Dilettantizmus ellen nincs orvosság
Egy magányos hekker az amerikai Nemzetbiztonsági Minisztérium (Department of Home Security) kilencezer alkalmazottjának adatait szerezte meg a Super Bowl alatt, miután meghekkelt egy e-mail fiókot, aztán új felhasználóként kért és kapott hozzáférést a rendszerhez. „A világ legjobb eszközei sem védenek meg, ha az alkalmazottak dilettánsak” – mondja Sallai György, a KPMG információbiztonsági szakértője.
Kilencezer nemzetbiztonsági alkalmazott nevét, telefonszámát és más személyes adatát töltötte fel a netre egy amerikai hekker, miután a Super Bowl ideje alatt a social engeneering legegyszerűbb módszerével szerzett hozzáférést a drága szoftver- és hardvereszközökkel védett amerikai hivatalok rendszereihez. A hekker azt állítja, további 20 ezer FBI-alkalmazott adatait is megszerezte, és azokat is hamarosan közzéteszi. Erről szóló posztjában az is szerepel, hogy 200 gigabájtnyi nemzetbiztonsági adatot töltött le, pedig az akció alatt 1 terabájthoz volt hozzáférése.
A hekker előbb feltört egy e-mail fiókot, azután betelefonált a hivatalba azzal, hogy új felhasználóként elakadt és nem tud továbblépni a rendszerben. A megkeresett alkalmazott ekkor megkérdezte, van-e kódja, a nemleges választ követően pedig megadta a sajátját. A hekker ezután belépett a rendszerbe, és a már meghekkelt e-mail fiókon keresztül hozzáférést szerzett egy hálózatra kötött működő géphez, ahonnan belépett az intranetre.
„Ez egészen egyszerűen hihetetlen, ám a jelek szerint mégis igaz – mondja Sallai György, a KPMG információbiztonsági tanácsadásért felelős igazgatója, majd így fogalmaz: – A világ legdrágább védelmi rendszere sem sebezhetetlen, ha az alkalmazottak egyszerűen dilettánsak. Nagyon kíváncsi lennék, hogy az illető megadta volna-e a saját bankjától a tokenjére érkező jelszót, ha valaki felhívja. Talán igen, de nagyobb a valószínűsége annak, hogy nem: ez pedig kiválóan mutatja, hogy alkalmazottként milyen felelőtlenek tudnak lenni az emberek.”
Sallai szerint minden informatikai rendszer annyit ér, amennyit a hozzá kapcsolódó szabályzatból az emberek betartanak. Ehhez folyamatos képzés és az egész intézményrendszer minden szintjét átható fenyegetettségtudat szükséges. A szakértő arra figyelmeztet, hogy a social engeneering módszerekkel szemben a legjobb szoftveres és hardveres védelem is kevés, sőt minél drágább és ismertebb a védelmi rendszer, annál könnyelműbbé teheti az alkalmazottakat. „Ráadásul olyan ez, mint a kiemelt személyek biztonsági védelme vagy a tűzriadók: ha nem tesztelik olykor a működésüket, egy idő után sokkal támadhatóbb lesz a célszemély, vagy nagyobb az emberveszteség” – teszi hozzá a szakértő.
Sallai György szerint az információbiztonság érdekében a különböző hardveres és szoftveres megoldások mellett öt további intézkedés megkerülhetetlen:
1. A fenyegetettségek hierarchikus kezelése
Nem elegendő, ha az IT-szakemberek technikai eszközökkel harcolnak a rendszer sérülékenységei ellen. Egy biztonsági szabály figyelmen kívül hagyása, egy olcsó beszállító bevonása vagy egy belső ellenőrzési jelentés alulértékelése mind gyors üzleti eredménnyel kecsegteti az adott szintű vezetőt, aki éppen ezért nem maradhat ki a kockázatkezelés látóköréből. A szervezeti hierarchia helyes megválasztása fontos szempont, éppen úgy, mint az, hogy a védelmi intézkedések áthassák a szervezetet egészét.
2. Munkavállalók képzése
Az adatvesztések második leggyakoribb oka humán kockázatra vezethető vissza. Ezeket akár egy olyan költségkímélő biztonsági tréninggel is meg lehet akadályozni, amelyik nyomatékosan felhívja a dolgozók figyelmét a „Password1234” jelszó használatának veszélyeire vagy a post-it cédulákra írt jelszavak kockázatára. Ha a szervezet nem látja az előtte álló kockázatok erdejét, social engineering vizsgálattal feltárhatja a neuralgikus pontokat.
3. Beszállítók monitorozása
A tapasztalatok azt mutatják, hogy az egyik legnagyobb biztonsági kockázat olyan harmadik személy – azaz a legtöbb esetben valamelyik beszállító –, amellyel számítógépen kommunikálunk. Az üzleti racionalitás érdekében beszállítók egész sora fér hozzá felhasználói vagy üzletileg érzékeny adatokhoz. Éppen ezért vizsgálni kell, hogy a beszállítók milyen rendszereket, adatokat és munkafolyamatokat érnek el, és az adott hozzáférés valóban szükséges-e a munkavégzéshez.
