Connect with us

technokrata

Továbbra sem vagyunk védve a hackerek ellen

hacker (2)

Dotkom

Továbbra sem vagyunk védve a hackerek ellen

Átlag két nap alatt a legnagyobb hazai vállalatok rendszerei is feltörhetők.

Az Anonymous nemzetközi hackercsoport hazai célpontok ellen lezajlott sikeres támadásai az elmúlt hetekben ismét ráirányították a figyelmet a hazai cégek, szervezetek lesújtó adatbiztonsági állapotára. Miközben óvatos becslések szerint is több tíz milliárd forint a hazai adatlopásokból eredő éves kár, a nyilvánosságra kerülő esetekből fakadó presztízsveszteség, illetve a támadások után kieső üzemórák által okozott károk még ennél is jelentősebbek lehetnek. A BDO Magyarország IT Megoldások üzletágának alábbi elemzése az elmúlt évben végzett vizsgálatainak tapasztalatai mellett a védekezés alapvető lépéseit is bemutatja.
A BDO Magyarország 2011-ben is számos hazai rendszer átfogó belső és külső adatbiztonsági vizsgálatát végezte el kórházi hálózatoktól közműcégeken keresztül komplex kereskedelmi rendszerekig. A vizsgálatok alapvető tapasztalata, hogy az általános hazai kibervédelem már közepes informatikai felkészültség mellett is kijátszható. Szinte minden esetben elegendő volt 1-2 nap arra, hogy egy-egy triviális adatbiztonsági hiba miatt a szakemberek a teljes rendszerhez hozzáférjenek. Mindez egyes cégek gazdasági összeomlása mellett fontos ellátórendszerek megbéníthatósága miatt akár nemzetbiztonsági kockázatot is magában hordozhat.

„A legkülönbözőbb, sokszor alapvető adatvédelmi hibákkal találkoztunk a tesztek során – ismerteti a tapasztalatokat Török Szilárd, a BDO Magyarország IT Megoldások üzletágának partner ügyvezetője. – A rendszergazdai jog megszerzéséhez sokszor elegendő volt azt kihasználni, hogy a rendszerek alapbeállításokkal futnak, és igen gyenge vagy triviális felhasználónév/jelszó párosítás társul hozzájuk. Máskor egy pénzügyi szervezet egy külső, védelem nélküli webszerverén találtunk olyan adatokat, amelyek alapvetően megkönnyítették a behatolást. A legriasztóbb az a tény, hogy a hackerek egyes közműcégek olyan vezérlő rendszerei felett is képesek átvenni az uralmat, amelyeken keresztül ártó szándékkal befolyásolható (esetenként leállítható) a fogyasztók ellátása, bizonyos esetekben a teljes rendszer visszafordíthatatlanul tönkretehető.”

A hibák detektálása persze önmagában nem elegendő, azokat gyorsan ki is kell küszöbölni. A BDO IT Megoldások üzletágának ezzel kapcsolatban is negatívak a tapasztalatai. A tavalyi audit során is feltárt olyan komoly védelmi hibát egy, a hazai bankok többsége által használt home banking rendszerben, amelyet már 2001-ben, tehát több mint tíz éve beazonosított. Mindez csak azzal magyarázható, hogy a felhasználók még mindig nincsenek igazán tisztában a lehetséges (a bizalomvesztés miatt hatványozódó) kárérték nagyságával.

Csak a törvényi kötelezés az igazán hatékony

Bár a pénzintézeti szektorban is találhatóak biztonsági rések, a törvényi előírások betartása érdekében mindenütt végrehajtották azokat az alapvető biztonsági fejlesztéseket, amelyek jelentősen csökkentik az ügyfelek biztonsági kockázatát. További pozitívumként említhető az NBF (Nemzeti Biztonsági Felügyelet) működése, amely a kormányzati intézmények informatikai védelmét ellenőrzi, akár etikus hacker módszerek alkalmazásával.

Miközben az elmúlt években komplex online kereskedelmi rendszerek tömege épült ki és fejlődött viharos sebességgel, ezek biztonsági rendszerei korántsem fejlődtek a rajtuk lebonyolított forgalommal arányos módon. A BDO által végzett teszt során külső behatolóként lehetséges volt hozzáférni bármely belépő felhasználó kereskedelmi tételeihez, nevükben megrendeléseket adni és számláikról azok tudta nélkül szabadon utalni. Ám európai szinten sem jobb a helyzet. Az EU széndioxidkvóta-kereskedelmi rendszerét a tavalyi évben rendszeres – valódi, rosszindulatú – támadások érték, melynek eredményeképpen egyes becslések szerint uniós szinten mintegy 5 milliárd (!) Euró értékű adócsalást hajtottak végre.

