A kiberbűnözés mára professzionális iparággá vált, a támadási kapacitás a mesterséges intelligencia révén szinte végtelen, miközben a magyarok többsége a hamis biztonságérzet illúziójában él. A modern kiberbűnözést már rég nem a sötét szobák magányos, kapucnis hackerei hajtják végre. A mai elkövetői csoportok gyakorlatilag multinacionális vállalati struktúrában működnek. Saját HR- és pénzügyi osztállyal rendelkeznek, call centereket üzemeltetnek. A nagyvállalatok 85 százalékát érte már kibertámadás.
Kétféle cég létezik – az egyik, amit már ért valamilyen kiberincidens, és a másik, amit még nem. Míg öt évvel ezelőtt a kiberbiztonságot sok vállalatnál egy szűk informatikai stáb feladatának tekintették, ma már a legfelsőbb vezetői szinten is stratégiai kérdés – mondta Wittinghoff Dániel a Mastercard kiberbiztonsági megoldások üzletfejlesztési igazgatója.
A számok magukért beszélnek: Az FBI (IC3) adatai szerint a pénzügyi veszteségek 2025-ben elérték a 21 milliárd dollárt, ami 26%-os növekedés az előző évhez képest. A bejelentések száma a történelemben először lépte át az egymilliót, miközben az adathalászatból eredő veszteségek száma egyetlen év alatt 208%-kal ugrott meg.
A drasztikus növekedés oka az elkövetői oldal strukturáltságában keresendő.
Mint Wittinghoff Dániel kiemelte:
a modern kiberbűnözést már rég nem a sötét szobák magányos, kapucnis hackerei hajtják végre; a mai elkövetői csoportok professzionális, vállalati struktúrában működnek. Saját HR- és pénzügyi osztállyal rendelkeznek, call centereket üzemeltetnek, sőt, motivációs és bónuszrendszerekkel (sales incentive) ösztönzik és folyamatosan tréningezik a munkatársaikat. Pontosan úgy épülnek fel és értékesítik bűnözői szolgáltatásaikat, mint bármely legális, ügyfélközpontú piaci vállalat.
A mesterséges intelligencia (AI), az automatizáció és a Cybercrime-as-a-Service (bárki által pár dollárért megvásárolható bűnözői szoftverek) elterjedésével a támadási kapacitás szinte végtelenné vált.
Ezzel párhuzamosan a digitalizáció és az automatizált robotizáció miatt – például a termelővállalatok raktáraiban – a védendő felület is exponenciálisan bővül.
Vállalati oldalon egy sikeres támadás nem informatikai incidens, hanem súlyos üzleti csapás, amely három fronton éget el erőforrásokat: bevételkiesést, súlyos reputációs veszteséget és hatósági bírságokat okoz. Kutatások szerint a nagyvállalatok 85%-át érte már kiberincidens, és 43%-uknál ez rendszeres jelenség.
A magyar valóság: A magabiztosság illúziója és az AI-csapda
A Cyber Islands Mastercard támogatásával megvalósuló 1000 fős magyarországi reprezentatív kutatása rávilágított az edukáció legnagyobb ellenségére: a túlzott magabiztosságra.
-
A lakosság 82%-a felkészültnek érzi magát a digitális csalásokkal szemben, ám amikor elméleti alaptesztet kellett kitölteniük, 40%-uk azonnal elbukott. Ezek a felhasználók teljesen védtelenek, és mivel azt hiszik, mindent tudnak, immúnisak a biztonsági figyelmeztetésekre.
-
Bár a kitöltők 7,5%-a elérte a kiberbiztonságilag tudatos „digitális szakértő” szintet, a válaszadók egyharmada a gyakorlatban képtelen volt felismerni a legalapvetőbb csaló forgatókönyveket.
-
A kutatás során a mesterséges intelligenciát is bevetették: a válaszadóknak fel kellett ismerniük az AI által generált híreket. Az eredmény sokkoló: mindössze 24%-os volt a találati arány – vagyis a magyarok sokkal jobban jártak volna, ha egyszerűen feldobnak egy pénzérmét.
