Egy év alatt annyi kibertámadást jegyeztek fel a világban, mint a megelőző 15 évben összesen, a vállalatok közel 30 százaléka már érintett. A kisvállalatok számára házon belül megoldhatatlan a védekezés, ezért kell nekik egy „bérletes” rendszert biztosítani – mondta Eölyüs Endre, a Mastercard Magyarországért és Szlovéniáért felelős igazgatója.
A szakember az Indexnek arról is beszélt:
A Mastercard már régóta nem pusztán kártyatársaságként, hanem fizetési szolgáltatóként aposztrofálja magát. A társaság rendszerein napi egymilliárd tranzakció fut át, így számára a legfontosabb a biztonság, amelynek fenntartásában, szavatolásában a vállalkozás eddig is élen járt. Ugyanakkor az elmúlt években azzal szembesülhettünk, hogy a biztonságra való igény nem csak a fizetési forgalomban, hanem az adatvagyon kezelésének teljes vertikumában felértékelődött – legyen szó regisztráló ügyfelek adatairól, az információknak egyik helyről a másikra való küldéséről vagy épp a helyi rendszerek és folyamatok védelméről.
A cybersecurity (kiberbiztonság) ugyanakkor beláthatatlanul nagy történet.
Épp ezért a cégnél úgy gondolják: azon a területen kell kiemelkedőt alkotniuk, ahol globálisan alkalmazható megoldásuk van. Emiatt a fejlesztéseket a személyes azonosítás, az identity solution valamint az adatelemzés és -védelem irányába fordították – mondta az Indexnek Eölyüs Endre.
A társaság most arra vállalkozik, hogy a kisebb vállalkozások számára nyújtson segítséget – persze úgy, hogy az alapszolgáltatást, a fizetési rendszer működtetését továbbra is fenntartják, fejlesztik. Eölyüs Endre meglátása szerint a nagy cégek egészen jól állnak kibervédelmi oldalon, ott erre megfelelő szakemberállomány és pénz is rendelkezésre áll.
A kis- és középvállalkozásoknál ugyanakkor sem személyi, sem anyagi erőforrás nincs arra, hogy felvegyék a versenyt a bűnözőkkel – noha legalább 30-40 százalékuk már áldozatává vált valamilyen csalásnak, adatszerzésnek.
Oda talán eljutottunk, hogy az érintett cégek fele már legalább használ valamilyen vírusirtót a rendszereiben, de ez fényévnyi távolságra van attól a szinttől, amit a modern számítógépes védelem megkövetelne – véli Eölyüs Endre, aki szerint ráadásul a bűnözők is ráébredtek arra, hogy az értékláncokban a leggyengébb láncszemet elég megtámadni, s ha ott sikerrel járnak, egész rendszereket lehet blokkolni.
A nagy kérdés az, hogy mikor jutunk el oda, amikor a kkv-k menedzsmentjében nem hit kérdése lesz az, hogy védekezniük kell, mert nagy eséllyel náluk is bekövetkezik majd valamilyen visszaélés. Mert amíg ezen múlik egy-egy fejlesztési döntés, addig lényegében mindegy, milyen tudása van az informatikai vezetőnek a fejlesztések szükségességéről. Eölyüs Endre szerint e téren is változás látszik: egyrészt valóban egyre több a pórul járt cég, másrészt a generációváltással nő azon vezetők száma, akik a digitális kor gyermekeként már jobban ismerik és felismerik ennek a típusú fenyegetettségnek a súlyát.
Arra a felvetésre, hogy – szemben azzal, hogy a pénzügyi szolgáltatások egy része globális, de legalábbis uniós szabályok alapján működik – a kis- és középvállalati kör szabályozása országonként eltérő, Eölyüs Endre arra figyelmeztetett, teljesen mindegy, hogy cseh, olasz vagy épp magyar kkv akad-e bele egy zsarolóvírussal operáló csaló hálójába, a megoldás minden esetben ugyanaz. Ezért a kiberbiztonság terén nincsenek nagy különbségek. Ugyanazok a metódusok működnek a csalóknál is, amikor egy magyar adathalászkampányt építenek ki, mint egy lengyel vagy épp brazil esetnél.
A csalók a leggyengébb láncszemet keresik, ráadásul ma már sok esetben nagyvállalatként működnek, üzleti tervük és nem egy esetben a célok elérését támogató ösztönző rendszerük is van. Érthető tehát, hogy a legjobb megtérülést biztosító területeket támadják. Ők ezt globálisan végzik, tehát nem foglalkoznak az adott országgal és a jogi környezettel, ebből kifolyólag a csalók elleni megoldásoknak is olyannak kell lenniük, amelyek bárhol értelmezhetőek.
E tekintetben csak látszólagos a védelmünk azáltal, hogy magyarul kommunikálunk és a világban nem igazán ismert, ezért egzotikusnak számító forinttal fizetünk.
A szakember szerint ugyanis ma már a kkv-k is olyan szolgáltatásokat vesznek igénybe, amelyek nyújtói nemzetközi cégek – a nyersanyag beszerzésétől a közüzemi szolgáltatások nyújtásán át a telekommunikációs partnereken keresztül a végső értékesítésig. Így az országhatárt termékeikkel el sem hagyó mikrovállalatok is egy globális piacon működnek. A fentiek miatt ugyanakkor ha egy cég ki tud fejleszteni egy hatékony megoldást a kiberbűnözőkkel szemben, akkor az a megoldás minden országban közel egyformán tud működni.
