webes adatforgalomban mennyi érzékeny adat halad keresztül nap, mint nap. COMPLIANCE DATA SYSTEMS KFT. 10 / 20

Amennyiben használnak DLP szoftvert, főként milyen csatornákat figyelnek? Végpont 20% Hálózati email védelem 5% 3% 6% 5% 20% 41% Hálózati web feltöltés Fájlszerverek felderítése Mobil eszközök forgalmának figyelése Felhőszolgáltatásokba küldött adatok figyelése Egyéb: Az alkalmazott szoftverek gyártói tekintetében a Symantec a piacvezető Magyarországon, akit az Intel Security (McAfee) követ a felmérés alapján. A nagyvállalatok által aklalmazott DLP szoftverek megoszlása gyártó szerint 12% 12% 35% Symantec McAfee/Intel 9% RSA/EMC Websense 32% Egyéb COMPLIANCE DATA SYSTEMS KFT. 11 / 20

2.4 Tervek a jövőre A jövőt tekintve, a nagyvállalatok körében, az ATP, a DLP és a mobileszközmenedzsment technológiák bevezetését tartják időszerűnek. A középvállalatok bár bizonytalanabbak a jövőt illetően, kezdik felismerni a DLP-ben rejlő lehetőséget, jövőre bevezetnék az MDM megoldásokkal együtt. Milyen védelmi technológia bevezetését tartja időszerűnek az elkövetkező évben? 0,0 5,0 10,0 15,0 20,0 25,0 30,0 35,0 40,0 45,0 DLP szoftvert Merevlemez titkosítást Portvédelmi megoldást E-mail titkosítást Mobileszköz-menedzsmentet (MDM) Mobilalkalmazás-menedzsmentet (MAM) UTM-et APT védelmet nem tudom egyéb COMPLIANCE DATA SYSTEMS KFT. 12 / 20

2.5 Adatosztályozás A DLP szoftverek alkalmazhatóságának egyik feltétele az, hogy az adatok, adathalmazok megfelelően osztályozva legyenek, aszerint, hogy melyek tartalmaznak bizalmas információkat, üzleti szempontból melyek kritikusak, amennyiben pl. harmadik fél eltulajdonítaná azokat. A nagyvállalatok több mint 70%-a idén is vallja, hogy megjelölten és osztályozva kezeli az adatait. A középvállalatok több mint fele is hasonlóan tesz, miután felismerték azt, hogy nem minden esetben célravezető az adatok megítélését a munkavállalókra bízni. Szerencsére ebben a tekintetben is javulás figyelhető meg az elmúlt évek statisztikáit alapul véve. 80 Vállalatánál vannak-e osztályozva az adatok? 70 60 50 40 30 20 10 0 igen, vannak konkrétan megjelölt bizalmas adatok részben, minden munkavállaló saját maga osztályozza az adatokat, és kezeli ennek megfelelően nincs, minden információt/adatot ugyanúgy kezelünk 2.6 Belső szabályozás Fontos, hogy a megfelelő osztályzással tisztában legyenek a munkavállalók, akik így keresztül tudják vinni a folyamatokon a szabályozásokat. Ez jellemzően a nagy, más folyamatokkal is COMPLIANCE DATA SYSTEMS KFT. 13 / 20

ellátott vállalatok sajátja. Ahol nincs ilyen jellegű szabályzat, ott egy DLP bevezetés segíthet változtatni a helyzeten. 90 80 70 60 50 40 30 20 10 0 Van-e céges szabályzat az adatok megfelelő használatáról? A munkavállalók kapnak-e bármilyen oktatást erre vonatkozóan? igen, van céges szabályozás, és ennek oktatás része is van igen, van céges szabályozás, de nincs oktatás nincs adatkezelésre vonatkozó külön szabályozás 2.7 Adatszivárgási esetek Adatszivárgási esetről a vállalatok 40%-a számolt be. Az elveszett céges notebookok aránya két év alatt megduplázódott, a céges telefonoké viszont csökkent. Továbbra is jelentős mértékben számoltak be a hálózaton kiküldött céges adatokról, melyeknek nem, vagy csak titkosítva szabadott volna elhagyni a vállalat kapuit. A nagyvállalatok több felderített adatszivárgást megkísérlő esetről számoltak be, mint a kis és középvállalatok együttesen. Jól látszik tehát a DLP bevezetéseinek jótékony hatása, a nagyvállalatok sokkal több incidenst voltak képesek felderíteni és megakadályozni. COMPLIANCE DATA SYSTEMS KFT. 14 / 20

Milyen csatornákon történtek a cégnél felderített adatszivárgási esetek? 0,0 5,0 10,0 15,0 20,0 25,0 30,0 35,0 Elveszett céges notebookon Elveszett céges telefonon Elveszett céges hordozható eszközön (USB, DVD, stb.) Dolgozó másolt hordozható eszközre Dolgozó küldött ki adatot a hálózaton, emailben, weben stb. Külső partner vitt el adatot Külső támadó vitt el adatot Egyéb típusú adatvesztés Ahol ismert adatszivárgási incidensek történtek, legtöbbször nagyon nehéz megbecsülni a károkat, de a legtöbb esetben akár több milliós károkról is beszélhetünk. 70 60 50 40 30 20 10 0 Fel tudja becsülni mekkora kárt okozhatott az adatszivárgás? igen, százezres nagyságrendűt igen, milliós nagyságrendűt igen, tízmilliós vagy annál nagyobb kárt nem COMPLIANCE DATA SYSTEMS KFT. 15 / 20