Mindezek a tapasztalatok is azt igazolják, hogy ha nincsen rászorítva akár jogszabályok., akár külföldi tulajdonosai által, egy átlagos szervezet a biztonsági kockázatok között még ma sem a valódi súlyának megfelelően kezeli az adatbiztonság kérdését: miközben éves szinten fizikai biztonságra több tízmillió forintot is elkölt, adatvédelemre sokszor 1-2 millió forintot sem szívesen áldoz. Persze az sem mellékes, hogy ezen belül mire költi a pénzt. Sokszor a legkorszerűbb rendszerek beszerzése sem elegendő, ha azok nincsenek megfelelően testre szabva, üzemeltetésük és beállításuk hiányos vagy elhanyagolt.

Kulcs a folyamatos tesztelés

A védelem legfontosabb eleme ugyanakkor a folyamatos tesztelés. A rendszert felépítő és üzemeltető belső szakemberek óhatatlanul csak korlátozottan tudják objektíven, külső szemmel felmérni a rendszerre leselkedő veszélyeket. Egyedül az ügyfél megbízásából (optimálisan az üzemeltető személyek tudta nélkül végrehajtott) betörési teszteket végző úgynevezett etikus hackerek képesek arra, hogy hatékonyan megleljék az adott hálózatok gyenge pontjait, megnehezítve az ártó szándékú behatolást. „Ahogyan nincs feltörhetetlen lakás, úgy nincsen feltörhetetlen informatikai rendszer sem – állítja a BDO Magyarország szakembere. – Ám itt is érvényesül az elv: ha a betörő nem egy adott zsákmányra tör, akkor nagy eséllyel az alacsonyabb szintű védelmet próbálja majd kijátszani.”

A kibertámadások területén a jövőben egyre erősödő aktivitásra kell felkészülni. Egy jól szervezett akcióhoz évről évre egyre összetettebb, bárki számára elérhető (automatizált támadási) szoftverek találhatók már a világhálón, emellett felnőtt egy egész korosztály, amely már ebben az informatikai környezetben szocializálódott. Közülük egyre többen vannak olyan fiatalok, akiknek egzisztenciálisan nincs jelentős vesztenivalójuk, miközben a tudásukkal való visszaélésnek komoly anyagi motivációi is lehetnek.

Minden a gyakorlati tapasztalatra épül

„Az illetéktelen behatolás megelőzésében a legfontosabb elem a megfelelő információ-biztonságiszakértő kiválasztása. – hangsúlyozza Török Szilárd. – A kulcs a sokéves gyakorlati tapasztalat, részvétel nyomozati eljárásokban, hiszen e háttér birtokában lesz képes igazán testre szabottan alkalmazni a piacon elérhető termékeket, megoldásokat. Nagy előnyt jelent a nemzetközi háttér is, és további biztonságot nyújt, ha a tanácsadó komoly, legalább néhány millió euró/év összegű felelősségbiztosítással is rendelkezik.”

Az adatlopás elleni védekezés alapvető lépései

– Mérjük fel a meglévő IT rendszereket – szükség esetén ne habozzunk tapasztalt külső tanácsadót is bevonni
– Azonosítsuk a kockázatainkat, szakemberrel végeztessünk mindezen kockázatokra kiterjedő elemzést, majd kockázatarányosan tervezzük meg a védelmi rendszereket
– Arra az esetre, ha mégsem tudjuk kivédeni a támadást, rendelkezzünk megfelelő üzletfolytonossági és katasztrófatervvel is
– Nagyvállalatok esetében feltétlen nevezzünk ki egy IT biztonsági vezetőt, aki mind szervezetileg, mind költségvetési szempontból független az informatikai részlegtől (Kisebb cégek esetében ez akár outsourcing keretében is megvalósítható)
– Gondoskodjunk a munkavállalók megfelelő oktatásáról és lojalitásuk fenntartásáról
– A folyamatok átláthatósága érdekében alkalmazzunk már bevált szabványon alapuló kockázatkezelést



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek

kiemelt-kep
2018-volkswagen-arteon-photos-and-info-news-car-and-driver-photo-676567-s-original
SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd