Miért vannak veszélyben a legkisebbek is?

Az adathalászok nem válogatnak, így célkeresztjükbe egyre inkább olyan mikro-, kis- és középvállalkozások is kerülnek, amelyek nagy többsége továbbra sincs tisztában azzal, hogy mennyire sérülékenyek saját informatikai megoldásaik, és hogy egy-egy incidens mekkora kárt okozhat. A Telekom és a BellResearch legfrissebb kutatása szerint a vállalkozások túlnyomó többsége nem fordít kellő figyelmet az adathalászat elleni védelemre, a veszélyekkel pedig a legtöbb esetben még maguk a cégvezetők sincsenek tisztában.

A kutatás eredményeit és az azokhoz kapcsolódó tévhiteket Keleti Arthurral, IT-biztonsági stratégával elemeztük.

Miért vannak veszélyben a legkisebbek is?

„A felmérésből kiderül, hogy a hazai mikro- és kisvállalkozások kétharmada gondolja azt – különösen a mikrovállalkozások és a hazai KKV-k –, hogy a méretüknél fogva ők nem lehetnek célpontok” – mutatott rá Keleti Arthur. „Ez sajnos egy általános probléma, amivel kapcsolatban sokan (a leendő áldozatok) alábecsülik, hogy az elkövetők ma már mennyire szervezettek. A kiberbűnözés napjainkban rendkívül összetetten, módszeresen működik, egy teljes »szereplőgárdával«. A bűnözői csoportok akár az egyes feladatokat is felosztják, delegálják egymás között. Azaz nem biztos, hogy ugyanaz a hacker gyűjti be a szükséges információkat, mint aki a támadást végrehajtja, vagy aki megzsarol egy céget, de még a pénz behajtására is külön szakosodtak. Emiatt az, hogy egyes célpontokat hogyan, milyen módon támadnak, tisztán szervezési, logisztikai, sőt, ha úgy tetszik, üzleti kérdéssé vált. Ma már nem lehet azt mondani, hogy aki kicsi, az ne lenne veszélyben, ezek egyszerűen más típusú veszélyek, úgy is mondhatnám, hogy a veszély volumene az adott célpontokra van méretezve.”

„A másik, hogy egy kisebb céget ugyanúgy megtámadhatnak, csak épp nem egymillió dollárra fogják megzsarolni, hanem egymillió forintra, mert az elkövetők már az áldozatokhoz »szabják« a támadási szinteket” – mutatott rá Keleti Arthur.

A szakértő arra is felhívta a figyelmet, hogy ma már a kiberbűnözők közé a „hagyományos” bűnözői körök is beszivárogtak, mert ezen a területen jóval kisebb kockázattal tudnak még több pénzt keresni.

„Ez sajnos egy elég jól fizető iparág lett, a rendőrségre ma már szinte naponta futnak be hasonló panaszok, problémák, és akkor még nem beszéltünk a kriptovalutákról, ami szintén sok lehetőséget kínál a csalóknak” – tette hozzá a szakember. „A kiberbűnözők emellett olyan eszközökkel is élhetnek, hogy »beszervezik« a cég egy-egy munkatársát, pénzzel vagy más meggyőző erővel, akkor pedig könnyedén beszivároghatnak a szervezetbe, a védelmi vonalakon belülre.”

Az ok

Szintén fontos különbségeket mutat a támadás miértje: egy ügyvédi vállalkozást nem feltétlenül azért fognak megtámadni, hogy átvegyék az irányítást a gépek felett, hanem azért, hogy az ügyfeleket érintő, érzékeny adatokat megszerezzék. Egy más profilú kisvállalkozás esetében elég, ha kontrollt szereznek a közösségi médiás fiókjaik vagy a levelezésük felett, ezzel lehetetlenítve el a működésüket.