4. Biztonsági szabályok alkalmazása
Itt lényegesen többről van szó, mint a szabályok kialakításáról. A gyakorlati alkalmazáson, betartatáson van a hangsúly, mert minden szabály annyit ér, amennyire komolyan veszik. A legkisebb változtatás kockázatait is mérlegelni kell, és a szabályok alkalmazását minden esetben kockázatarányos módon kell kikényszeríteni.
5. Sérülékenységek rendszeres ellenőrzése
A rendszeres ellenőrzés a leghatékonyabb módja a külső támadások megakadályozásának. Nem elég azonban egy rendszer gyenge pontjait a bevezetés pillanatában vizsgálni, sőt még az éves felülvizsgálat is kevésnek bizonyulhat, ha a struktúrákban sűrűn történik változás. A vizsgálatok tervezésénél fontos szempont a proaktivitás. Minden változás alkalmával érdemes a vele járó kockázatokat előre számba venni, és felkészülni a kezelésükre. A sérülékenységek túlnyomó többsége már a tervezési-fejlesztési szakaszban látszik. Helyes szabályok, rutinok és kockázatelemzés alkalmazásával még a rendszer elkészülte előtt láthatóvá válnak a gyenge pontok.
Kapcsolódó cikkek
- Néhány nap és Hacktivity
- Erősödött Magyarországon az információbiztonság
- A hackerek okosabbak a Smart TV-knél?
- Hackerek támadták meg a BBC-t
- Fokozódik a hálózatba kapcsolat informatikai eszközök támadása
- Komoly kibertámadás török szerverek ellen
- Viccnek szánta az Anonymous az Európai Űrügynökség meghackelését
- A karácsonyi vásárlás előtt így ellenőrizhetjük a biztonságot
- Már az okostévénket is megtámadhatják
- Az Anonymous egy amerikai céget vádol az IÁ támogatásával
E-világ ROVAT TOVÁBBI HÍREI
Magyar innováció: Közel száz tűzvédelmi szakembert képeztek ki az új módszerrel
Sikeres a tűzvédelmi szakemberek képzése, akik már egy új iparági sztenderd alapján sajátítják el a papírmentes tűzvédelmet. Az innovatív magyar megoldás e-naplós rendszere átláthatóbb és könnyebb hozzáférést biztosít a tűzvédelmi eszközökhöz és az ellenőrzéshez. A papírmentes rendszer egyre szélesebb körben terjed itthon és már akkreditált képzések is elérhetőek a témában.
A MOL nyerte a funkcionális átalakítás nagydíját az SAP Quality Awards versenyen
Az üzleti transzformáció a folyamatosan változó környezetben elengedhetetlen. Az SAP éppen ezért immár tizennegyedik alkalommal díjazza azokat az üzleti átalakítást megvalósító vállalatokat, amelyek élen járnak a változásban, és jó példaként szolgálnak a sikeres bevezetésben. Az SAP Quality Awards egyik nagydíját idén a magyar MOL nyerte el.
A Thermaltake bemutatja a The Tower 300 mikro toronyházat
A Thermaltake, a prémium PC-hardvermegoldások vezető márkája bejelentette a The Tower 300 mikro toronyházat. A The Tower sorozat az egyik legnépszerűbb termékcsalád, ami az ikonikus függőleges toronyház-kialakításáról ismert. Most egy új mikro-ATX házzal egészült ki – a The Tower 300-zal – egészült ki a sorozat, jellegzetes nyolcszögletű megjelenéssel, és lehetővé téve a hagyományos függőleges és az egyedi vízszintes elhelyezést.
K&H: ismét a legjobb digitális bank Magyarországon
A K&H Csoport az egymást követő második évben, 2024-ben is elnyerte a neves brit pénzügyi szaklap, a Global Banking and Finance Review „Legjobb Digitális Bank Magyarországon” díját. Az indoklásban a K&H innovatív digitális pénzügyek terén játszott úttörő szerepét emelték ki, különös tekintettel a világszínvonalú és könnyen kezelhető mobilbankra, valamint a hozzá kapcsolódó, a szektorban itthon elsőként beszédhanggal is és magyarul kommunikáló digitális pénzügyi asszisztensre, Kate-re.
Kreditbeszámítással érkezhetnek az Audi Hungaria Iskolaközpont tanulói a Széchenyi-egyetemre
Együttműködési megállapodást kötött a győri Széchenyi István Egyetem az Audi Hungaria Iskolaközponttal május 8-án. Ennek értelmében az iskola duális szakképzésének tanulói az egyetem gazdálkodás és menedzsment, valamint kereskedelem és marketing alapszakán élhetnek a kreditbeszámítás lehetőségével, ami a tanulmányi idő jelentős lerövidülését is jelentheti.