A számítástechnika hőskorában, amikor megjelentek az első vírusok, a védekezés viszonylag egyszerűnek tűnt: ha nem szeretnénk valamilyen kártevőt a gépünkre engedni, csak telepítünk egy vírusirtót, és máris minden rendben. Egyrészt persze már ez sem jelentett tökéletes védelmet, de azóta sokat változott a világ. A vállalati adatok és folyamatok jó része a felhőben található, vagy elérhető az internet irányából, a távmunka lehetősége miatt ezernyi irányból tátonghatnak rések a céges infrastruktúrán. Mégis, mintha sokak fejében továbbra sem telt volna el több évtized az "egy vírusirtó megoldja" szemlélet korszaka óta.
Nem csoda, hogy tényleg szinte naponta érkeznek hírek arról, hogy újabb vállalat vagy szervezet rendszerébe törtek be támadók, ellopva érzékeny adatokat, megbénítva a működést vagy konkrét pénzügyi károkat okozva. Az Invitech IT security szolgáltatási igazgatóját, Vaspöri Ferencet kértük fel arra, hogy átbeszélhessük vele: igaz, hogy semmiből sem tanulunk?
A biztonsági öv nem azért jó, mert kötelező
„Azt semmiképp nem lehet mondani, hogy mindenhol ugyanolyan szinten állna a biztonsági tudatosság, inkább szektoronként változó” - kezdi Vaspöri Ferenc. „Egy banknál vagy pénzügyi szolgáltatónál például szinte biztosan magasabb szintű a védelem kialakítása, hiszen őket a különféle hatósági elvárások és szabályozások kötelezik egy sor kiberbiztonsági lépés megtételére. A KKV-k esetében azonban valóban sok esetben látható a felkészülés teljes vagy részleges hiánya. Mondhatjuk, hogy ez a két véglet.”
A szakértő szerint a nagyvállalatok felkészültsége egyrészt a biztonságra is fordítható költségvetés mértékében keresendő, másrészt egyre több olyan követelménynek kell megfelelniük, amellyel fejlettebb biztonsági tervezés jár. Ilyen például az Európai Unió által bevezetett, egységes kiberbiztonsági intézkedéscsomag, a NIS2 irányelv.
„A jelenlegi állapotot leginkább ahhoz hasonlítanám, mint amikor 2019-ben életbe lépett a GDPR szabályozás. A vállalatok kénytelenek voltak foglalkozni ezzel, hiszen büntetésekre számíthattak, ha elmulasztották a felkészülést. Épp ezért most is érezni egy nagyobb érdeklődést a kiberbiztonsági megoldások iránt, de az is tény, hogy nem mindenki tudja, milyen nagyságrendben kell fokozniuk a védekezést, és bizony vannak, akik a lehető legkevesebb anyagi ráfordítással szeretnék megúszni a dolgot.” A szakértő szerint az érintett vállalatok egy része még nincs tisztában azzal, pontosan milyen biztonsági követelményeket vizsgálhatnak náluk egy audit során, ezért jelenleg még némi bizonytalanság tapasztalható e téren. A kiberbiztonsági tanácsadók és szolgáltatók feladata ezért most az, hogy meg tudják világítani azt is, hogy a kötelező körökön felül miért fontos valójában egy cég számára a naprakész kiberbiztonság, hogyan óvhatja meg őket a működés megzavarásától, adatvesztéstől vagy akár konkrét anyagi károktól.
„A biztonság terén kritikusabbnak tartom azokat a vállalkozásokat, amelyek nem tartoznak a NIS2 szabályozás körébe, hiszen ezeknél nincs külső kényszer arra, hogy odafigyeljenek a biztonsági kérdésekre. Kis túlzással azt is mondhatnánk, hogy egy ilyen cégnél csak akkor kezdenek a kiberbiztonsággal foglalkozni, ha már beütött valamilyen baj. Kicsit morbid hasonlat, de olyan ez, mint amikor valaki csak azért kapcsolja be az autójában a biztonsági övet, mert kötelező, és nem azért, mert valóban meg van győződve a szükségességéről.”
Én úgysem vagyok veszélyben?
Összességében a hazai példák is azt mutatják, hogy a kritikus területeken működő szervezetek, a nemzetközi háttérrel rendelkező vállalatok általában előrébb járnak a kiberbiztonságban, viszont a kis- és középvállalkozásoknál gyakran tapasztalni hiányosságokat. Ezek egyrészt a rendelkezésre álló erőforrásokban keresendők: nehezen különítenek el erre bármennyit is a szűkös költségvetésből, és nincs is olyan munkatársuk, aki a biztonsági kérdésekkel foglalkozna, vagy egyáltalán átlátná a terület fontosságát.