Adott esetben meg sem fogják támadni a kisebb cégeket, ehelyett inkább egy zombihálózat részévé teszik az informatikai eszközeiket, ami azt jelenti, hogy az adott gépet vírusok, illetve trójai szoftverek segítségével iránytása alá veszi egy hacker, majd több más fertőzött géppel összekapcsolva arra használja, hogy a cégvezetés tudtán és akaratán kívül kibertámadásokban vegyenek részt, ami akár bűnügyi következményekkel is járhat.

A home office dilemma

A helyzetet nehezíti, hogy a koronavírus megjelenése óta rengetegen dolgoznak otthoni környezetből, ez pedig azzal jár, hogy összekeveredik a magánélet és a munka, aminek a digitális következményeit nem lehet figyelmen kívül hagyni.

„Lehet, hogy egy családtag tevékenysége jár kockázatokkal: letöltenek valamit egy nem megbízható oldalról, vagy akad közülük valaki, aki egyetlen jelszót használ mindenhova, ha pedig ezt megszerzik, máris hozzáférnek akár az egész család adataihoz” – figyelmeztetett Keleti Arthur. „Az is probléma, hogy sokan nem használnak többlépcsős azonosítást, mert kényelmetlennek találják, így pedig, ha sikerült beszivárogni a családi hálózatba, ott már könnyen elmosódhatnak a határok és akár az üzleti tevékenység is a kárát láthatja a kényelmességnek. Sajnos a gyenge jelszavak és az egyfaktoros azonosítás még mindig nagyon komoly probléma, a legtöbb támadás a hasonló helyzetekből adódik. Ez főleg olyan mikrovállalkozásoknál és KKV-knál okozhat gondot, akik egy-egy Facebook-csoportra vagy Instagram-fiókra építik az üzletüket, de ezeket minimális szinten sem védik. Ha egy hacker ezt megszerzi, akkor gyakran már nincs mit tenni, legfeljebb pénzért vissza lehet vásárolni, ha erre kínálnak egyáltalán lehetőséget.”

Tudjuk egyáltalán, hogy mit és hol kell védeni?

A kutatásból kiderül, hogy a hazai mikrovállalkozások és KKV-k 70 százaléka úgy gondolja, nem kezelnek olyan kritikus vállalati és ügyféladatokat, amelyek védelemre szorulnának, 80 százalék szerint pedig – egy sikeres támadás miatt bekövetkező – esetleges adatvesztés amúgy is pótolható.

„Ebből számomra egy dolog következik, hogy a vállalkozások nem igazán ismerik, hogy milyen adatokat kezelnek” – hangsúlyozta Keleti Arthur. „Azaz nem arról van szó, hogy felmérték a kockázatokat és ez még belefér, hanem egyszerűen nem tudják, hogy mennyire támaszkodnak valójában az adatokra és ez mennyi üzleti lehetőséget, illetve potenciális veszélyt rejt magában. Egy-egy adat megszerzése ugyanis akár teljesen tönkre tehet egy KKV-t, elég csak a GDPR-ra gondolni, aminek a helytelen kezelése komoly bírságokat vonhat maga után.”

A BellResearch és a Telekom kutatása arra is rávilágított, hogy a támadásoknak való kitettség ellenére a mikro- és kisvállalkozások jelentős része házon belül próbálja megoldani az IT-védelmet. Mára azonban már elmúltak azok az idők, amikor elég volt annyi, hogy a cégtulajdonos informatikában jártas rokona-ismerőse antivírus-szoftvert telepített a céges gépekre.

