IT biztonság: a munkavállaló a legnagyobb kockázat
Mint tudjuk, a lánc olyan gyenge, mint a leggyengébb láncszeme, és ez természetesen az informatikai biztonságra is igaz.
Ha cyberbűnözők be akarnak hatolni egy cég rendszerébe, hogy onnan adatokat lopjanak, vagy egyéb károkat okozzanak, nem feltétlenül kell a legújabb technológia és jelentős erőforrások bevetésével megtámadniuk a kiszemelt vállalat védelmi rendszerét. Gyakran egyszerűbb, ha a munkatársak figyelmetlenségére vagy éppen nem megfelelő biztonsági képzettségére építenek. Ami azonban ennél is rosszabb: megeshet, hogy egy-egy munkatárs akár külső támadás nélkül is kárt okoz a cégnek, ha nem megfelelően használja a rá bízott digitális eszközöket, szoftvereket, adatokat.
Az emberi tényező
A Proofpoint külön jelentést szentel annak, milyen szerepet játszik az emberi tényező a digitális rendszerek biztonságában. A cég Human Factor 2019 című felméréséből kiderül, hogy sokkal nagyobbat, mint gondolnánk.
A kutatás szerint a fenyegetések több mint 99% -ánál emberi interakcióra van szükség a támadás megindításához. Ilyen lehet például egy makró engedélyezése, fájl megnyitása vagy egy linkre kattintás. Éppen ezért a célszemély leinformálása, azaz a social engineering döntő szerepet játszik a sikeres támadásban. A cyberbűnözők sokkal inkább embereket, mintsem rendszereket vesznek célba céljaik eléréséhez. Ha sikerrel járnak, úgy már könnyűszerrel képesek telepíteni különféle ártalmas szoftverek telepítésére, amelyek számos esetben a háttérben dolgozva, észrevétlenül lopnak adatokat, illetve segítik későbbi támadások végrehajtását.
Jelenleg az adathalászat, a zsarolóvírus és a jelszólopás az a három támadástípus, ami leginkább a munkatársak képzetlenségének vagy figyelmetlenségének köszönhetően tud sikeres lenni.
Az adathalászat vezet
A Proofpoint minden évben kiadja az adathalászatról szóló aktuális jelentését is Beyond the Phish Report címmel. Az idei, 2019-es kiadásból kiderül, hogy a cég biztonsági képzésein a szimulált adathalász támadások keretében átlagosan a munkatársak 9%-a kattint rá olyan, emailben érkező linkre, ami potenciális veszélyt jelent.
Az alkalmazottak 25%-a hibásan válaszol olyan kérdésekre, mint: „Mennyire ismeri a jelszavakra vonatkozó céges szabályokat? Mennyire érti a kritikus és személyes adatok védelmének fontosságát? Tudja, hogyan lehet biztonságos módon bekapcsolódni a közösségi médiába?” Éppen ezért a jelentés készítői szerint rendkívül fontos rendszeresen felmérni, hol vannak fehér foltok a munkatársak tudásában, és ennek ismeretében célzott képzéseket tartani a számukra.
Az Egyesült Államokban október immár 11. éve a cyberbiztonság kiemelt hónapjának számít: az állam National Cyber Security Awareness Month néven országszerte különböző programokkal hívja fel a figyelmet a témára. A kampányokhoz természetesen biztonsági cégek is csatlakoznak. A Proofpoint például ebből az alkalomból egy letölthető csomagot tett közzé, amely az adathalászat elleni küzdelmet támogatja. Többek között tartalamaz kommunikációs tervet, plakátokat, hírleveleket, blogposztokat, infografikákat, továbbá egy videó a felhasználók tájékoztatására, és egy sablon webinárium megtartásához.
Továbbra is terjed a ransomware
A cyberbűnözők továbbra is előszeretettel használják az adatokat foglyul ejtő és cserébe váltságdíjat kérő zsarolóvírusokat. A McAfee friss felmérése szerint az elmúlt egy évben megduplázódott a ransomware támadások száma. Augusztusban 23 texasi város önkormányzata esett áldozatul. A nyomok egyetlen elkövetőhöz vezettek, aki 2,5 millió dollárt kért az adatok visszaszolgáltatásáért. Volt olyan város, ahol elérhetetlenné váltak a születési és halálozási dokumentumok, továbbá az önkormányzat nem tudott befizetéseket fogadni a település több mint 10 ezer lakosától.
A helytelen jelszóhasználat is dobogós
Támadók úgy jutottak hozzá a 8tracks zenei közösségi hálózat 18 millió felhasználói fiókjának adataihoz, hogy először egy munkatárs hozzáférését törték fel. Ráadásul nem is munkahelyi fiókról volt szó, hanem egy olyanról, amit az illető egy másik, szoftverfejlesztő szolgáltatásnál, a Githubnál használt, ahol nem aktiválta a kétlépcsős hitelesítést. Az ott megszerzett jelszóval próbálkozva az elkövetők a munkahelyi rendszerbe is be tudtak hatolni.
Már a főnök hangját is hamisítják
Míg jelenleg a fenti három módszer vezeti a toplistát, a munkatársaknak azért is egyre felkészültebbeknek kell lennie, mert a technológia fejlődésével a támadások is egyre szofisztikáltabbak lesznek. Már megtörtént az első olyan deepfake alapú bűncselekmény, amelyben egy brit cég vezetőjének hangját utánozták le digitálisan, 243 ezer dollárt kicsalva a vállalattól. A munkatárs mindvégig azt hitte, hogy a főnökével beszél, miközben végrehajtotta az összeg átutalására vonatkozó kérését. |
A cégek már évek óta sulykolják kollégáikba, hogy nem szabad gyanús linkekre kattintani, ugyanakkor egy ilyen hang alapú akcióra nyilván nem számított senki. Ez az eset is megerősíti az elvárást a szigorúbb biztonsági intézkedések irányába, hogy például egyetlen hívás vagy email alapján ne lehessen átutalást indítani.
Képzés, képzés, képzés
A szakemberek egyetértenek abban, hogy a fenti esetek megelőzésében a minél specifikusabb képzés segíthet, ami rövid és lényegretörő leckék formájában gyakorlati, alkalmazandó lépéseket tanít a munkatársaknak. Téma lehet például a biztonságos email használat, a jelszóvédelem, a bennfentes fenyegetések mibenléte és felismerésének módja, a személyes információk védelme, az adathordozók és mobil eszközök helyes használata.
Kapcsolódó
Szolgáltatásként igénybe vehető információbiztonsági oktatósorozat
A világlegnagyobb hacker támadásai
Az adathalászat a legveszélyesebb a munkatársakra