Két nap alatt a legnagyobb hazai vállalatok rendszerei is feltörhetők
BDO: Továbbra sem vagyunk védve a hackerek ellen
A BDO Magyarország 2011-ben is számos hazai rendszer átfogó belső és külső adatbiztonsági vizsgálatát végezte el kórházi hálózatoktól közműcégeken keresztül komplex kereskedelmi rendszerekig. A vizsgálatok alapvető tapasztalata, hogy az általános hazai kibervédelem már közepes informatikai felkészültség mellett is kijátszható. Szinte minden esetben elegendő volt 1-2 nap arra, hogy egy-egy triviális adatbiztonsági hiba miatt a szakemberek a teljes rendszerhez hozzáférjenek. Mindez egyes cégek gazdasági összeomlása mellett fontos ellátórendszerek megbéníthatósága miatt akár nemzetbiztonsági kockázatot is magában hordozhat.
„A legkülönbözőbb, sokszor alapvető adatvédelmi hibákkal találkoztunk a tesztek során – ismerteti a tapasztalatokat Török Szilárd, a BDO Magyarország IT Megoldások üzletágának partner ügyvezetője. – A rendszergazdai jog megszerzéséhez sokszor elegendő volt azt kihasználni, hogy a rendszerek alapbeállításokkal futnak, és igen gyenge vagy triviális felhasználónév/jelszó párosítás társul hozzájuk. Máskor egy pénzügyi szervezet egy külső, védelem nélküli webszerverén találtunk olyan adatokat, amelyek alapvetően megkönnyítették a behatolást. A legriasztóbb az a tény, hogy a hackerek egyes közműcégek olyan vezérlő rendszerei felett is képesek átvenni az uralmat, amelyeken keresztül ártó szándékkal befolyásolható (esetenként leállítható) a fogyasztók ellátása, bizonyos esetekben a teljes rendszer visszafordíthatatlanul tönkretehető.”
A hibák detektálása persze önmagában nem elegendő, azokat gyorsan ki is kell küszöbölni. A BDO IT Megoldások üzletágának ezzel kapcsolatban is negatívak a tapasztalatai. A tavalyi audit során is feltárt olyan komoly védelmi hibát egy, a hazai bankok többsége által használt home banking rendszerben, amelyet már 2001-ben, tehát több mint tíz éve beazonosított. Mindez csak azzal magyarázható, hogy a felhasználók még mindig nincsenek igazán tisztában a lehetséges (a bizalomvesztés miatt hatványozódó) kárérték nagyságával.
Csak a törvényi kötelezés az igazán hatékony
Bár a pénzintézeti szektorban is találhatóak biztonsági rések, a törvényi előírások betartása érdekében mindenütt végrehajtották azokat az alapvető biztonsági fejlesztéseket, amelyek jelentősen csökkentik az ügyfelek biztonsági kockázatát. További pozitívumként említhető az NBF (Nemzeti Biztonsági Felügyelet) működése, amely a kormányzati intézmények informatikai védelmét ellenőrzi, akár etikus hacker módszerek alkalmazásával.
Miközben az elmúlt években komplex online kereskedelmi rendszerek tömege épült ki és fejlődött viharos sebességgel, ezek biztonsági rendszerei korántsem fejlődtek a rajtuk lebonyolított forgalommal arányos módon. A BDO által végzett teszt során külső behatolóként lehetséges volt hozzáférni bármely belépő felhasználó kereskedelmi tételeihez, nevükben megrendeléseket adni és számláikról azok tudta nélkül szabadon utalni. Ám európai szinten sem jobb a helyzet. Az EU széndioxidkvóta-kereskedelmi rendszerét a tavalyi évben rendszeres – valódi, rosszindulatú – támadások érték, melynek eredményeképpen egyes becslések szerint uniós szinten mintegy 5 milliárd (!) Euró értékű adócsalást hajtottak végre.
Mindezek a tapasztalatok is azt igazolják, hogy ha nincsen rászorítva akár jogszabályok., akár külföldi tulajdonosai által, egy átlagos szervezet a biztonsági kockázatok között még ma sem a valódi súlyának megfelelően kezeli az adatbiztonság kérdését: miközben éves szinten fizikai biztonságra több tízmillió forintot is elkölt, adatvédelemre sokszor 1-2 millió forintot sem szívesen áldoz. Persze az sem mellékes, hogy ezen belül mire költi a pénzt. Sokszor a legkorszerűbb rendszerek beszerzése sem elegendő, ha azok nincsenek megfelelően testre szabva, üzemeltetésük és beállításuk hiányos vagy elhanyagolt.
Kulcs a folyamatos tesztelés
A védelem legfontosabb eleme ugyanakkor a folyamatos tesztelés. A rendszert felépítő és üzemeltető belső szakemberek óhatatlanul csak korlátozottan tudják objektíven, külső szemmel felmérni a rendszerre leselkedő veszélyeket. Egyedül az ügyfél megbízásából (optimálisan az üzemeltető személyek tudta nélkül végrehajtott) betörési teszteket végző úgynevezett etikus hackerek képesek arra, hogy hatékonyan megleljék az adott hálózatok gyenge pontjait, megnehezítve az ártó szándékú behatolást. „Ahogyan nincs feltörhetetlen lakás, úgy nincsen feltörhetetlen informatikai rendszer sem – állítja a BDO Magyarország szakembere. – Ám itt is érvényesül az elv: ha a betörő nem egy adott zsákmányra tör, akkor nagy eséllyel az alacsonyabb szintű védelmet próbálja majd kijátszani.”
