Akkor vesszük észre, amikor már késő
Az elmúlt években több nagy IT-biztonsági incidens világított rá, hogy összekapcsolt világunkban elengedhetetlen a vállalati informatikai rendszerek és a vállalati adatvagyon védelme. Sajnos a cégek többsége még mindig nem fordít kellő figyelmet és erőforrást kibervédelemre, pedig egy biztonsági incidens miatti leállás nemcsak anyagi jellegű károkat okozhat, de a reputáció romlását is eredményezheti. A vállalatoknak számítaniuk kell a kibertámadásokra – és fel is kell készülniük rájuk.
Azáltal, hogy a mindennapi munkaeszközök, például a mérőműszerek, okoseszközök és teljes gyártósorok rákapcsolódnak vállalati belső hálózatokra és a nyílt internetre, IT-biztonsági szempontból kitetté válnak. Egy kibertámadás esetén, amikor behatolnak az informatikai rendszerekbe, többféle kár is keletkezhet, például megállítanak egy gyártósort – percenként akár sok százezer forint veszteséget okozva -, vagy a bérszámfejtői alkalmazás elérhetetlenné tételével akár munkavállalók is veszíthetők. Ha például egy légitársaság jegykiadó rendszere vagy a légiirányítás válik elérhetetlenné, a járattörlések nem csak a légitársaság eredményességét befolyásolja, de az utasok elmaradt haszna is kimutatható gazdasági kárt jelenthet. Boros Robinnal, a Telekom Security szakértőjével jártuk körbe, mennyibe kerülhet egy leállás, amely nem csak a cég pénztárcáját terhelheti meg, de a márkával szembeni bizalmat is megrendíti.
Összekapcsolt világ, összekapcsolt kockázatok
Az összekapcsolt világ kockázataira az egyik legjobb példa a közelmúltban CrowdStrike-fiaskó, amikor tömeges leállásokat jelentettek a repülőtereken, bankokban és áruházakban, miután Windows-alapú PC-k és szerverek váltak használhatatlanná egy hibás frissítés miatt. Ez az eset jól szemlélteti a vállalatok kitettségét a sokszor tőlük függetlenül keletkező leállások veszélyeire. Ha pár évet ugrunk vissza, talán páran még emlékeznek a WannaCry zsarolóvírusra is, ami a köztudatban szélesebb körben ismertté tette a kiberfenyegetések ezen típusát. A kártevővel az elkövetők kórházak működését bénították meg, ahol a digitális térben történt incidens már valós emberéleteket veszélyeztetett.
„A WannaCry ransomware egy igen agresszív vírus, ami képes teljes vállalati hálózatokat lekódolni, hozzáférhetetlenné tenni a felhasználók számára. A CrowdStrike leállás pedig egy IT-biztonsági szolgáltató hibája miatt történt leállás. Az egyik oka a kibervédelem hiányossága, a másik pedig egy fejlett integrált kibervédelem frissítési hibája. A károsultak természetesen tanulnak az esetből és biztos vagyok benne, hogy mindent megtesznek azért, ugyanilyen típusú hibából eredő támadás ne érhesse őket újra. Másfelől a ransomware-támadások sokasodnak, a támadók profitorientáltabbak, és a felhasználók is követhetnek el hibákat. Szerencsére a vállalatok egyre több figyelmet fordítanak a felhasználók IT-biztonsági edukációjára, ahogy például ez a NIS2 rendelkezésben is sarkalatos kritérium” – világít rá a két eset mögött húzódó okokra és hiányosságokra Boros.
Az informatikai hibákra javítócsomagot vagy frissítést alkalmaznak, azonban egyre jellemzőbbek az ellátási-lánc támadások, ahol egy program fejlesztői közé szivárognak be a kártékony szereplők, akik a fejlesztés alatt helyeznek el a program komponenseiben vagy később a frissítésben káros kódot vagy hátsóajtót, amely az éles rendszerbe való bekerüléssel megkönnyítheti a céges hálózatokba való bejutást. Két ilyen támadás is napvilágot látott a közelmúltban: az egyik a SolarWinds Hack, ahol az azt működtető Orion IT Monitoring rendszerbe építettek káros kódokat, és ezzel több mint 30.000 állami és piaci cég adataihoz sikerült hozzáférni illetékteleneknek. A másik pedig a nemrég felderített Linux operációs rendszereket érintő XZ Utils programba épített backdoor, melyet szerencsére idejében sikerült észlelni.
Mennyi az annyi?
