IT biztonság: addig tanuljunk mások hibáiból, amíg lehet

Számtalan cégnél az illegális behatolás vagy adatlopás már meg is történt, csak éppen senki sem vette észre.

Manapság olyan mennyiségben szaparodnak az informatikai rendszerek ellen irányuló támadások, hogy egy cégvezető számára nem az a kérdés, vajon az ő vállalatánál is lesz-e biztonsági incidens, hanem csak az, hogy mikor. Valamint, hogy azt mikor veszik észre?

Az Invitech ügyfélbiztonsággal foglalkozó Security Operation Centerében az egyik monitor folyamatos „red alert” jelzést mutat. Ez azt jelenti, hogy az IT biztonsági szakemberek a nap 24 órájában biztonsági incidenseket hárítanak el. Beavatkoznak, kivédik az aktuális támadást, és ezért az ügyfélig el sem jut a probléma. Az ilyen volumenű, egyre szofisztikáltabb, aktuális biztonsági résekre épülő akciók miatt egy cégnél egyre nagyobb kihívás házon belül megszervezni a hatékony IT biztonságot: ehhez már egy professzionális, megfelelő kapacitásokkal, szaktudással és reagálási idővel bíró szolgáltatóra van szükség.

Ugyanakkor van egy olyan terület, ahol egy cég házon belül nagyon is sokat tehet: ez pedig a saját munkatársainak IT biztonsági képzése. Ugyanis számos esetben az illetéktelen behatolás, adatlopás vagy egyéb bűncselekmény a mit sem sejtő munkatársak aktív „közreműködésével" történik. Ők jelentik a gyenge pontot: rajtuk keresztül sokkal könnyebb bejutni egy rendszerbe, mint egy profin felépített digitális védelmi hálót áttörve.

Vaspöri Ferencet, az Invitech technológiai szaktanácsadóját, IT biztonsági szakértőjét arra kértük, meséljen olyan tipikus esteket, amelyek ebből a szempontból intő példaként tanulságosak lehetnek a vállalkozások számára.

Email hamisított feladóval

Vaspöri Ferenc szerint gyakran előfordul, hogy a támadók meghamisítják egy levél feladóját, hogy az hivatalosnak tűnjön, és ezzel igyekeznek pénzt kicsalni a kiszemelt áldozattól. Általában ilyenkor még valamilyen nyomást is gyakorolnak a címzettre, hogy sietségében ne vegye észre a trükköt.

Előfordult, hogy egy pénzügyi munkatárs szabadsága alatt több levelet is küldtek, melyekben egy elmaradt utalást sürgettek meg. Így amikor a kolléga ismét munkába állt, kényelmetlenül érezte magát a késlekedés miatt, elnézést kért, és gyorsan elutalta az összeget. Csak akkor derült ki, hogy a pénz csalóknál landolt, amikor az igazi partner valóban bejelentkezett az utalásra várva.

Persze ebben az esetben a hitelesség látszatához nem volt elég a levél feladóját meghamisítani: az elkövetők a partnercég számlázási rendszerébe törtek be, ezért a követelést illetően mind a beszállító, mind a tartozás összege nagyon is valós volt.

Tanulság: egy emailben nem szabad feltételek nélkül megbízni. Vannak olyan tipikus jelek, amelyek alapján érdemes gyanakodni: ebben az esetben például utólag már feltűnt az áldozatnak, hogy a levél stílusa, a címzett megszólítása sokkal hivatalosabb volt, mint amilyen lenni szokott.

Vaspöri Ferenc biztos benne, hogy ez célzott támadás volt, melynek véghezviteléhez alaposan nyomozati munkára is szükség volt. Az Invitechnél egyre több hasonló típusú támadást tapasztalnak, és e trend erősödését más szolgáltatók is megerősítik. A szakma ezt a módszert nevezi „social engineering”-nek, amikor nem az informatikai rendszert, hanem annak egy felhasználóját hackelik meg.