A kibertámadások területén a jövőben egyre erősödő aktivitásra kell felkészülni. Egy jól szervezett akcióhoz évről évre egyre összetettebb, bárki számára elérhető (automatizált támadási) szoftverek találhatók már a világhálón, emellett felnőtt egy egész korosztály, amely már ebben az informatikai környezetben szocializálódott. Közülük egyre többen vannak olyan fiatalok, akiknek egzisztenciálisan nincs jelentős vesztenivalójuk, miközben a tudásukkal való visszaélésnek komoly anyagi motivációi is lehetnek.
Minden a gyakorlati tapasztalatra épül
„Az illetéktelen behatolás megelőzésében a legfontosabb elem a megfelelő információ-biztonságiszakértő kiválasztása. – hangsúlyozza Török Szilárd. – A kulcs a sokéves gyakorlati tapasztalat, részvétel nyomozati eljárásokban, hiszen e háttér birtokában lesz képes igazán testre szabottan alkalmazni a piacon elérhető termékeket, megoldásokat. Nagy előnyt jelent a nemzetközi háttér is, és további biztonságot nyújt, ha a tanácsadó komoly, legalább néhány millió euró/év összegű felelősségbiztosítással is rendelkezik.”
Az adatlopás elleni védekezés alapvető lépései
· Mérjük fel a meglévő IT rendszereket – szükség esetén ne habozzunk tapasztalt külső tanácsadót is bevonni
· Azonosítsuk a kockázatainkat, szakemberrel végeztessünk mindezen kockázatokra kiterjedő elemzést, majd kockázatarányosan tervezzük meg a védelmi rendszereket
· Arra az esetre, ha mégsem tudjuk kivédeni a támadást, rendelkezzünk megfelelő üzletfolytonossági és katasztrófatervvel is
· Nagyvállalatok esetében feltétlen nevezzünk ki egy IT biztonsági vezetőt, aki mind szervezetileg, mind költségvetési szempontból független az informatikai részlegtől (Kisebb cégek esetében ez akár outsourcing keretében is megvalósítható)
· Gondoskodjunk a munkavállalók megfelelő oktatásáról és lojalitásuk fenntartásáról
· A folyamatok átláthatósága érdekében alkalmazzunk már bevált szabványon alapuló kockázatkezelést
Kapcsolódó cikkek
- Feltörte a szociális hivatal honlapját az Anonymous
- A brit belügyminisztériumot támadta az Anonymous
- Csehország - Az Anonymous hackerei újra feltörték az ODS honlapját
- Kínai védelmi minisztérium: Peking nem támogat hackereket
- Kürt: Robbanás előtt a mobilos visszaélések száma?
- Anonymous-fenyegetés Lengyelország ellen
- Az internetes bűnözés elleni uniós központ létrehozását javasolja az Európai Bizottság
- Világbajnoki bronzérmesek a magyar hackerek
- A Microsoft támadásba lendült a Zeus támogatta zombi hálózatok ellen
- Interjút adott az Anonymous hackerhálózat olasz vezetője
Hirek.com - Kiemelt hír ROVAT TOVÁBBI HÍREI
Megjelent a legfrissebb, immár 27. Ericsson Mobility Report
Elérte az 55%-ot az 5G globális lefedettsége, de Európa lemaradásban van a legfejlettebb mobilhálózatok kiépítésében – derül ki az Ericsson Mobility Report 2024 novemberi kiadásából. A jelentésben két esettanulmány mutatja be, hogyan kezdik kiaknázni az úttörő mobilszolgáltatók az 5G hálózatok „felszeletelésében” rejlő lehetőségeket arra, hogy a tömegrendezvényeken vagy épp a tűzoltók számára mindig gyors és megbízható mobilkapcsolat álljon rendelkezésre. A svéd technológiai vállalat szakértői vizsgálták azt is, hogyan hathat az AI-forradalom a mobil adatforgalom lankadó növekedésére.
Idén is keresi a digitális szakma női példaképeit az IVSZ és a WiTH
Harmadik alkalommal hirdeti meg a 40 év feletti női példaképek a digitális gazdaság területén című pályázatát az IVSZ – Digitális Vállalkozások Szövetsége és a Women in Technology Hungary Egyesület (WiTH). Az elismerésre gazdasági társaságok, különböző szervezetek nevezhetik azokat a digitális gazdaság és technológia területén tevékenykedő női kollégáikat, akik kimagasló eredményeikkel rávilágítanak a korosztályban rejlő értékekre és lehetőségekre, ezáltal példaképként szolgálhatnak a fiatalabb generáció számára. A pályázati anyagokat 2025. január 31-ig várják a szervezők.
Huszadik alkalommal adták át a Hégető Honorka-díjakat
Idén 20. alkalommal adták át a Hégető Honorka-díjakat, rekordszámú, 83 videós és fotós pályázat érkezett, melyek közül a zsűri öt videós és egy fotós alkotást díjazott, továbbá a Yettel különdíjjal ismert el egy videós alkotást. Az idei díjakat többek között a Telex, a 24.hu, a Szabad Európa és az RTL újságírói kapták.
Hosszabbít ’Az Év Honlapja’ pályázat!
Meghosszabbítja a jelentkezési határidőt ’Az Év Honlapja’ pályázat, amely évről évre megmutatja a hazai digitális világ legjobbjait! A pályázat új nevezési határideje: 2024. december 15. éjfél! Még van lehetőség a vállalatok és kreatív ügynökségek számára, illetve mindazoknak, akik friss projektjeiket és egész éves munkájuk termését meg szeretnék mutatni a közönségnek és a zsűrinek.
Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!
’Az Év Honlapja’ verseny izgalmas lehetőséget kínál mindazok számára, akik az elmúlt időszakban új honlapokat, applikációkat, digitális- és technológiai megoldásokat hoztak létre!
Az idei pályázat 2024. november 15-ig várja a nevezéseket. Itt az idő, hogy a TE projekted is a digitális világ reflektorfényébe kerüljön!