A KKV-knál bizony gyakran hallani olyan hárítást, hogy ugyan, mi ehhez túl kicsik vagyunk, a hackerek és a kiberbűnözők a nagyokat célozzák. Ez azonban manapság már nagyon messze van a valóságtól
– magyarázza Vaspöri Ferenc.
„Ahogy a számítástechnika az ügyféloldalon is folyamatosan fejlődik, már a kiberbűnözők sem azok a sötétben ücsörgő, kapucnis, magányos alakok, mint amilyeneket még mindig gyakran látni a témáról szóló cikkek illusztrációin. Ma már hihetetlen méretű infrastruktúrával dolgoznak, és gyakran mesterséges intelligencia segítségét veszik igénybe, ezért sokkal nagyobb kört célozhatnak meg, és ebbe akár a magukat biztonságban értő kisvállalkozások, sőt akár magánszemélyek is könnyen beleeshetnek.”
Ez a szemléletváltás ráadásul még jobban a célkeresztbe helyezi a kisebb vállalkozásokat. Míg egy nagyvállalat például könnyebben kivédhet egy támadást, vagy hamarabb talpra állhat egy zsarolóvírusos csalás után, egy kisebb cég védtelenebb. Mivel ma már a kiterjedtebb kiberbűnözői infrastruktúra miatt szélesebb célközönségre vadászhatnak, a bűnözők is felismerték, hogy a sok kis célponttól összességében nagyobb bevételt érhetnek el. Tehát igenis veszélyben vannak azok is, akik méretüknél, földrajzi elhelyezkedésüknél, tevékenységi körüknél fogva ezt nem is gondolnák.
Többfrontos háború
Ahhoz, hogy felkészüljünk a védekezésre, első körben fontos megértenünk a támadók célját. Ez pedig a szakértő szerint végső soron mindig a pénz.
„Egy zsarolóvírusos támadásnál értelemszerűen az a cél, hogy az elérhetetlenné tett fájlok és rendszerek visszaállításáért az áldozatok fizessenek, de ugyanez a módszer a túlterheléses támadások mögött is. Ilyenkor a bűnözők elérik, hogy a célpont működése egy időre leálljon, és ezzel olyan kieséseket idézzenek elő, amely a cég számára tarthatatlan. Aztán pedig megüzenik, hogy ez csak egy demonstráció volt, ha nem szeretnének több ilyen leállást, inkább fizessék ki a maffiatörténetekből ismert védelmi pénz modern megfelelőjét.”
Emellett közvetett módon egy sor egyéb támadási forma célja is a pénzszerzés. A vállalati adatok, ügyfélinformációk, jelszavak ellopása után például ezeket értékesíteni tudják az online feketepiacon, például rivális vállalatoknak, vagy épp olyan bűnözőknek, akik aztán az adatokat elemezve már személyes szinten folytatják a támadásokat.
„Több olyan esettel találkoztam még a közelmúltban is, amikor egy támadás nem várt helyen következett be és komoly károkat okozott. Egy szállodaláncnál például a bűnözők ideiglenesen megbénították a teljes informatikai rendszert, ezért gyakorlatilag papíron kellett vezetniük a foglalásokat és egyéb ügyfélinformációkat. El lehet képzelni, mekkora káoszt okozott mindez. Itt például már elgondolkoztak a cégvezetők azon, hogy inkább fizetnek, mert nem engedhetik meg maguknak a további leállásokat. És persze mindez megelőzhető és jóval olcsóbb lett volna a megfelelő előkészületekkel.”
A járványidőszak - egyébként pozitív - hozadékai között van például a távmunka elterjedése, vagy az online vásárlás, internetes ügyintézés népszerűbbé válása. Ez viszont szintén kiváló célpontot jelent a bűnözők számára, hiszen egy cég működését hatékonyan megbéníthatja, ha az otthonról dolgozók nem tudnak csatlakozni a céges rendszerekhez, vagy épp a weben termékeket árusító vállalkozásnak leáll az online boltja.
„Egyre több olyan új üzleti tevékenység jelenik meg, amelyet sikerrel vehetnek célba a támadók. Volt például egy olyan online licitekkel foglalkozó ügyfelünk, amely azután keresett meg minket, hogy a licitjeiket megbénították, és itt akár másodperces kiesések is hatalmas felfordulást, pénzügyi veszteséget és persze a felhasználók bizalmának megrendülését is magukkal hozzák.”
