Hiába a bombabiztos védelem, ha az emberek monitorra ragasztott matricákon őrzik a jelszavukat

A járvány nem állította meg a kiberbűnözőket, sőt: kifejezetten sokat könnyített a helyzetükön, hogy rengeteg olyan vállalat kényszerült távoli munkavégzéssel működni, amely nem volt erre felkészülve. Ez sajnos azonban sokak számára csak akkor derült ki, amikor egy zsarolóvírus teljesen megbénította az üzletüket.

A Microsoft ezért utánajárt, hogy a közép- és kelet-európai régióban mennyire voltak felkészülve a kis-, közép- és nagyvállalatok az online tér viszontagságaira.

A rövid válasz persze az, hogy nem kifejezetten, de nem minden olyan szörnyű, mint ahogy az elsőre tűnhet.

Nézzük az adatokat. Több mint 1500 interjút csináltak a kutatás során, a kutatásban 200 magyar vállalat szerepelt.

Tóth András Mihály, a Microsoft hazai marketingkommunikációs igazgatója a Telexnek azt mondta, hogy a vállalatokat nagy vonalakban kétféle kibertámadás éri: az egyik célja a rendszerek megbénítása, váltságdíj kérése vagy üzemzavar előidézése, a másiknak pedig a folyamatos adathalászat. A kiberbűnözők a támadások 70 százalékában próbálják meg megszerezni felhasználók hitelesítő adatait. Gyakran úgy, hogy emailben küldenek egy megbízhatónak tűnő linket, és arra kérik az embert, hogy jelentkezzen be egy olyan oldalra, ami a megtévesztésig hasonlít az eredetire, pedig a bűnöző készítette. Amint a felhasználó ezt megteszi, a bűnözők meg is kapják a felhasználónevét és a jelszavát.

Az ilyen kísérletek már jelentősen szofisztikáltabbak, mint az afrikai hercegek levelei, pedig azoknak is meglepően sokan bedőlnek. Ez ellen a cégek leginkább úgy tudnak védekezni, hogy folyamatosan képzik az alkalmazottakat az adathalász csapdák felismerésére, valamint úgy, hogy folyamatos megfigyelés alatt tartják a rendszerüket, amit a régióban található cégek 57 százaléka tervez bevezetni a következő 18 hónapban.

„Nem rossz, de nem mondom, hogy elég, és ez még csak terv, de ez legalább azt jelenti, hogy megértették, hogy erre szükség van”

– magyarázta Tóth. A magyar cégeknél ez 47 százalék, tehát a régiós átlag alatt vagyunk. Tóth szerint minél kisebb egy vállalat, annál inkább viselkedik hétköznapi, lakossági felhasználóként. A nagyvállalatoknál van erőforrás egy dedikált IT-csapatot fenntartani, de egy kkv-nál nincs mindig keret erre. Főleg azért, mert a vezető nem feltétlenül ért az informatikához, valószínűleg az egyszerű megoldásokat keresi.

A Microsoft 2019-ben több mint 13 milliárd rosszindulatú és gyanús emailt blokkolt, ezek közül 1 milliárd tartalmazott olyan linket, amivel a bűnözők meg tudták volna szerezni a hitelesítő adatokat. Ha megszerzik ezeket, akkor átlagosan 45 perc alatt eljutnak addig, hogy a teljes vállalati hálózatot megtámadják.

Ezt a vállalatok látják, úgyhogy megkezdték az aggódást, de nem mindenki ugyanattól tart. A közép- és kelet-európai régióban a cégek 55 százaléka egy esetleges biztonsági incidens következményeitől tart a legjobban. A felük inkább a dolgozóival kapcsolatban bizalmatlan, aggasztja őket a munkatársak alacsony tájékozottsága. A kérdezett vállalatok egyharmada a biztonság bonyolultsága miatt aggódik.

A magyar cégek kicsit eltérnek a régiós átlagtól, ugyanis a cégek többsége szerint a saját munkavállalóik tájékozatlansága jelenti a legnagyobb kiberfenyegetést a vállalat számára.

2020-ban ezeket tekintették a régió cégei a fő biztonsági kihívásoknak:

• Zsarolóprogramos vagy rosszindulatú szoftveres támadások (38 százalék);
• Elavult biztonsági eljárások és rendszerek (30 százalék);
• Egységes biztonsági kontrollok alkalmazása a helyi környezetben és a felhőben (27 százalék);
• Biztonsági költségek (25 százalék);
• Nem szembesült biztonsági kihívással (23 százalék).

Tóth szerint persze benne van, hogy valaki azért mondta, hogy nem szembesült biztonsági hibával, mert nem a legprofibb a rendszere, és nem tudta meg, hogy támadás áldozata volt. A Microsoft kutatása szerint a cégek többsége általában véve elégedett a saját rendszereinek biztonságával, pedig sokuknak nincs átfogó biztonsági stratégiájuk. Ez az elégedettség – és az abból fakadó tétlenség – azonban pont a bűnözők malmára hajtja a vizet, hiszen ők újabb és újabb technikákon dolgoznak.

Ennek az lehet az egyik oka, hogy sok vállalatnál a kiberbiztonságot IT-problémának tekintik, pedig valójában ez egy üzleti probléma, tehát az üzleti vezetőt is érdekelnie kéne. Az üzleti döntéshozók csak a megkérdezett vállalatok negyedénél vesznek részt a biztonságfejlesztési folyamatban.

