Két nap alatt a legnagyobb hazai vállalatok rendszerei is feltörhetők

BDO: Továbbra sem vagyunk védve a hackerek ellen

forrás Prim Online, 2012. április 11. 08:47

Az Anonymous nemzetközi hackercsoport hazai célpontok ellen lezajlott sikeres támadásai az elmúlt hetekben ismét ráirányították a figyelmet a hazai cégek, szervezetek lesújtó adatbiztonsági állapotára. Miközben óvatos becslések szerint is több tíz milliárd forint a hazai adatlopásokból eredő éves kár, a nyilvánosságra kerülő esetekből fakadó presztízsveszteség, illetve a támadások után kieső üzemórák által okozott károk még ennél is jelentősebbek lehetnek. A BDO Magyarország IT Megoldások üzletágának alábbi elemzése az elmúlt évben végzett vizsgálatainak tapasztalatai mellett a védekezés alapvető lépéseit is bemutatja.

A BDO Magyarország 2011-ben is számos hazai rendszer átfogó belső és külső adatbiztonsági vizsgálatát végezte el kórházi hálózatoktól közműcégeken keresztül komplex kereskedelmi rendszerekig. A vizsgálatok alapvető tapasztalata, hogy az általános hazai kibervédelem már közepes informatikai felkészültség mellett is kijátszható. Szinte minden esetben elegendő volt 1-2 nap arra, hogy egy-egy triviális adatbiztonsági hiba miatt a szakemberek a teljes rendszerhez hozzáférjenek. Mindez egyes cégek gazdasági összeomlása mellett fontos ellátórendszerek megbéníthatósága miatt akár nemzetbiztonsági kockázatot is magában hordozhat.

„A legkülönbözőbb, sokszor alapvető adatvédelmi hibákkal találkoztunk a tesztek során – ismerteti a tapasztalatokat Török Szilárd, a BDO Magyarország IT Megoldások üzletágának partner ügyvezetője.A rendszergazdai jog megszerzéséhez sokszor elegendő volt azt kihasználni, hogy a rendszerek alapbeállításokkal futnak, és igen gyenge vagy triviális felhasználónév/jelszó párosítás társul hozzájuk. Máskor egy pénzügyi  szervezet egy külső, védelem nélküli webszerverén találtunk olyan adatokat, amelyek alapvetően megkönnyítették a behatolást. A legriasztóbb az a tény, hogy a hackerek egyes közműcégek olyan vezérlő rendszerei felett is képesek átvenni az uralmat, amelyeken keresztül ártó szándékkal befolyásolható (esetenként leállítható) a fogyasztók ellátása, bizonyos esetekben a teljes rendszer visszafordíthatatlanul tönkretehető.”

A hibák detektálása persze önmagában nem elegendő, azokat gyorsan ki is kell küszöbölni. A BDO IT Megoldások üzletágának ezzel kapcsolatban is negatívak a tapasztalatai. A tavalyi audit során is feltárt olyan komoly védelmi hibát egy, a hazai bankok többsége által használt home banking rendszerben, amelyet már 2001-ben, tehát több mint tíz éve beazonosított. Mindez csak azzal magyarázható, hogy a felhasználók még mindig nincsenek igazán tisztában a lehetséges (a bizalomvesztés miatt hatványozódó) kárérték nagyságával.

Csak a törvényi kötelezés az igazán hatékony

Bár a pénzintézeti szektorban is találhatóak biztonsági rések, a törvényi előírások betartása érdekében mindenütt végrehajtották azokat az alapvető biztonsági fejlesztéseket, amelyek jelentősen csökkentik az ügyfelek biztonsági kockázatát. További pozitívumként említhető az NBF (Nemzeti Biztonsági Felügyelet) működése, amely a kormányzati intézmények informatikai védelmét ellenőrzi, akár etikus hacker módszerek alkalmazásával.