Az ilyen akciók ellen nehéz technikailag védekezni, itt sokkal inkább az üzleti logika, a munkafolyamatok szabályozása, a munkatársak képzése jelenti a megoldást.

A pszichológia trükkjei – a jószándékot használják ki

A fenti példánál sokkal egyszerűbb pszichológiai trükkel is sikert lehet elérni. Vaspöri Ferenc elmondása szerint egy cég rendszerébe úgy sikerült behatolnia a bűnözőknek, hogy egyikük állásinterjúra ment a kiszemelt vállalathoz. A hölgy megérkezve azt állította, sajnos elfelejtette kinyomtatni az önéletrajzát, ezért azt kérte, hogy a nála lévő pendrive-ról nyomtassák ki neki. A cég munkatársa eleget is tett a kérésnek, és ez elég is volt ahhoz, hogy az elkövetők megfertőzzék a vállalat hálózatát.

Mindkét fenti eset azt bizonyítja, hogy a munkatársakat képezni kell, és fontos a biztonságos munkafolyamatok, eljárási rendek kidolgozása. Az Invitechnek éppen ezért van a felhasználóknak szóló, tudatosságot fejlesztő trénignje – mert a biztonsági incidenseket jobb megelőzni, mint utólag a károkat kezelni.

Rosszul megvalósított iktatási stratégia

Reneszánszukat élik a zsarolóvírusok, amelyek letitkosítja egy cég, intézmény vagy magánszemély létfontosságú fájljait, és az információkhoz csak egy jelszó megadásával lehet újra hozzáférni, amiért persze a zsarolók jelentős összeget kérnek. Természetesen a sikeres támadáshoz a kódolást elvégző vírusnak először át kell jutni a biztonsági rendszeren. Az elkövetők változatos módszerekkel próbálkoznak, amelyek közül az egyik legkézenfekvőbb egy emailhez csatolt Word dokumentum küldése, mert ebben makró formájában miniprogramokat lehet elrejteni. (Nem véletlen, hogy egy letöltött Word dokumentum először csak megtekintésre nyílik meg, és ha biztonságosnak ítéljük meg, akkor kérhetjük a megnyitását szerkesztésre is.)

Mivel egy cégnél egyszer egy fontos üzleti levél a spam folderbe került, és az elkésett válasz üzleti kárt okozott, ezért egy adminisztrációs munkatárs azt a feladatot kapta, hogy minden bejövő emailt iktatnia kell. Az eljárási rend értelmében megnyitott egy számlának tűnő Word dokumentumot, ami azonban fertőzött volt, és ezzel kaput nyitott a zsarolóvírusnak, ami letitkosította a vállalat munkaállomásait. Két teljes hétbe került, mire a cég ismét működőképessé vált.

Vaspöri Ferenc szerint az ilyen helyzet ellen olyan vírusvédelmi szoftverrel érdemes védekezni, ami detektálja a ransomware-t. A jó védelmi megoldás az informatikai rendszer szempontjából szokatlan, a zsarolóvírusokra viszont nagyon is jellemző folyamatokat figyeli. Például riaszt akkor, ha mondjuk valaki egy Outlook levelező programból megnyit egy Word dokumentumot, mire elindult elindul egy folyamat, ami hozzá akar férni a dokumentumokhoz, és írni akar beléjük.

Tanulság: nem tanácsos minden fájlt megnyitni. Beérkező számlák esetén például folyamatot lehet kialakítani arra, hogy csak az ismert partnerektől érkező, és kifejezetten várt számlák kerüljenek megnyitásra.

Az internetre kapcsolt gyártósor esete

Gyárakban a gyártósorokat vezérlő gépeket biztonsági okokból célszerű elválasztani az internetre kapcsolódó hálózattól. Egy cégnél ez nem történt meg, sőt, az egyik gyártósori gépre engedélyezték a távoli asztali kapcsolatot, mert az egyik informatikus így végzett karbantartást a rendszeren. Ráadásul a munka végeztével ez a megnyitott kapcsolat nem lett letiltva.