Ráadásul érdemes a felhalmozott tudást szintetizálni is: egyes bankok például monitorozzák saját kártyás és átutalási rendszereiket, figyelik a visszaélésgyanús eseteket, de azt is látni kell, hogy a csalások nem specializálódnak egy-egy bankra, hanem azokat döntő többségében platformszinten működtetik a csalók.
Ha nincs platformszintű rálátás az adatokra és a tranzakciókra, akkor nem lehet felismerni az újfajta csalási formákat, ráadásul azt is nehezebb felderíteni, hogy a csalók hogyan darabolják fel, hova utaztatják a pénzeket, hol gyűjtik újra össze. Egy, az egyes szereplőktől begyűjtött adatokon alapuló, folyton tanuló rendszer ugyanakkor a korábbiaknál alaposabb védelmet és gyorsabb reakciót hozhat, hiszen minden egyes, a rendszerbe lépett tagnak networkszintű tudást tudnak biztosítani.
Eölyüs Endre szerint a kiberbiztonsági piac nem fast fashion történet, itt nem lehet egyik napról a másikra hatalmasat alkotni, ugyanakkor folyamatos jelenlét, fejlődés és fejlesztés szükséges hozzá. Egy évi 250 milliárd dolláros piacról beszélünk, a növekedést pedig épp az hajtja, ami ellen kitalálták: az egyre komolyabb fenyegetettség. A kibertámadások száma 2021-ben annyi volt, mint az azt megelőző 15 évben összesen – emlékeztet a szakember. Ráadásul a támadások iránya is hatalmasat tud változni.
Alig több mint 2 évvel ezelőtt még ott tartottunk, hogy a fizikai infrastruktúrát kell védeni, mára azonban az adat vált a támadások célpontjává, és abban kell segíteni az embereket és a cégeket, hogy az adataikat megvédjék.
Mert a kártyaadatok védelmét például igen jól megoldja a kétfaktoros ellenőrzés, ám azzal tehetetlen minden rendszer, ha az ügyfél maga adja meg a csalóknak azokat az adatokat, amelyek révén a kétfaktoros hitelesítés már nem jelent akadályt – hoz ismét fizetésforgalmi példát az igazgató. Ma a legkomolyabb kihívás megelőzni azt, hogy valaki az adatainkkal visszaélve tudjon regisztrálni vagy belépni olyan online rendszerekbe, amelyekben azt követően kárt tud okozni nekünk.
A fenti problémák nem újak a digitalizációs korban – emlékeztet Eölyüs Endre arra, hogy a számítógépek fejlődése miatt az elmúlt években 1-2 év alatt teljesen elértéktelenedtek olyan eszközök, amelyek bevezetésükkor még nagyon sokba kerültek. Mivel most a csalások elleni védelemnek kell rendkívül dinamikusan alkalmazkodnia, az igazgató szerint azok a megoldások jelenthetik a jövőt, amelyek nem statikus, hanem folyamatosan öntanuló és tanítható megoldásokat szállítanak a partnereiknek.
Eölyüs Endre szerint épp időben készültek el saját fejlesztéseikkel ahhoz, hogy most, amikor a fenyegetettség exponenciális növekedése miatt fontossá válik az új típusú védelem, ott legyenek a szolgáltatást kínáló cégek között. Arra a kérdésre, hogy mitől lenne vonzó a Mastercard egy sor másik versenyző között, a szakember azzal érvel, hogy a pénzforgalmi területen is azért érhettek el sikereket, mert komplex megoldást kínáltak a bankoknak: a kártyakibocsátás támogatásától a fizetési forgalom biztosításán és a csalásmegelőzésen keresztül az elszámolásokig mindent át tudnak vállalni az üzleti partnereiktől.
Ehhez hasonló szolgáltatásra készülnek most a kiberbiztonság területén: az ügyfeleik egy bérletet vesznek tőlük azzal a céllal, hogy a Mastercard megvédje őket a fenyegetésektől. Az pedig már a szolgáltató dolga, hogy ezt a feladatot kivel oldja meg. Tehát nem a kkv-nak kell kiválasztania a megfelelő vírusirtó programot vagy épp a legbiztonságosabb felhőszolgáltatót, neki abban kell megbíznia, hogy a cég a megfelelő partnereket találja meg az ő adatainak védelmére.
Az adatok védelme mellett az adatok elemzése az, amely teljesen új dimenziókat ad – ráadásul mindkét irány egy tőről fakad. Kevesen tudják, de ma a Mastercard működteti a McDonald's loyality platformját, ahol az ügyfelek korábbi vásárlásaik alapján kaphatnak személyre szóló akciós ajánlatokat. Emögött rendkívül nagy mennyiségű, perszonalizált adatelemzés van. Ez a tudás az, amely már egyértelműen túllép a pénzforgalmon, és amit a cég döntően nem banki szereplőknek tud majd kínálni.
(Borítókép: Eölyüs Endre. Fotó: Karip Tímea / Index)