Felhasználó megítélés ágazatonként
A kutatás vizsgálta a különböző szektorok megítélését is felelősség és hatékonyság szempontjából:
A bankok bizalmi tőkéje hatalmas felelősség, hiszen a bajban az ügyfél először velük lép kapcsolatba. Ugyanakkor a csalások folyamata jellemzően egy négyfázisú ívet ír le (a hihetetlen hirdetés felbukkanásától a megkeresésen át a tranzakcióig). A pénzintézetek rendszerint már csak a legutolsó fázisban, a kár megtörténtekor találkoznak a problémával, holott az első három szinten – ahol a telekommunikációs és közösségi platformok működnek – még hatékonyan lehetne bevatkozni.
A KKV-szektor reaktív védelme
A Mastercard idén külön fókuszba helyezte a kis- és középvállalkozói szektort. A magyar KKV-k hozzájárulása a nemzeti GDP-hez meghaladja az európai átlagot, kiberbiztonsági felkészültségben viszont alatta maradnak annak. Ez a gap közvetlen nemzetgazdasági kockázatot jelent.
A felmérés három kulcsfontosságú megállapítást tett a hazai KKV-król:
-
Csak a kárból tanulnak: A többség addig egyáltalán nem foglalkozik kiberbiztonsággal, amíg közvetlenül őt vagy a szomszédját nem éri komoly anyagi veszteség.
-
Kapacitáshiány: Úgy érzik, nincs idejük, pénzük és hozzáférésük a megfelelő védelmi eszközökhöz. Tájékozódásuk tisztán reaktív.
-
Mindennapos fenyegetettség: Saját bevallásuk szerint az adathalászat (phishing) mindennapos jelenség a működésükben, mégsem rendelkeznek ellene rendszerszintű védelemmel.
A terápia: Ökoszisztéma, edukáció és a szakmai Playbook
Az elszigetelt, magányos védekezés kora lejárt. Mivel a fenyegetések ökoszisztéma szinten működnek, a védelemnek is kollektívnek kell lennie. A Mastercard szakértője szerint a hatékony védekezéshez három pillér szükséges:
-
Kollektív kibervédelem: Házon belüli (IT és üzletágak közötti), iparági szintű, valamint a szabályozókat is bevonó interszektorális együttműködés.
-
Felhasználóközpontú edukáció: Nem csupán statikus információkat kell átadni, hanem a viselkedést kell formálni. Az üzeneteknek a felhasználó saját élethelyzetéhez és kontextusához kell igazodniuk.
-
Folyamatos sebezhetőségmenedzsment: A rendszerek és a támadási felületek folyamatos tesztelése és „nyúzása”, ami az üzleti stratégia szerves része kell legyen.
A piaci szereplők (kiberbiztonsági és kommunikációs vezetők) támogatására a Mastercard kezdeményezésére – a Cyber Islands keretein belül – elkészült egy empirikus alapokon nyugvó Playbook (szakmai kézikönyv). Ez a módszertani útmutató segít abban, hogy a szektorokon átívelő üzenetek egységesek legyenek. Ha a felhasználó a közösségi médiában, a telekommunikációs szolgáltatójánál és a bankjánál is ugyanazzal a kontextusba helyezett üzenettel találkozik, a magabiztossági illúzió áttörhető.
A Playbook részletes útmutatót tartalmaz arról, hogy az érintettek hogyan kommunikálják hatékonyan a kiberbiztonsági kockázatokat, fejlesszék felhasználóik biztonságtudatosságát, valamint hogyan reagáljanak gyorsan és hatékonyan a folyamatosan változó fenyegetésekre. A Playbook szerzői szerint a sikeres kiberbiztonsági edukációhoz elengedhetetlen a pénzügyi ökoszisztéma szereplői tevékenységének összehangolása, a célcsoportok pontos ismerete, a megfelelő kommunikációs csatornák és üzenetek koordinált használata, vagyis uniformizált kommunikáció helyett személyre szabott edukációra van szükség.
A magyar kiberbiztonsági szakmában több potenciál van, mint amennyit jelenleg a társadalom kihasznál. A Cyber Islands ezt a rejtett potenciált szeretné kibontakoztatni azzal, hogy hozzáférést ad olyan erőforrásokhoz, amelyekhez egyébként csak nehezen vagy magas költségek árán lehet hozzájutni.
mondta el Csertán Ákos, a Cyber Islands alapítója.
