IT biztonságtudatosság - adathalászok, social hackerek, ransomware-ek

Fontos, hogy elkerüljük a tájékozatlanságból, figyelmetlenségből, pszichológiai befolyásolásból stb. adódó incidenseket.

Sajnos sokan csak akkor kezdenek az IT problémákkal foglalkozni, ha már megtörtént a baj. Pedig preventív szolgáltatásokkal megelőzhető. E speciális szolgáltatások célja, hogy csökkentsük azt a kitettséget, amin keresztül egy támadás megtörténhet.

A világhálón elérhető szolgáltatások fejlődésével és a közösségi funkciók dinamikus térhódításával a biztonsági kockázatok száma és a hatásuk mértéke is fokozódik. Ma már sokunknak természetes, hogy olyan személyes adatokat is megadunk akár nyilvános weboldalakon is, amelyet korábban csak közeli ismerőseinkkel, családunkkal osztottunk meg.

Egyes szolgáltatások világszintű népszerűséghez jutottak, milliós felhasználói számukkal pedig egy szoftver hiba, vírus vagy kártevő program károkozásának mértéke is nagyságrendekkel nőtt.

Tisztázzuk az alapfogalmakat: az adatvédelem és az adatbiztonság közti különbség

Az IT biztonsági és az információbiztonság kérdéseit taglaló publikációk sok esetben pontatlanul fogalmaznak, vagy esetenként helytelenül használják a fogalmakat, ami megnehezíti a téma megértését. A legfontosabb, amit le kell szögeznünk, hogy az adatvédelem és az adatbiztonság nem egymás szinonimái.

Adatvédelem alatt a személyes és érzékeny adatok jogszabályi védelmét érti a jogalkotó, adatbiztonság alatt pedig a számítógépes rendszerekben tárolt, feldolgozott, vagy továbbított adatok biztonságának fenntartására kell gondolnunk.

Informatikai biztonság

Az informatikai biztonság az informatikai rendszer olyan kedvező állapota, amelyben a kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása biztosított, valamint a rendszer elemeinek biztonsága szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. Ahol csak az arra jogosultak ismerhetik meg az információt, amelynek tartalma és formája az elvárttal megegyezik, beleértve azt is, hogy az elvárt forrásból származik. Igazolható, hogy megtörtént, egyértelműen azonosítható az információval kapcsolatos műveletek végzője, továbbá rendeltetésének megfelelően használható.

Ahol fennáll a rendelkezésre állás, vagyis az a tényleges állapot, amikor egy informatikai rendszer szolgáltatásai az arra jogosultak számára egy meghatározott időben rendelkezésre állnak és a rendszer működőképessége sem átmenetileg, sem pedig tartósan nincs akadályozva. Az összes releváns veszélyt figyelembe veszi, a rendszer minden elemére kiterjed a védelem, amely időben folyamatosan megvalósul. A rendszer várható működésének időtartamában a védelem költsége arányban van a lehetséges kárral.

Milyen, biztonságot veszélyeztető támadásokkal találkozhatunk?

Személyes adataink a világhálón leggyakrabban az adathalászok támadásának vannak kitéve.

Az adathalászat a pszichológiai manipulációs támadások egy olyan formája, amelyben a bűnelkövető megbízható személynek vagy szervezetnek adja ki magát annak érdekében, hogy bizalmas információkat csaljon ki az áldozattól. Például az internetes csaló oldalt egy jól ismert cég (szolgáltató, bank, csomagküldő stb.) hivatalos honlapjának álcázzák, így próbálják az oldalra kattintók személyes adatait, azonosítóit, jelszavait, bankkártyaszámát megszerezni. A csalók általában e-mailt vagy azonnali üzenetet küldenek a címzettnek, amiben elérik, hogy az üzenetben szereplő hivatkozásra rákattintson, amely egy átalakított weboldalra vezeti. Ha követi az ott szereplő utasításokat, akkor áldozattá válhat.

Az ilyen típusú csalások egyik jellemző eleme a sürgetés, de akár ijesztő taktikákat is alkalmaznak, hogy az áldozatot rákényszerítsék a támadó kéréseinek teljesítésére. Az adathalász kampányok célpontjában egyaránt állhatnak nagyszámú, általános felhasználói csoportok, vagy egy konkrét áldozat, vagy áldozatok. Leginkább a felhasználók érzékeny és bizalmas adatait, pénzügyi információt veszélyeztetik. A rendszereink működését általában nem akadályozzák, kéretlen levelekként jelennek meg.

Ha a támadás a szervezet információs rendszerei ellen irányul, akkor a szervezet rendszereiben használt felhasználó nevek és jelszavak megszerzésével a rendszer működését is befolyásolhatják. Sérülhetnek a személyes adataink, pénzügyi adataink a támadás következtében. Ha a támadás a közszféra valamely információs rendszere ellen irányul, akkor nemzetbiztonsági kockázatot jelenthet.

A hackerek tisztában vannak azzal, hogy minden védelmi rendszer leggyengébb pontja az ember. A social engineering támadási módszer is erre az alapelvre épít. Social engineeringen, azaz pszichológia manipuláció alatt azt értjük, amikor egy jogosultsággal rendelkező személy egy jogosulatlan felhasználó számára adatokat ad át, vagy lehetőséget nyújt a rendszerbe való belépésre, a másik személy megtévesztő viselkedése miatt. A pszichológiai befolyásolás az a fajta támadás, amikor a kiberbűnöző nem a technológia sebezhetőségeit használja ki egy-egy támadás során, hanem az emberi befolyásolhatóság a fő fegyvere.

