A kiberbiztonsági kérdéseket nem lehet szőnyeg alá söpörni
Globális szinten a legnagyobb értékben elkövetett bűncselekmények az illegális digitális adatszerzéshez, informatikai rendszerek feltöréséhez köthetőek. Éppen ezért megkerülhetetlen a vállalatok információbiztonsági kockázattűrő képességének növelése. A cégek széles körében azonban a megoldást nyújtó kiberbiztonsági szolgáltatások és az „etikus” hackelés keretei nem tisztázottak, pedig hatósági előírások és ajánlások vannak érvényben.
Az elmúlt évben adatvédelemi kérdésben az Európai Unió Általános Adatvédelmi Rendelete, a GDPR uralta a híreket, amely többek között az informatikai területek számára is általános jogi keretet ad. A GDPR felé irányuló általános figyelem közepette azonban csaknem teljesen elsikkadt az a nem kevésbé fontos körülmény, hogy néhány nappal korábban itthon is hatályba léptek a NIS Irányelv hazai átültetését tartalmazó jogszabályok. A NIS Irányelv a hálózati és információs rendszerek biztonságára vonatkozó szabályokat tartalmazza, amelyeket az EU 2016/1148. sz. irányelve alapján a tagállamoknak át kellett emelniük a jogrendszerükbe.
Ezek alapján azon szervezeteknek például, amelyek alapvető szolgáltatást nyújtanak, többek között a közúti, légi, vízi vagy vasúti közlekedés irányítói, pénzintézetek, egészségügyi ágazatban az aktív fekvő-beteg ellátást végzők, az állami szektor egyes kiemelt szereplőinek kötelezően kell biztonsági kockázatmenedzsment keretében pl. sérülékenység elemzéseket végezniük. Így többek között adott, hogy a vállalatoknak milyen biztonsági intézkedéseket kell/kellene végrehajtani digitális rendszereikkel kapcsolatban, amelyek között végezni kell például sérülékenység teszteket is. Mindezek ellenére a kiberbiztonsági szolgáltatások kereteit illetően komoly bizonytalanság tapasztalható a cégeknél. Magyarországon sok esetben az sem feltétlenül egyértelmű, hogy informatikai biztonsági ellenőrzéseket kik és hogyan, milyen formában végeznek és végezhetnek. „Ezzel együtt az „etikus” hackelést egyre többen, és gyakrabban emlegetik, ám ahogy az információbiztonság menedzsment feladatokkal, így ezzel kapcsolatban is komoly félreértések forognak közszájon.” – mondta dr. Bereczki Tamás, a Baker McKenzie adatvédelmi és információbiztonsági tanácsadással foglalkozó ügyvédje.
Hacker manapság az, aki biztonsági rések, sérülékenységek után kutat rendszerekben vagy hálózatokban. Munkájuk során jellemzően intruzív és nem-intruzív módszereket alkalmaznak. Előbbi körbe tartozik például a már említett sérülékenység elemzés elvégzése, a hálózat gyenge pontjainak felderítése, vagy penetrációs tesztek végrehajtása. Egy ilyen jellegű vizsgálat során a rendszert kívülről és azon belül is megpróbálják "feltörni". A nem-intruzív módszerek olyan elemeket takarnak, amelyek jellemzően nem a rendszerbe történő behatolásra, hanem a rendszerrel kapcsolatos ellenőrzésekre fókuszál. Ilyen például a dokumentációk, konfigurációs beállítások ellenőrzése vagy a vonatkozó szabályrendszerek felülvizsgálata. Fontos elem, hogy a választott megközelítéssel összhangban az ellenőrzéshez szükséges hozzáféréseket és felhasználókat létre kell hozni, valamint a felülvizsgálatról szóló kommunikációt és riasztásokat is meg kell tervezni, majd végre kell hajtani.
Előzetesen tisztázni kell például, hogy egy penetrációs teszt vagy egy sérülékenység elemzés milyen hálózatot – IP cím tartomány – eszközt, rendszert és adatokat (banktitok, személyes adat, minősített adat, stb.) érint. Jellemzően rögzíteni kell az adatkezelői, adatfeldolgozói pozíciókat is, a szolgáltató milyen adatokhoz férhet hozzá. Ugyanakkor nagyon kritikus terület lehet a harmadik fél – például beszállítók – adatainak, hálózatainak, rendszereinek és üzeneteinek a vizsgálata is. Sőt, a munkavállalói magánhasználattal kapcsolatban is fokozott gondossággal kell eljárni. A leggyakoribb rendszerhiányosságok között említették egyébként a szakemberek többek között a lejárt gyártói támogatású operációs rendszereket és a biztonsági frissítések hiányát, a nem megfelelő végponti védelmet, vagy a gyenge titkosítás alkalmazását is.
A vizsgálat zárásaként a „takarítást” is meg kell tenni, azaz a kockázatok értékelése és a jelentés elkészítése után a feltárt sérülékenységeket javítani kell. A használt technikai eszközöket és behatolási pontokat pedig el kell távolítani, illetve zárni kell. Ez minden elemében érzékeny feladat, hiszen a rendszer sérülékenységi szintjének javítása csorbulhat, amennyiben ez nem történik meg tökéletesen.
A formálódó digitális világban ugyanakkor az adatbiztonság fontossága megkérdőjelezhetetlen, hiszen ma már minden vállalatot érint. Ennek tükrében semmi meglepő nincs abban, hogy a legnagyobb értékű bűncselekmények – ami alól a kis- és közepes vállalkozások sem tudják kivonni magukat – világszerte az illegális rendszer- és hálózatfeltörésekből, valamint adatszerzésekből jön össze. Ezek tudatában pedig nem vonható kétségbe, hogy a következő években, évtizedekben a globális gazdasági kérdéseknek ez a terület lesz a központi eleme.
Kapcsolódó cikkek
- Az idő pénz, különösen a kibervédelemben
- Robotzsaruk védhetnek meg a hackerektől?
- Global Data Protection Index: Hogy vagy, adatvédelem?
- Kiberbűnözés a dark weben
- Okosautókhoz okos védelem is kell
- Jelentős változások jönnek a biztonsági kamerákra vonatkozó szabályokban
- Mit tegyen az, akinek ellopták a jelszavait?
- Újabb trükkökkel zsarolnak a kiberbűnözők
- Megjelent az in nuce DPO készlet
- Ne csak a kibertámadásoktól védjük adatainkat!