„Régebben ez elég gyakori volt, és 10-15 éve még talán elég is lett volna az ilyesmi, de az elmúlt évtizedben már sokkal összetettebbé váltak a támadások, sokkal több olyan infrastruktúra-elem érintett ilyenkor, ami már túlmutat az otthoni gépparkon” – mondta az IT-biztonsági stratéga. „Mostanra rengeteg a hordozható digitális eszköz, a laptopoktól az okosórákig, de rengeteg háztartásban – és irodában – is akadnak olyan IoT-eszközök, amelyeknek hírhedten gyenge a védelme. Vagyis ma már annyira változatosak a támadási vektorok, hogy egy tűzfal vagy antivírus-szoftver csak egy-egy elemét képezi a védelemnek. Sokan a felhőben dolgoznak, adatokat osztanak meg, streamelnek, egy ilyen környezetet pedig már csak komoly ICT-szolgáltatói megoldásokkal lehet sikeresen megvédeni. Tőlünk nyugatabbra az összes hasonló szolgáltatást már a felhőből vásárolják, azaz vége van annak az időnek, amikor ilyesmivel elég volt otthon ügyeskedni, csak erre a hazai vállalkozások jelentős része még nem jött rá.”

Az újabb fenyegetés

A kiberbűnözők mellett egy másik csoport is megjelent, amely ha lehet, még veszélyesebb, de legalábbis kiszámíthatatlanabb. Ezek az úgynevezett hacktivisták, azaz valamilyen ideákért harcoló hackercsoportok, vagy önjelölt hackerek.

„Ezekkel az a gond, hogy gyakran nem tudni, mi a pontos fókuszuk, hogy mi a pontos motivációjuk” – mutatott rá Keleti Arthur. „Lehet, hogy kiszúrnak valamit a cég működésében, ami számukra nem szimpatikus, de az is elég lehet, ha egy cégnek egy adott tulajdonosi körhöz van kötődése, és máris célponttá válik. Tehát megint ugyanoda jutunk: nem lehet kijelenteni, hogy engem úgysem támadnak meg.”

Mit tehetünk?

Bár a fentiek nagyon ijesztőek lehetnek egy cégvezető vagy cégtulajdonos számára, a jó hír az, hogy nem kell kibervédelmi hadosztályokat kiépíteni a cégen belül, elég pár józan döntés a megfelelő védekezéshez.

„A kulcsszó a tudatosság: ha autót veszünk, akkor sem utólag csodálkozunk rá, hogy jé, van benne fékpedál, hanem eleve tudjuk, hogy ettől leszünk biztonságban” – magyarázta Keleti. „Ugyanígy az informatikában is már szem előtt kell tartani, hogy mire van szükség a biztonságunkhoz. Az már nem érv, hogy a gyerek számítógépén nem volt vírusirtó, amikor az ICT-szolgáltatóm akár az egész családomnak tud megfelelő megoldást kínálni. Ugyanígy a cégeknél is, minden munkatárssal el kell beszélgetni erről a kérdésről, de nemcsak említés szintjén, hanem komolyan, kitérve arra, hogy mire kell odafigyelni. A cégeknek pedig biztosítania kell az ennek megfelelő hátteret. Hiába kérjük a kollégáktól, hogy használjanak bonyolult, megjegyezhetetlen jelszavakat, ha egyszerre 20 felületre kell belépniük. Akkor tessék nekik adni ehhez megfelelő megoldást, jelszómenedzsert, ami ezt biztonságosan tudja kezelni. A másik pedig az adatminimalizálás. Érdemes végiggondolni, hogy milyen adatokat kezel egy cég, és hogy ebből valójában mire van szükség a működéshez. Ugyanezt javaslom a családoknak is: ahogy megvan a felelőse a bevásárlásnak, a nagytakarításnak, ugyanúgy legyen egy »biztonságfelelős« is, hiszen aki este otthon apuka, az lehet, hogy napközben üzletvezető egy cégnél, aki pedig anyuka, az lehet, hogy napközben egy vállalat ügyvezetője. A gyerekek pedig nemcsak az igazi vírusokat hurcolhatják haza az iskolából, hanem a digitális kártevőket is. Ha pedig a gyerekre ráadjuk a kabátot-sálat, amikor hideg van, akkor a telefonját, laptopját miért nem védjük meg? A lényeg, hogy nem kell betegnek lenni a kibertérben sem!”