Egy előre nem látható IT-biztonsági eseményre nehéz felkészülni, viszont kockázatelemzés keretében kategorizálni kell a vállalat szolgáltatásait és a megfelelő garanciákat, valamint fontos back-up megoldásokat is ki kell építeni. Egy IT-biztonsági támadás miatti leállás kezelése a szolgáltatásindításhoz hasonlóan komplex feladat és költség. Az egész cégre kihat, minden terület megérzi azt, azonban a legnagyobb terhelés azonban ilyenkor az IT területet érinti, itt jelentkeznek a legnagyobb költségek is, hiszen a helyreállítás és kármentés mindig sokba kerül.
Egy támadás bekövetkezése esetén nem elhanyagolható szempont az eset a márkára gyakorolt hatása sem. Fiskális veszteséggel szinte minden cégnek számolnia kell, továbbá a márkaérték növekedésével párhuzamosan növekszik a vállalat kitettsége minden nemű negatív hír vagy esemény, pl. IT-biztonsági incidens esetében.
A támadókat sokszor más motivációk is mozgatják a nagyobb IT cégek feltörésére, ezek lehetnek politikai, környezetvédelmi, társadalmi vagy akár személyes célok is. „A korábbi években a nagyobb reputációval rendelkező cégekről hallottunk többet kibertámadás témában, de ez sajnos nem azt jelenti, hogy a kis -és középvállalatok biztonságban lennének, hiszen egyre többször válik napjainkban célponttá ez a szegmens is” – hívja fel a figyelmet Boros.
Mielőtt megtörténik a baj
A megfelelő megelőzési stratégia sem szolgáltat sajnos 100%-os biztonságot amiat, hogy a támadások lehetőségét nagy arányban felhasználói hiba is okozhatja. Ugyanakkor egy teljes cégleállás nem írható egyetlen hiba számlájára, ahhoz események láncolata szükséges. Az emberi cselekmények komplex sorozatához szükséges még egy támadó fél, egy felhasználói hiba, egy rosszul felkészített IT rendszer és még számos tényező is.
A vállalatoknak azon kell dolgozniuk, hogy a lehetőségeikhez és komplexitásukhoz mérten alkalmazzanak IT-biztonsági megoldásukat: ajánlott hozzá a redundáns rendszertervezés figyelembe véve a hálózatokat, IT-biztonsági megoldásokat vagy a szerverek energiaellátását, amely kiterjed az időszakos, teljes rendszert érintő biztonsági mentésre is. Fontos továbbá az IT-folyamatok kockázatelemzése és besorolása, valamint a BCP (Business Continuity Plan) és a DRP (Disaster Recovery Plan) megléte és azok gyakorlati ismerete. Végül, de nem utolsósorban pedig a munkatársak rendszeres IT-biztonsági oktatása, valamint a vállalat dolgozóinak és vevőinek edukációja a kiberbiztonság fontosságáról.
Amikor egy vállalat az úgynevezett Backup as a Service (BaaS) szolgáltatást vesz igénybe, az adatairól mindig készül legalább egy biztonsági másolat, így azok külső támadás vagy más adatvesztéssel járó incidens esetén visszaállíthatók. Disaster recovery as a Service (DraaS) pedig azon vállalatoknak javasolt, amelyeknél kiritikus a szolgáltatáskiesés. Ezzel a komplex üzletmenet-folytonosságot biztosító megoldással a céges adatok egy független, másik adatközpontban szinkronizálódnak, amelyre incidens esetén átállva a normál üzletmenet a lehető leghamarabb visszaállíthat.
„Évről évre javul az informatikai biztonság szintje a szervezetekben és a vállalatoknál, azonban a kockázatok minimalizálására folyamatosan egyre nagyobb hangsúlyt kell fektetni, mert a támadók is egyre kifinomultabb és fejlettebb módszerekkel próbálnak behatolni az informatikai rendszerekbe. A NIS2 rendelet hatályba lépése és rendelkezéseinek implentálása biztosan javítani fog a vállalatok és intézmények IT-biztonsági szintjén. Számítsunk a kibertámadásokra, kalkuláljunk annak várható hatásaival és építsük be mindennapi IT folyamatainkba adataink magas szintű védelmét” – összegzi a biztonsági szakértő.
Az oldalon elhelyezett tartalom a Magyar Telekom megbízásából készült, a cikket egy független szerkesztőség írta, előállításában és szerkesztésében a hvg.hu szerkesztősége nem vett részt.
