Súlyos adatszivárgási problémákkal – ezzel együtt komoly presztízsvesztéssel – találta szemben magát a közelmúltban egy hazai fejvadász vállalat, melynek potenciális munkavállalói adatbázisából több ezer IT-szakember személyes információi kerültek nyilvánosságra. A kínos incidens forrása egy külsős fejlesztő hibája volt, az eset rávilágított a kiberbiztonsági hiányosságokra, valamint a bizalmas adatok kezelésének komplexitására. Cégünk szakértői is megosztották gondolataikat a történtekről.
A fejvadász cég közleménye tisztázta: külső fejlesztőt bíztak meg egy vállalatirányítási rendszer kialakításával, ám a fejlesztő hibája miatt az adatok egy nyilvános GitHub tárolóba kerültek. A cég viszonylag gyorsan reagált ugyan, és kiberbiztonsági szakemberekkel együttműködve megkezdték a károk minimalizálását, jelenleg még felbecsülhetetlen mértékű presztízs- és bizalomvesztést szenvedtek el. Tovább súlyosbítja a problémát, hogy – a Telex beszámolója szerint – a fejvadász cég munkatársai az önmagukban is szenzitív személyes adatok mellé nem túl ízléses megjegyzéseket is fűztek a potenciális munkavállalókról, és persze ezek is kiszivárogtak.
Tanulságos történet a cégek adatkezelési felelősségéről
D. László István kollégánk, a United Consult (UC) cybersecurity üzletágának vezetője szerint az eset jól mutatja a modern vállalatok egyik legnagyobb kihívását: a bizalmas adatok megfelelő védelmét. „Az incidens nem csak a cég reputációjára volt káros, hanem súlyos kiberbiztonsági és információvédelmi kérdéseket is felvetett” – hangsúlyozta az üzletágvezető. Kiemelte: nem elég csupán technikai eszközökkel védeni az adatokat, hanem komplex megoldásokban kell gondolkodni.
„A kiberbiztonság nem csak technikai kérdés, hanem folyamatvezérelt is: a megfelelő tesztelés, a hozzáférési jogosultságok kontrollja és az adatkezelési folyamatok átláthatósága alapvető fontosságú egy cég biztonságos működéséhez” – fogalmazott kollégánk. Az adatok megfelelő védelme egyértelműen a cégek felelőssége, a GDPR-szabályozások szerint ráadásul sok millió eurós bírságot is kaphatnak azok a vállalatok, melyek nem kezelik kellő komolysággal a kérdést.
D. László István szerint egy Managed Security Service Provider (MSSP) alkalmazása jelentősen csökkenthetné az ilyen esetek kockázatát; erről egyébként éppen néhány héttel az adatszivárgási incidens előtt írtunk részletesen.
„Az MSSP-k speciális szolgáltatásokat nyújtanak, amelyek közé tartozik az állandó rendszerfigyelés, a fenyegetésfelismerés, a hozzáférés-kezelés és az adatvédelmi szabályozások betartatása. Ezek a szolgáltatók folyamatosan frissítik a biztonsági rendszereket, felügyelik a hálózati tevékenységeket, és azonnal reagálnak, ha potenciális fenyegetést észlelnek” – tette hozzá kollégánk.
A CRM-rendszerek és az adatok fokozott védelme
Vénkuti Krisztián, az UC Salesforce-szakértője szerint a CRM-rendszerek a hatalmas adatbázisok miatt már önmagukban is jelentős kiberbiztonsági kockázatokat hordoznak, így megóvásuk komoly kihívást jelent a cégeknek.
„Az adatok védelme egyre inkább előtérbe kerül, mivel ahhoz, hogy a vállalatok ki tudják elégíteni az egyre fokozódó ügyféligényeket – mint a perszonalizált kommunikáció, a testre szabott ajánlatok, a magasabb szintű ügyfélélmény – egyre több adatot tárolnak az ügyfelekről a CRM-rendszerekben, illetve az ezekkel integrált adatmegoldásokban” – osztotta meg tapasztalatait szakértőnk.
Rámutatott, hogy az utóbbi időben berobbanó AI-alapú megoldásokat hatékonyan ki tudják használni a vállalatok, ám ehhez szintén széles adatvagyonra van szükség, amelyen tanulni, dolgozni tudnak a modellek. Ez a széleskörűbb, teljesebb adatvagyon pedig nagyobb veszélyforrást is hordoz magában, amit egyre szofisztikáltabb eszközökkel, egyre nagyobb tudatossággal kell kezelni.
Lefegyverezték a fejvadászt
Szakértőink tehát úgy vélik, a fejvadász cég esete egyértelműen rávilágít arra, hogy a kiberbiztonság és adatkezelési folyamatok átgondolása nélkül egyetlen vállalat sem védett a hasonló incidensekkel szemben. A megfelelő kiberbiztonsági protokollok bevezetése, valamint a külső szakértők bevonása, például egy MSSP bevonása, elengedhetetlen a jövőbeli hasonló események megelőzéséhez.
További információkért, adatvédelmi tippekért és személyes tanácsadásért keresse kiberbiztonsági, illetve CRM-szakértő munkatársainkat cégünk, a United Consult elérhetőségeinek bármelyikén!