Egy támadó felismerte a helyzetet, belépett a rendszerbe, és letitkosította az adatokat, ami lehetetlenné tette a gyártást. Ez majdnem végzetes lett a cég számára, mivel beszállítóként szoros határidőket kellett tartaniuk, a késésért pedig jelentős kötbért kellett fizetniük.

Vaspöri Ferenc szerint egy ilyen helyzet előfordulását (vagy megismétlődését) a rendszer átvilágításával, a gyenge pontok felkutatásával és megerősítésével kell megelőzni. Létezik olyan biztonsági megoldás, ami például egy nyitva felejtett távoli hozzáférés esetén riasztást küld.

Ipari kémkedés

Ahhoz, hogy a munkatársak jó munkát tudjanak végezni, hozzá kell férniük a szükséges céges adatokhoz, ami egyúttal kockázatot is jelent, ha ezeket az adatokat rossz szándékkal ki akarják vinni a cégtől.

Vaspöri Ferenc tud olyan esetről, amikor egy munkatárs rendkívül értékes gyártástechnológiai know-howt és műszaki paramétereket másolt ki egy pendrive-ra azért, hogy eladja a konkurenciának. Csak a szerencsén múlt, hogy rájöttek, mi történt, és a rendőrség sikerrel elfogta az elkövetőt. Ha ez nem sikerül, akár több milliárdos kár is keletkezhetett volna.

Hasonló történt egy kereskedelmi cégnél is, ahol egy idő után feltűnt, hogy a konkurencia rendszeresen ugyanazokra a termékekre hirdet akciót, amelyekre ők is terveztek, csak éppen náluk korábban valósította meg az árleszállításokat. Végül sikerült bebizonyítani a szivárogtatás tényét.

Az Invitech biztonsági szakértője szerint az ehhez hasonló problémák megelőzéséhez fontos adatleltárat végezni, majd meghatározni és leszabályozni, ki mely adatokhoz férhet hozzá. A megfelelő szoftveres megoldás monitorozni tudja a fájlok kiküldését emailben vagy pendrive-ra másolását, és riasztást tud küldeni. Az is megoldható, hogy a riasztás közvetlenül az ügyvezetőhöz érkezzen, nehogy egy a bűnözőket támogató informatikus segítsen eltüntetni a nyomokat. Az is járható, hogy minden adat eleve titkosítva van, mégpedig úgy, hogy a céges hálózaton belül minden olvasható, azon kívül viszont nem.

Tévedni emberi dolog

Még a legjobb szándékkal, leggondosabban megtervezett kampányba is becsúszhat emberi hiba. Ez történt akkor is, amikor egy email marketinges kampány alapjául szolgáló Excel táblázatban az emailcímek valamiért egy sorral eltolódtak. Mivel a kiküldött levelek személyre szabottak voltak, minden címzett valaki másnak szánt információkat kapott meg.

Amint erre fény derült, az érintett cég minden egyes címzettet értesített a történtekről, továbbá azonnal letiltotta a levelekben szereplő, szintén egyéni linkeket, amelyek segítségével a címzettek reagálhattak volna a kampányra.

Tanulság: a GDPR előírásainak megfelelően rendelkezni kell olyan eljárási renddel, ami egy adatvédelmi incidens esetén haladéktalanul végrehajtható és hatékonyan kezeli a kialakult problémát. A fenti esetben a probléma fél óra alatt rendeződött.

Lényeg a tudatosság

Vaspöri Ferenc szerint bár mind a külső támadások, mind a munkatársak miatt kialakult biztonsági incidensek sokfélék lehetnek, megelőzésükhöz egy cégvezetőnek két fontos dolgot tanácsos végiggondolnia:

  • melyek a legfontosabb adatok a cégnél,
  • ha történne valami ezekkel az adatokkal, akkor vajon észrevennék-e?

Ez a fajta szemlélet el kell, hogy vezessen a megfelelő biztonsági megoldások bevezetéséig.