Az Anonymous nemzetközi hackercsoport hazai célpontok ellen lezajlott sikeres támadásai az elmúlt hetekben ismét ráirányították a figyelmet a hazai cégek, szervezetek lesújtó adatbiztonsági állapotára. Miközben óvatos becslések szerint is több tíz milliárd forint a hazai adatlopásokból eredő éves kár, a nyilvánosságra kerülő esetekből fakadó presztízsveszteség, illetve a támadások után kieső üzemórák által okozott károk még ennél is jelentősebbek lehetnek. Az emberi tényező figyelembe nem vétele még a gyenge technikánál is nagyobb kárt okozhat.

A BDO Magyarország 2011-ben is számos hazai rendszer átfogó belső és külső adatbiztonsági vizsgálatát végezte el kórházi hálózatoktól közműcégeken keresztül komplex kereskedelmi rendszerekig. A vizsgálatok alapvető tapasztalata, hogy az általános hazai kibervédelem már közepes informatikai felkészültség mellett is kijátszható.

Szinte minden esetben elegendő volt 1-2 nap arra, hogy egy-egy triviális adatbiztonsági hiba miatt a szakemberek a teljes rendszerhez hozzáférjenek. Mindez egyes cégek gazdasági összeomlása mellett fontos ellátórendszerek megbéníthatósága miatt akár nemzetbiztonsági kockázatot is magában hordozhat. Török Szilárd, a BDO Magyarország IT Megoldások üzletágának partner ügyvezetője arra figyelmeztetett, hogy a közműcégek vezérlő rendszerei felett is átvehetik a hackerek a hatalmat, akár az egész rendszer is tönkretehető.

Otthoni bankolás tízéves szoftverhibával

A feltárt védelmi hibákat ráadásul nem küszöbölik ki azonnal: tavalyi auditnál sikerült olyan hibára is bukkanni egy, a hazai bankok többsége által használt home banking rendszerben (a felhasználó ezen keresztül éri el interneten bankszámláját), amit már 2001-ben azonosítottak.

A törvényi előírások, kötelező auditok és fejlesztések sokat segítettek például a pénzintézeti szektorban a BDO szerint. Ennek mintájára más szektorban is hasznos lenne további szabályozás. Védtelenebbek viszont a cég szerint a mostanában gyorsan fejlődő és bővülő online kereskedelmi rendszerek: a BDO által végzett teszt során külső behatolóként lehetséges volt hozzáférni bármely belépő felhasználó kereskedelmi tételeihez, nevükben megrendeléseket adni és számláikról azok tudta nélkül szabadon utalni.

Európai szinten is lenne mit javítani. Az EU széndioxidkvóta-kereskedelmi rendszerét a tavalyi évben rendszeres - valódi, rosszindulatú - támadások érték, melynek eredményeképpen egyes becslések szerint uniós szinten mintegy 5 milliárd (!) euro értékű adócsalást hajtottak végre - mutat rá a BDO.

Unatkozó tiniktől célirányos bűnözőkig

A kibertámadások területén a jövőben egyre erősödő aktivitásra kell felkészülni. Egy jól szervezett akcióhoz évről évre egyre összetettebb, bárki számára elérhető (automatizált támadási) szoftverek találhatók már a világhálón, emellett felnőtt egy egész korosztály, amely már ebben az informatikai környezetben szocializálódott, vélik a szakértők. Közülük egyre többen vannak olyan fiatalok, akiknek egzisztenciálisan nincs jelentős vesztenivalójuk, miközben a tudásukkal való visszaélésnek komoly anyagi motivációi is lehetnek. A BDO szakértői szerint a kulcs a folyamatos tesztelésben, a megfelelő belső szakértő kiválasztásában, a gyakorlati ismeretek folyamatos alkalmazásában lehet.