Miközben az elmúlt években komplex online kereskedelmi rendszerek tömege épült ki és fejlődött viharos sebességgel, ezek biztonsági rendszerei korántsem fejlődtek a rajtuk lebonyolított forgalommal arányos módon. A BDO által végzett teszt során külső behatolóként lehetséges volt hozzáférni bármely belépő felhasználó kereskedelmi tételeihez, nevükben megrendeléseket adni és számláikról azok tudta nélkül szabadon utalni. Ám európai szinten sem jobb a helyzet. Az EU széndioxidkvóta-kereskedelmi rendszerét a tavalyi évben rendszeres – valódi, rosszindulatú – támadások érték, melynek eredményeképpen egyes becslések szerint uniós szinten mintegy 5 milliárd (!) Euró értékű adócsalást hajtottak végre.

Mindezek a tapasztalatok is azt igazolják, hogy ha nincsen rászorítva akár jogszabályok., akár külföldi tulajdonosai által, egy átlagos szervezet a biztonsági kockázatok között még ma sem a valódi súlyának megfelelően kezeli az adatbiztonság kérdését: miközben éves szinten fizikai biztonságra több tízmillió forintot is elkölt, adatvédelemre sokszor 1-2 millió forintot sem szívesen áldoz. Persze az sem mellékes, hogy ezen belül mire költi a pénzt. Sokszor a legkorszerűbb rendszerek beszerzése sem elegendő, ha azok nincsenek megfelelően testre szabva, üzemeltetésük és beállításuk hiányos vagy elhanyagolt.

Kulcs a folyamatos tesztelés
A védelem legfontosabb eleme ugyanakkor a folyamatos tesztelés. A rendszert felépítő és üzemeltető belső szakemberek óhatatlanul csak korlátozottan tudják objektíven, külső szemmel felmérni a rendszerre leselkedő veszélyeket. Egyedül az ügyfél megbízásából (optimálisan az üzemeltető személyek tudta nélkül végrehajtott) betörési teszteket végző úgynevezett etikus hackerek képesek arra, hogy hatékonyan megleljék az adott hálózatok gyenge pontjait, megnehezítve az ártó szándékú behatolást. „Ahogyan nincs feltörhetetlen lakás, úgy nincsen feltörhetetlen informatikai rendszer sem – állítja a BDO Magyarország szakembere. – Ám itt is érvényesül az elv: ha a betörő nem egy adott zsákmányra tör, akkor nagy eséllyel az alacsonyabb szintű védelmet próbálja majd kijátszani.”

A kibertámadások területén a jövőben egyre erősödő aktivitásra kell felkészülni. Egy jól szervezett akcióhoz évről évre egyre összetettebb, bárki számára elérhető (automatizált támadási) szoftverek találhatók már a világhálón, emellett felnőtt egy egész korosztály, amely már ebben az informatikai környezetben szocializálódott. Közülük egyre többen vannak olyan fiatalok, akiknek egzisztenciálisan nincs jelentős vesztenivalójuk, miközben a tudásukkal való visszaélésnek komoly anyagi motivációi is lehetnek.

Minden a gyakorlati tapasztalatra épül

„Az illetéktelen behatolás megelőzésében a legfontosabb elem a megfelelő információ-biztonságiszakértő kiválasztása. – hangsúlyozza Török Szilárd. – A kulcs a sokéves gyakorlati tapasztalat, részvétel nyomozati eljárásokban, hiszen e háttér birtokában lesz képes igazán testre szabottan alkalmazni a piacon elérhető termékeket, megoldásokat. Nagy előnyt jelent a nemzetközi háttér is, és további biztonságot nyújt, ha a tanácsadó komoly, legalább néhány millió euró/év összegű felelősségbiztosítással is rendelkezik.”

