Átlagosan 20-30 helyen lyukas a virtuális céges pajzs

forrás: Prím Online, 2015. július 8. 11:29

Átlagosan 20-30 feltárt biztonsági probléma jut ma Magyarországon a vállalati informatikai rendszerekre, de akadnak cégek ahol ezek száma a 100-at is megközelítette – derül ki a Hunguard Kft. belső felméréséből.

A vállalatok IT rendszereinek biztonsági ellenőrzésével és auditálásával foglalkozó vállalat szakértői szerint habár a cégek egyre jobban figyelnek az adatok sértetlenségére és biztonságára, ma még jellemzően gyerekjáték bejutni egy-egy vállalati rendszerbe. Felmérések szerint a Magyarországon működő vállalatok mintegy harmada már átélt valamilyen külső támadást, több mint felük mégsem rendelkezik kellő erősségű információbiztonsági védelmet nyújtó megoldással, miközben egy-egy ilyen támadás akár dollármilliókban mérhető károkat is okozhat. A rendszerauditok során feltárt hibák javítása nem csak biztonságosabbá teszi az adott vállalat rendszereit, hanem elősegíti a vállalati IT-rendszerek tudatos, célzott fejlesztését is.

Az elmúlt évek trendjeit elemezve az informatikai rendszerek biztonsági ellenőrzését és tanúsítását végző Hunguard Kft. szakértői úgy látják, hogy átlagosan 20-30 feltárt biztonsági problémával rendelkeznek a hazai vállalatok IT rendszerei. „Csak nagyon kevés vállalat esetében tártak fel szakértőink 10 alatti darabszámú problémát, azonban akadtak cégek, ahol akár 50-70 különböző súlyosságú biztonsági hiányosságot is azonosítottunk. Tapasztalataink szerint a 20-30 feltárt probléma cégenként átlagosnak mondható. Az egészen kis cégeknél, ahol a rendszerek is sokkal egyszerűbbek, átlagosan kevesebb biztonsági probléma merült fel” – mutat rá Lengyel Csaba, a Hunguard Kft. szakmai vezetője.

Lengyel Csaba szerint a vállalatok leggyakrabban adatlopás áldozatai lesznek – vállalati levelezések, ügyféladatok, személyzeti nyilvántartások, pénzügyi adatok és adatbázisok jelentik a támadások célpontjait. Habár az ilyen jellegű adatok pénzbeli értékét nehéz megadni, a nemzetközi felmérések szerint egy-egy adatelem – pl. egy címlista egyik eleme, dolgozói adatokat tartalmazó fájl – ügyféladat, vállalati levelezés egy eleme – az előállításába fektetett erőforrásokat figyelembe véve nagyságrendileg 160 dolláros veszteséget jelent. „Sok kicsi sokra megy. A vállalati adatok eltulajdonítását célzó egy-egy támadás a nemzetközi felmérések alapján átlagosan 3,5 millió dolláros károkat okozott a vállalatoknak 2014-ben. Ez egy átlagérték, a kis- és közepes vállalatok esetében ez a kárösszeg jellemzően alacsonyabb, de a nagyvállalatok esetében jelentősen meg is haladhatja ezt. Igaz ez már elsősorban ipari kémkedést, a vállalati know-how és terméktervek eltulajdonítását feltételezi” – teszi hozzá.

A közhiedelemmel ellentétben a vállalatoknak nem csak az adatlopásokra és a know-how eltulajdonítására kell felkészülniük, de egy biztonsági rés rossz szándékú felhasználása akár egy egész termelő vállalatot is megbéníthat. Tavaly decemberben egy németországi acélműben vették át az irányítást az olvasztó kohó automatizált rendszerei felett a hackerek, ami az eszközök fizikai sérüléseihez vezetett. „A példa kiválón mutatja, hogy egy ilyen támadásra a nemzetközi vállalatok magyarországi gyáraiban is érdemes felkészülni. Ha fizikai károk nem is keletkeznek, egy-egy néhány órás, félnapos leállás is több százmillió forint értékű károkat okozhat” – mutat rá a szakmai vezető.

A vállalatok informatikai rendszereit nem csak a külső támadások kivédésére kell felkészíteni, fontos, hogy a belső, munkatársi mulasztások vagy adateltulajdonítások ellen is védett legyen a hálózat. „A biztonsági vizsgálatok során számos alkalommal találkozunk azzal, hogy egy kívülről nehezen feltörhető rendszer a belülről érkező veszélyek ellen teljesen védtelen. Adatbiztonsági szempontból megengedhetetlen, hogy a céges adatbázisokhoz ellenőrizetlenül hozzáférhessenek a munkatársak, számlázási vagy egyéb vállalati és ügyféladatokat kinyerhessenek a rendszerből, azokat bármikor módosítani tudják” – hangsúlyozza Lengyel Csaba. Szerinte már a jogosultságok részletes belső szabályozása és egy naplózási rendszer is sokat tehet az ilyen kockázatok minimalizálásáért.

A szakember szerint 100 százalékos biztonságot nyújtó védelem nem létezik, de a támadók jelentős részének kedvét már minimális odafigyeléssel is el lehet venni az online vagy akár a belülről érkező támadásoktól. A hálózatok megfelelő kialakítása, a biztonsági igényeknek megfelelő hardveres elemek beépítése és a jogtiszta, a biztonsági lyukakat folyamatosan frissítésekkel lezáró szoftverek alkalmazása ma már elengedhetetlen.

„A szakemberek által lefolytatott sérülékenység-vizsgálat, az etikus hackelés valamint a belső biztonsági auditok feltárják a hiányosságokat. Az érdemi munka viszont ezután kezdődik, egy folyamatos párbeszéd mentén külső és vállalaton belüli szakértők bevonásával javítják az észlelt hibákat a vállalatok. A biztonságos hardverek és szoftverek telepítése és beállítása mellett elkészülnek, illetve kiegészülnek a belső szabályzatok, eljárásrendek. Ez utóbbiak sok esetben hiányoznak még a nagyobb vállalatok működéséből is, pedig már ezeknek a pontos betartásával is számos problémát meg lehet előzni” – mondja Lengyel Csaba.