Továbbra sem vagyunk védve a hackerek ellen

Az Anonymous nemzetközi hackercsoport hazai célpontok ellen lezajlott sikeres támadásai az elmúlt hetekben ismét ráirányították a figyelmet a hazai cégek, szervezetek lesújtó adatbiztonsági állapotára. Miközben óvatos becslések szerint is több tíz milliárd forint a hazai adatlopásokból eredő éves kár, a nyilvánosságra kerülő esetekből fakadó presztízsveszteség, illetve a támadások után kieső üzemórák által okozott károk még ennél is jelentősebbek lehetnek. A BDO Magyarország IT Megoldások üzletágának alábbi elemzése az elmúlt évben végzett vizsgálatainak tapasztalatai mellett a védekezés alapvető lépéseit is bemutatja.
A BDO Magyarország 2011-ben is számos hazai rendszer átfogó belső és külső adatbiztonsági vizsgálatát végezte el kórházi hálózatoktól közműcégeken keresztül komplex kereskedelmi rendszerekig. A vizsgálatok alapvető tapasztalata, hogy az általános hazai kibervédelem már közepes informatikai felkészültség mellett is kijátszható. Szinte minden esetben elegendő volt 1-2 nap arra, hogy egy-egy triviális adatbiztonsági hiba miatt a szakemberek a teljes rendszerhez hozzáférjenek. Mindez egyes cégek gazdasági összeomlása mellett fontos ellátórendszerek megbéníthatósága miatt akár nemzetbiztonsági kockázatot is magában hordozhat.

„A legkülönbözőbb, sokszor alapvető adatvédelmi hibákkal találkoztunk a tesztek során – ismerteti a tapasztalatokat Török Szilárd, a BDO Magyarország IT Megoldások üzletágának partner ügyvezetője. – A rendszergazdai jog megszerzéséhez sokszor elegendő volt azt kihasználni, hogy a rendszerek alapbeállításokkal futnak, és igen gyenge vagy triviális felhasználónév/jelszó párosítás társul hozzájuk. Máskor egy pénzügyi szervezet egy külső, védelem nélküli webszerverén találtunk olyan adatokat, amelyek alapvetően megkönnyítették a behatolást. A legriasztóbb az a tény, hogy a hackerek egyes közműcégek olyan vezérlő rendszerei felett is képesek átvenni az uralmat, amelyeken keresztül ártó szándékkal befolyásolható (esetenként leállítható) a fogyasztók ellátása, bizonyos esetekben a teljes rendszer visszafordíthatatlanul tönkretehető.”

A hibák detektálása persze önmagában nem elegendő, azokat gyorsan ki is kell küszöbölni. A BDO IT Megoldások üzletágának ezzel kapcsolatban is negatívak a tapasztalatai. A tavalyi audit során is feltárt olyan komoly védelmi hibát egy, a hazai bankok többsége által használt home banking rendszerben, amelyet már 2001-ben, tehát több mint tíz éve beazonosított. Mindez csak azzal magyarázható, hogy a felhasználók még mindig nincsenek igazán tisztában a lehetséges (a bizalomvesztés miatt hatványozódó) kárérték nagyságával.

Csak a törvényi kötelezés az igazán hatékony

Bár a pénzintézeti szektorban is találhatóak biztonsági rések, a törvényi előírások betartása érdekében mindenütt végrehajtották azokat az alapvető biztonsági fejlesztéseket, amelyek jelentősen csökkentik az ügyfelek biztonsági kockázatát. További pozitívumként említhető az NBF (Nemzeti Biztonsági Felügyelet) működése, amely a kormányzati intézmények informatikai védelmét ellenőrzi, akár etikus hacker módszerek alkalmazásával.

Miközben az elmúlt években komplex online kereskedelmi rendszerek tömege épült ki és fejlődött viharos sebességgel, ezek biztonsági rendszerei korántsem fejlődtek a rajtuk lebonyolított forgalommal arányos módon. A BDO által végzett teszt során külső behatolóként lehetséges volt hozzáférni bármely belépő felhasználó kereskedelmi tételeihez, nevükben megrendeléseket adni és számláikról azok tudta nélkül szabadon utalni. Ám európai szinten sem jobb a helyzet. Az EU széndioxidkvóta-kereskedelmi rendszerét a tavalyi évben rendszeres – valódi, rosszindulatú – támadások érték, melynek eredményeképpen egyes becslések szerint uniós szinten mintegy 5 milliárd (!) Euró értékű adócsalást hajtottak végre.