A kiberbiztonsági tudatosság másik fontos problémája Vaspöri Ferenc szerint az, hogy az új módszerek, friss esetek híre gyorsan lecseng, és az emberek hajlamosak azt hinni, hogy ezzel együtt a probléma is megszűnt. „Amikor néhány éve először megjelentek a zsarolóvírusos támadások, természetesen hatalmas sajtónyilvánosságot kapott ez a módszer. Azóta viszont persze már nem számít újdonságnak, és a sokadik hír nem is durran akkorát, de ettől a zsarolások ugyanúgy jelen vannak ma is, és jelentős részét teszik ki a kiberbiztonsági eseteknek. Én például ma is, épp egy órával ezelőtt kaptam egy telefont arról, hogy segítsünk egy ilyen esetben.”
Nincs csodaszoftver...
A védekezés tehát fontos, de mi a legjobb módszer? A szakértő szerint ma már nem szabad olyasmiben gondolkozni, hogy valaki jön, feltelepít egy mindent látó és minden ellen védő szoftvert, onnantól pedig mindenki megnyugodhat. „A legfontosabbnak egyértelműen a tudatosság növelését, az oktatást tartom, ráadásul minden szinten. Egy sor nemzetközi eset is bizonyítja, hogy a legjobban védett vállalatokhoz is beszivárogtak például az alkalmazottak megtévesztésével, személyiséglopással, közvetlen megkereséssel és egyéb csalási formákkal. Az új idők sajnos fokozott óvatosságot követelnek meg, ezért igenis minden alkalmazottat fel kell készíteni arra, hogy a részletekre is odafigyeljenek. Ha a főnök egy rövid SMS-t küld azzal a pénzügyesnek, hogy azonnal utaljon egy bizonyos összeget egy számlaszámra, még akkor is inkább kérjünk megerősítést telefonon, ha első látásra minden eredetinek hat. De ma már azt is megtehetik a támadók, hogy e-maileket eltérítve és módosított leveleket küldve csalnak ki utalásokat. Ezeket elsőre valóban nehéz észrevenni, de a megfelelő képzéssel kialakítható az az egészséges gyanakvás, amely már az emberi tényezőt is megerősíti a védelemben.”
Egy vállalat kiberbiztonsági felkészítése tehát már sokrétű feladat. Vaspöri Ferenc szerint az informatikai folyamatok mellett legalább annyira fontos az oktatás és annak hatékonysága is. „Amikor felmérjük egy szervezet biztonsági szintjét, akkor természetesen meghatározzuk, milyen szoftverekkel, monitorozással és egyéb megoldásokkal tudjuk fokozni a védelmet, de igyekszünk olyan képzésekkel is segíteni, ami nem csak a tények száraz mantrázását jelenti. Vannak például olyan gamifikált megoldásaink, amikor a kollégákat szimulált helyzetek elé állítjuk és azt teszteljük, beleesnek-e a való életből vettekhez hasonló csapdákba, majd jutalmazzuk azokat, akik átlátnak a csaláson.”
...de van csodacsapat
A beszélgetés végén arra jutottunk, hogy bár a kiberbiztonsági hírek sokaknak már a könyökén jönnek ki, legalább ennyire nem is tartják fontosnak vagy magukra vonatkozónak a figyelmeztetéseket. A már említett "minket úgysem támadnak meg" jellegű hozzáállás mellett sokszor az alacsony költségvetés vagy a dedikált IT-biztonsági csapat hiánya jelenthet akadályt a sikeres védekezésben. „Szerencsére egyre többen ismerik fel, hogy a veszély igenis valós, és annak ellenére, hogy ők maguk nem tudnak külön csapatot allokálni a védelemre, meg tudnak keresni olyan külső szolgáltatót, amely megoldja ezt számukra. Ráadásul az is rossz sztereotípia, hogy ezt csak nagyvállalatok engedhetik meg maguknak. Nálunk tényleg személyre szabott lehetőségek vannak erre, amelyet ugyanúgy elérhet egy kisvállalkozás és egy multicég is. Sok esetben a hevenyészett belső megoldások, kis létszámú biztonsági csapatok, elodázott lépések helyett jóval hatékonyabb a biztonsági feladatok kiszervezése egy szakértőhöz.”
(A cikk megjelenését támogatta a 4iG Group)