2.8 Adatszivárgási eseteket követő intézkedések Az incidenseket követő lépésekben pozitív megállapításokat tehetünk. A tavalyi eredményekhez képest növekedtek a különböző intézkedések mutatói, az ezernél több főt foglalkoztató vállalatok esetében szinte kivétel nélkül kezelték valamilyen módszerrel a szivárgási eseményeket, náluk a jogi, törvényi lépések és fegyelmi eljárások is gyakrabban tetten érhetőek, szintén ők képesek leginkább válaszolni valamilyen adatvédelmi megoldás bevezetésével. A kis és közepes nagyságú vállalatok negyed-ötöde semmilyen intézkedést nem kezdeményez. A középvállalatok esetében szabályzat létrehozása és a biztonsági oktatás a bevált gyakorlat. Milyen intézkedések történtek a tudomásukra jutott adatszivárgási esetek kapcsán? Egyéb Nem tudok róla, hogy történt-e intézkedés Nem történt intézkedés Jogi/törvényi lépések Fegyelmi eljárás a dolgozó felé Valamilyen adatvédelmi megoldás bevezetése Biztonsági oktatás Szabályzat létrehozása 0,0 5,0 10,0 15,0 20,0 25,0 30,0 35,0 40,0 45,0 nagyvállalatok középvállalatok kisvállalatok COMPLIANCE DATA SYSTEMS KFT. 16 / 20

2.9 Nemzetközi esetek hatása Tíz válaszolóból kilencen számon tartják a nagy nemzetközi adatszivárgási botrányokat, de kétharmaduk adatvédelmi stratégiáit ez nem befolyásolta. A nagyvállalatok foglalkoznak leginkább az ilyen incidensekkel, 40%-uk döntött ezek hatására úgy, hogy saját védelmét is megerősíti, mielőtt hasonló incidens bekövetkezne. Hallott-e az elmúlt időszak nagy nemzetközi adatszivárgási botrányairól, és ha igen befolyásolta-e cége adatvédelmi lépéseit? 80 70 60 50 40 30 20 10 0 Igen hallottam róluk, és befolyásolták az adatvédelemmel kapcsolatos stratégiánkat Igen hallottam róluk, de nem voltak befolyással adatvédelmi stratégiánkra Nem hallottam ezekről az esetekről 2.10 Felhőalapú megoldások használata A felhőszolgáltatásokat tekintve megfigyelhetjük azt, hogy a nagy nemzetközi trendeknek megfelelően hazánkban is egyre jobban teret hódítanak e szolgáltatások mind az egyéni felhasználók, mind a vállalati üzletágakban. A válaszadók kevesebb, mint 40% zárja csak ki felhőszolgáltatások használatát. A SaaS (Software as a Service) alkalmazások használata például 50%-kal növekedett. COMPLIANCE DATA SYSTEMS KFT. 17 / 20

Használnak-e az önök cégénél bármilyen felhőalapú megoldást? 0,0 10,0 20,0 30,0 40,0 50,0 60,0 70,0 Szoftverszolgáltatást (SaaS) Platformszolgáltatást (PaaS) Infrastruktúraszolgáltatás t (IaaS) IT biztonsági megoldást Nem használnak Nem tudja 2.11 Dolgozói tulajdonú eszközök használata A vállalatok nagyjából 50%-ban használnak mobiltelefont vagy tabletet, mely a munkavállaló tulajdonát képezheti. Ez azt jelentheti, hogy vagy a BYOD trendeket nem tartják megfelelően biztonságosnak és felügyelhetőnek, vagy pedig a vállalat profiljába ezek az eszközök használata nem férnek bele. COMPLIANCE DATA SYSTEMS KFT. 18 / 20

60 Használnak-e a munkahelyi IT infrastruktúrába csatlakozó dolgozói tulajdonú okostelefonokat és/vagy táblagépeket? 50 40 30 20 10 0 igen, mindkettőt igen, csak okostelefont nem, egyiket sem A készülékek használatára leginkább a nagyvállalatoknál (75%) vezettek be valamilyen szabályzást eddig, ugyanez csupán középvállalatok feléről mondható el. A tavalyi eredményekkel ez összevág, ám a közeljövőben minden valószínűséggel ez pozitív irányba fog elmozdulni, hiszen láttuk, az MDM bevezetése iránti magas az érdeklődés leginkább a középvállalatokra jellemző. COMPLIANCE DATA SYSTEMS KFT. 19 / 20

80 Van-e bármilyen szabályozás a saját mobileszközök használatára vállalatánál? 70 60 50 40 30 20 10 0 igen, van nem tudom Szigorúbb a szabályozás a hordozható gépeket tekintve. Itt minden bizonnyal jobban tartanak az esetlegesen fertőzött gépek vállalatba kerülésétől. Fontos megjegyezni, hogy a mobiltelefonok operációs rendszerét is meg tudják oly módon fertőzni, hogy onnan vállalati adatok tudnak elszivárogni, így azok védelmét is kiemelten kellene kezelni. 70 Használnak-e az önök cégénél dolgozói tulajdonban lévő asztali vagy hordozható számítógépet? 60 50 40 30 20 10 0 igen, használnak saját gépet, amin nincs védelmi megoldás igen, és ugyanolyan védelmi megoldások vannak rajta mint a többi gépen nem használunk dolgozói tulajdonban lévő gépeket COMPLIANCE DATA SYSTEMS KFT. 20 / 20