A módszerrel a kiberbűnözők a felhasználókat úgy manipulálhatják, hogy az áldozatok ne tartsák be a biztonsági- vagy egyéb üzleti folyamatok protokolljait, és így teret engedjenek a káros tevékenységeknek vagy érzékeny információk kiszivárogtatásának. A legtöbb social engineering módszer nem igényel technikai ismereteket a támadó részéről. Ez azt jelenti, hogy szinte bárki eredményeket érhet el ezen a téren.

A kiberbiztonság területén számos olyan támadási módszer létezik, amely a social engineering technikáit alkalmazza. A legismertebbek a spam és az adathalászat.

Szintén a gyakoribb IT biztonságot fenyegető tényezők közé tartoznak a zsarolószoftverek, angolul ransomware-ek. A zsarolószoftver, vagy zsarolóprogram olyan kártékony szoftver, ami valamilyen fenyegetéssel próbál pénzt kicsikarni a felhasználóból. Ez rendszerint azt jelenti, hogy használhatatlanná teszi a számítógépet vagy elérhetetlenné a rajta lévő adatokat, és csak pénzért vásárolható meg az a kód, aminek hatására visszaállítja az eredeti állapotot. A legelső ismert ilyen program az 1989-es AIDS volt, ami az AUTOEXEC.BAT-on keresztül fertőzve titkosította a fájlneveket, és 189 dollár "licencmegújítási díjat" követelt egy panamai postafiókba címezve. Mivel a program szimmetrikus kulcsú titkosítást használt, a vírusirtók az általa elrejtett fájlokat könnyen vissza tudták állítani.

Mi a legfontosabb a cégek, munkahelyek IT biztonságtudatosságával kapcsolatban?

Az, hogy elkerüljük a tájékozatlanságból, figyelmetlenségből, pszichológiai befolyásolásból stb. adódó incidenseket.

A támadó olyan, mint egy bankrabló. Ha a bankrabló el akarja lopni a bankból a pénzt, akkor nem a legjobban őrzött, védelmi rendszerekkel ellátott széfet próbálja meg feltörni, hanem sokkal egyszerűbb bemenni egy bankfiókba, és ott valamilyen csalással, például hamisított személyi igazolvánnyal vagy más módszerrel pénzt szerezni.

Az IT területen támadók ehhez hasonlóan a felhasználók védtelenségét vagy tájékozatlanságát próbálják meg kihasználni. Komoly felelősséget ró a vállalat dolgozóira, hogy ők akár egy rossz kattintással vagy egy felhasználónév, jelszó megadásával akkora kárt okozhatnak, mondjuk egy zsarolóvírus óvatlan feltelepítésével, ami az egész cég működésére kihathat. Ugyanakkor cégvezetés, a tulajdonos azért felelős, hogy az alkalmazottak ne kövessenek el ilyen hibákat, és hogy a tájékozatlanságot eloszlassák, mivel mindenkit érhet támadás.

 

Hogyan védekezhetnek a cégek, bankok, munkahelyek a támadások ellen?

Az Invitech a védelemnek két pillérét építette ki, ezt javasoljuk az ügyfeleink számára: segítjük az IT vagy IT biztonsági csapat munkáját és mellette oktatjuk a dolgozókat.

Az egyik pillér tehát a műszaki megoldásokat jelenti, a védelmi rendszerek kiépítését, amelynek segítségével észleli az ügyfél a támadási szándékot, vagy ha bennünket bíz meg a monitorozással, felügyelettel, mi vesszük észre, hogy valami történt vagy gyanúsan történni fog.

A másik pillér a felhasználói oldal kitettségének a csökkentése edukációval. Az oktatás is több lépésből áll. Egyrészt általános, mindenkire vonatkozó alapvető képzéssel, mint amilyen az új belépők képzése. Másrészt munkakörre specifikusan szóló oktatással.

Első lépésként azt kell eldönteni, hogy ki milyen bizalmas információkat kezel, az adott üzleti folyamatban mi a szerepe, és ehhez igazítva kell őt megfelelő oktatási anyagokkal ellátni. Például a pénzügyi területen dolgozó munkatársakat arra készítjük fel, hogyan ismerjék fel, ha módosított, csaló elektronikus számlát kapnak. Az ügyféladatokkal dolgozó marketinges munkatársaknak pedig a GDPR-ral foglalkozó képzések fontosak.

Az ügyfeleink részére nyújtott oktatás interaktív gamification módszerrel zajlik: pontokat lehet gyűjteni és pontokat lehet veszíteni, a rendszer figyeli, ki hogyan szerepel a képzésen, lehet egymással versenyezni. Sokan azt gondolják, hogy az IT biztonságosság egy szakzsargonokkal zsúfolt, száraz, unalmas témakör, mi pedig úgy közelítjük meg, hogy izgalmas és közérthető legyen, és érezzék a munkatársak, hogy velük is megtörténhet. Például szimulációs adathalász levél kiküldésével vagy pendrive „elhagyásával” teszteljük a résztvevőket, és láthatják is, hol követhetnek el hibát.

Az IT biztonság tudatosság a vezetők esetén is nagyon fontos, hiszen gyakran a vezetők azok, akik a legbizalmasabb adatokat kezelik, ugyanakkor előfordul, hogy néha éppen ők kivételezettek egy-egy szabályrendszer alól. Sok helyen vezettünk be például kétfaktoros azonosítást, ilyenkor fontos, hogy ez alól ők se legyenek felmentve, sőt, mutassanak példát.

Az oktatásokkal célunk a prevenció azáltal, hogy megváltoztatjuk a dolgozók hozzáállását és felkeltjük a felelősségérzetüket.