„Az informatikai biztonság elsősorban üzembiztonságot, üzletfolytonosságot jelent”

Az informatikai biztonság megoldása részben technológiai folyamat, de a fő letéteményes az üzlet, hiszen a nagyobb döntések azon az oldalon történnek, és egy biztonsági incidens gyakran üzleti kárral is jár.

Tóth azt mondta, hogy a vizsgált cégek túlnyomó többségénél nincs annyi IT-szakember, hogy hatékonyan óvják a rendszereket. A Microsoft Security Centerben ezzel szemben több mint 3500-an dolgoznak, napi 8 billió olyan jelet elemeznek ki, amik biztonsági problémára utalhatnak. Az eredményeiket feldolgozzák, és beépítik a Microsoft szolgáltatásaiba, így az ügyfelek is jól járnak.

„A kibertámadások globális fenyegetések, amik ellen egy globális szemléletű cég könnyebben lép fel, mint egy kisebb biztonsági cég.”

A felhő egy egyszerű megoldás

A járvány miatt sok cég a távmunkát választotta, de ez újabb kihívások elé állította őket: a biztonságos távmunka, a munkatársak hozzáférésének kezelése és a belső veszélyforrások egyből a vállalatok kiemelt prioritásai közé kerültek. A biztonságos távmunka hirtelen majdnem ugyanolyan fontossá vált (65 százalék), mint a rosszindulatú szoftveres támadások kivédése (67 százalék). Épp ezért a cégek 54 százaléka tervez a felhőbe költözni, tavaly 19 százalékkal kevesebben akarták még ezt. Gyakran azonban későn indul el ez a folyamat.

„Ahol történik egy komoly biztonsági incidens, ott pillanatok alatt megindulnak a felhőmigrációs projektek”

– magyarázta Tóth.

Ennek több módja is van, de minddel biztonságosabbá válik a rendszer. Egy-két évtizede a kiberbiztonság azt jelentette, hogy az IT-s szakember kulcsra zárta a szerverszobát, esetleg letiltotta az USB-portokat. Az internet segítségével azonban a kiberbűnözők bárhová bejuthatnak. A rosszakarók folyamatosan fejlődnek, képzik magukat, a legmodernebb eszközöket használják, és bárhová el tudnak jutni.

„A digitális betörők manapság már nem betörnek, hanem belépnek”

– mégpedig azért, mert olyan szofisztikált kamu belépőoldalakat csinálnak, amiken a felhasználók lelkesen adják meg az azonosítóikat. A támadások nagyjából 70 százaléka a felhasználónév-jelszó kombinációk megszerzésére irányul, és az így megszerzett azonosítókkal a kiberbűnözők egyszerűen csak belépnek a vállalati rendszerekbe.

Ilyen támadás érte például május közepén a Büntetés-végrehajtás Országos Parancsnokságának toborzó oldalát, március végén pedig az Unix Autót bénította meg egy zsarolóvírus.

A nagyvállalatok hajlamosabbak ilyen jellegű oktatást tartani a dolgozóknak, sokkal inkább a vállalati kultúra része, mint a kkv-knál. Ezeknek a tanfolyamoknak például az az eredményük, hogy a dolgozók a munkahelyen kívül is tudatosabban szörfölnek a világhálón.

Az első dolog, amit egy cég tehet a biztonsága érdekében az, hogy megbizonyosodik arról, ki is használja a rendszereit. Erre jó például a többfaktoros autentikáció, ami leegyszerűsítve arról szól, hogy csak azért, mert valaki jó felhasználónevet és jelszót adott meg, még nem biztos, hogy jogos felhasználó, és még egy módon meg kell erősíteni a személyazonosságát (ellenőrző kód sms-ben vagy emailben, kódgeneráló alkalmazás). A Microsoft szerint ennek a bevezetése 99,9 százalékkal csökkentheti a személyi adatok feltörésének kockázatát a vállalatok számára.

Főleg a kkv-knál az a biztonsági rés is felmerülhet, hogy a felhasználók nem a legbiztonságosabb jelszavakat választják, és nem is őrzik azokat túl szigorúan.

„Mit csinálnak a felhasználók egyébként? Egymás gépébe bejelentkeznek. »Kollégám, mondd már meg, mi a jelszavad, belépek helyetted, és kiállítom a számlát.«️ Innentől kezdve ha a jelszó kiszivárog és vándorol, nem lehet tudni, ki mit csinál. Erre is jó a többfaktoros autentikáció.”

A felhőbe költözés másik előnye – főleg egy kisebb vállalat számára – az, hogy onnantól kezdve a felhő üzemeltetője garantálja a rendszer biztonságát. Persze visszatérünk oda, hogy az üzlet a saját biztonságának végső letéteményese, ilyen témákban is képeznie kell a munkavállalóit. A Google vagy a Microsoft hiába biztosít bombabiztos védelmet, ha a felhasználó a monitorján egy post-iten őrzi a jelszavát, vagy a telefonjával lefényképezi a nyomtatásvédett dokumentumot.

Brückner Gergely novemberben mélyen beleásta magát a vállalatok és a felhő viszonyába, vállalati megszólalók segítségével bemutatta, hogy egy cég számára miért is tűnik adatvédelmi szempontból kockázatosnak a felhőbe költözés, még úgy is, hogy valójában akár biztonságosabb lehet egy külső partnerre bízni a védelmet, mint középkori várként gondolni a belső rendszerekre.