Mindezek a tapasztalatok is azt igazolják, hogy ha nincsen rászorítva akár jogszabályok., akár külföldi tulajdonosai által, egy átlagos szervezet a biztonsági kockázatok között még ma sem a valódi súlyának megfelelően kezeli az adatbiztonság kérdését: miközben éves szinten fizikai biztonságra több tízmillió forintot is elkölt, adatvédelemre sokszor 1-2 millió forintot sem szívesen áldoz. Persze az sem mellékes, hogy ezen belül mire költi a pénzt. Sokszor a legkorszerűbb rendszerek beszerzése sem elegendő, ha azok nincsenek megfelelően testre szabva, üzemeltetésük és beállításuk hiányos vagy elhanyagolt.

Kulcs a folyamatos tesztelés

A védelem legfontosabb eleme ugyanakkor a folyamatos tesztelés. A rendszert felépítő és üzemeltető belső szakemberek óhatatlanul csak korlátozottan tudják objektíven, külső szemmel felmérni a rendszerre leselkedő veszélyeket. Egyedül az ügyfél megbízásából (optimálisan az üzemeltető személyek tudta nélkül végrehajtott) betörési teszteket végző úgynevezett etikus hackerek képesek arra, hogy hatékonyan megleljék az adott hálózatok gyenge pontjait, megnehezítve az ártó szándékú behatolást. „Ahogyan nincs feltörhetetlen lakás, úgy nincsen feltörhetetlen informatikai rendszer sem – állítja a BDO Magyarország szakembere. – Ám itt is érvényesül az elv: ha a betörő nem egy adott zsákmányra tör, akkor nagy eséllyel az alacsonyabb szintű védelmet próbálja majd kijátszani.”

A kibertámadások területén a jövőben egyre erősödő aktivitásra kell felkészülni. Egy jól szervezett akcióhoz évről évre egyre összetettebb, bárki számára elérhető (automatizált támadási) szoftverek találhatók már a világhálón, emellett felnőtt egy egész korosztály, amely már ebben az informatikai környezetben szocializálódott. Közülük egyre többen vannak olyan fiatalok, akiknek egzisztenciálisan nincs jelentős vesztenivalójuk, miközben a tudásukkal való visszaélésnek komoly anyagi motivációi is lehetnek.

Minden a gyakorlati tapasztalatra épül

„Az illetéktelen behatolás megelőzésében a legfontosabb elem a megfelelő információ-biztonságiszakértő kiválasztása. – hangsúlyozza Török Szilárd. – A kulcs a sokéves gyakorlati tapasztalat, részvétel nyomozati eljárásokban, hiszen e háttér birtokában lesz képes igazán testre szabottan alkalmazni a piacon elérhető termékeket, megoldásokat. Nagy előnyt jelent a nemzetközi háttér is, és további biztonságot nyújt, ha a tanácsadó komoly, legalább néhány millió euró/év összegű felelősségbiztosítással is rendelkezik.”

Az adatlopás elleni védekezés alapvető lépései

– Mérjük fel a meglévő IT rendszereket – szükség esetén ne habozzunk tapasztalt külső tanácsadót is bevonni
– Azonosítsuk a kockázatainkat, szakemberrel végeztessünk mindezen kockázatokra kiterjedő elemzést, majd kockázatarányosan tervezzük meg a védelmi rendszereket
– Arra az esetre, ha mégsem tudjuk kivédeni a támadást, rendelkezzünk megfelelő üzletfolytonossági és katasztrófatervvel is
– Nagyvállalatok esetében feltétlen nevezzünk ki egy IT biztonsági vezetőt, aki mind szervezetileg, mind költségvetési szempontból független az informatikai részlegtől (Kisebb cégek esetében ez akár outsourcing keretében is megvalósítható)
– Gondoskodjunk a munkavállalók megfelelő oktatásáról és lojalitásuk fenntartásáról
– A folyamatok átláthatósága érdekében alkalmazzunk már bevált szabványon alapuló kockázatkezelést