Az adatlopás elleni védekezés alapvető lépései
·     Mérjük fel a meglévő IT rendszereket – szükség esetén ne habozzunk tapasztalt külső tanácsadót is bevonni
·    Azonosítsuk a kockázatainkat, szakemberrel végeztessünk mindezen kockázatokra kiterjedő elemzést, majd kockázatarányosan tervezzük meg a védelmi rendszereket
·     Arra az esetre, ha mégsem tudjuk kivédeni a támadást, rendelkezzünk megfelelő üzletfolytonossági és katasztrófatervvel is
·    Nagyvállalatok esetében feltétlen nevezzünk ki egy IT biztonsági vezetőt, aki mind szervezetileg, mind költségvetési szempontból független az informatikai részlegtől (Kisebb cégek esetében ez akár outsourcing keretében is megvalósítható)
·     Gondoskodjunk a munkavállalók megfelelő oktatásáról és lojalitásuk fenntartásáról
·     A folyamatok átláthatósága érdekében alkalmazzunk már bevált szabványon alapuló kockázatkezelést

Kulcsszavak: security hacker

Hirek.com - Kiemelt hír ROVAT TOVÁBBI HÍREI

Megjelent a legfrissebb, immár 27. Ericsson Mobility Report

Elérte az 55%-ot az 5G globális lefedettsége, de Európa lemaradásban van a legfejlettebb mobilhálózatok kiépítésében – derül ki az Ericsson Mobility Report 2024 novemberi kiadásából. A jelentésben két esettanulmány mutatja be, hogyan kezdik kiaknázni az úttörő mobilszolgáltatók az 5G hálózatok „felszeletelésében” rejlő lehetőségeket arra, hogy a tömegrendezvényeken vagy épp a tűzoltók számára mindig gyors és megbízható mobilkapcsolat álljon rendelkezésre. A svéd technológiai vállalat szakértői vizsgálták azt is, hogyan hathat az AI-forradalom a mobil adatforgalom lankadó növekedésére.

2024. november 26. 20:37

Idén is keresi a digitális szakma női példaképeit az IVSZ és a WiTH

Harmadik alkalommal hirdeti meg a 40 év feletti női példaképek a digitális gazdaság területén című pályázatát az IVSZ – Digitális Vállalkozások Szövetsége és a Women in Technology Hungary Egyesület (WiTH). Az elismerésre gazdasági társaságok, különböző szervezetek nevezhetik azokat a digitális gazdaság és technológia területén tevékenykedő női kollégáikat, akik kimagasló eredményeikkel rávilágítanak a korosztályban rejlő értékekre és lehetőségekre, ezáltal példaképként szolgálhatnak a fiatalabb generáció számára. A pályázati anyagokat 2025. január 31-ig várják a szervezők.

2024. november 22. 16:40

Huszadik alkalommal adták át a Hégető Honorka-díjakat

Idén 20. alkalommal adták át a Hégető Honorka-díjakat, rekordszámú, 83 videós és fotós pályázat érkezett, melyek közül a zsűri öt videós és egy fotós alkotást díjazott, továbbá a Yettel különdíjjal ismert el egy videós alkotást. Az idei díjakat többek között a Telex, a 24.hu, a Szabad Európa és az RTL újságírói kapták.

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

Meghosszabbítja a jelentkezési határidőt ’Az Év Honlapja’ pályázat, amely évről évre megmutatja a hazai digitális világ legjobbjait! A pályázat új nevezési határideje: 2024. december 15. éjfél! Még van lehetőség a vállalatok és kreatív ügynökségek számára, illetve mindazoknak, akik friss projektjeiket és egész éves munkájuk termését meg szeretnék mutatni a közönségnek és a zsűrinek.

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

’Az Év Honlapja’ verseny izgalmas lehetőséget kínál mindazok számára, akik az elmúlt időszakban új honlapokat, applikációkat, digitális- és technológiai megoldásokat hoztak létre!                       

Az idei pályázat 2024. november 15-ig várja a nevezéseket. Itt az idő, hogy a TE projekted is a digitális világ reflektorfényébe kerüljön!

2024. november 14. 16:36

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Először készült felmérés a magyarországi retail media helyzetéről

2024. december 6. 18:14

Változások a Magyar Telekom felsővezetésében

2024. december 4. 13:04

December 15. éjfélig lehet nevezni Az Év Honlapja pályázatra!

2024. december 2. 11:38

Megvannak az idei év legjobb webshopjai

2024. november 29. 17:16