A legnagyobb veszélyt az a belső alkalmazott jelenti, aki ártani akar. Az ártó szándék mindig megtalálja a gyenge pontokat" - mondta a Hálónak Pavol Hudak, az információvédelmi tanúsításokat is végző AIB-Vincotte szlovák szakértője. Hudak már számtalan céget és kormányzati szervezetet "világított át", azt vizsgálva: mit tesz meg a társaság annak érdekében, hogy a kényes információk ne szivároghassanak ki. Szerinte a konkurenciaharc és az ipari kémkedés olyan mértékű, hogy bárki áldozattá válhat. "Nincs kitüntetett csoport. Kicsi és nagy, nehézipari és egészségügyi cégeknek egyaránt fontos az információ" - feleli arra a kérdésünkre, hogy mely szektoron belül van a legtöbb információvédelmi tanúsítás.

A minőségbiztosítási vagy környezetvédelmi hitelesítésekhez képest tíz-húsz százalékkal költségesebb információvédelmi auditálás két lépésből áll: a szakértők először "megelőző látogatást" tesznek a szervezetnél, és átvizsgálják a dokumentumokat, második lépésként pedig elvégzik az auditálást. "Mindkét lépés során részletekbe menően kiértékeljük az adott cég informatikai rendszerével kapcsolatos rizikófaktorokat, és azt, hogy mit tesz a cég ezen kockázatok elhárításának érdekében" - magyarázza az AIB-Vincotte szakértője. Szerinte a cégek gyenge pontja általában a vezetési rendszerekben keresendő.

Az ősszel kirobbant megfigyelési ügy (egy magán-biztonságicég a gyanú szerint "magán-titkosszolgálatot" fenntartva figyelt meg politikusokat és szerzett meg információkat állami szervektől) rávilágított arra, hogy az információk megszerzéséért ma már a legális eszközök mellett illegális eszközöket is gyakran bevetnek. A megfigyelési ügy egyik szereplőjévé váltak a kémprogramok is, mivel az ügyben érintett biztonsági cég a gyanú szerint kémprogramokat telepített a Nemzetbiztonsági Hivatal szerverére.

Egyes hírek szerint a programot egy belső ember telepítette, de az sincs kizárva, hogy kívülről jutott be a rendszerbe a kártékony szoftver. "Egy ilyen programot úgy is telepíthet kívülről a támadó, hogy a felhasználó semmit sem vesz észre az egészből. A támadó ilyenkor például levelet ír az egyik felhasználónak, arra kérve őt, hogy kattintson a levélben megadott linkre. Ha a felhasználó ezt megteszi, akkor egy olyan weboldalra kerül, amely kártékony kódokat tartalmaz, és kinyitja azokat a hátsó kapukat, amelyekkel a kémprogram már telepíthető" - magyarázta a Hálónak Kecskés Győző, a kémprogram-elhárításra szakosodott Avsec.hu szakértője.

Az is előfordul, hogy a támadók már eleve találnak olyan kis fertőzéseket a rendszerben, amelyeket hátsó kapunak tudnak használni, és azokon keresztül tudják bejuttatni a kémprogramokat. A kémszoftverek bevetésével nemcsak adatokhoz (jelszavak, fájlok) juthatnak hozzá, hanem akár különféle fájlokat is átvihetnek egyik gépről a másikra. Ráadásul nagyon nehéz visszakövetni, hogy ki és mikor juttatta be a programokat a rendszerbe. Kecskés szerint a vizsgálók csak a naplókra (telepítési napló, internetes letöltési napló, hálózati forgalom elemzése) támaszkodhatnak. Ilyenkor persze sokat számít, hogy mennyi ideig archiválják a naplóállományokat.

A kémprogram azonban csupán egy eszköz a sok közül. Egy másik ismert és gyakran alkalmazott technika a "social engineering", amikor a támadók az emberek - jelen esetben egy cég vagy egy szervezet munkatársainak - bizalmával élnek vissza, manipulálják őket. Ilyenkor nem a hardver, a szoftver vagy a hálózat gyengéit, hanem a munkatársak jóhiszeműségét, naivságát használják ki a támadók. A leggyakoribb módszer, hogy magukat a cég informatikus munkatársának kiadva, telefonon próbálnak adatokhoz (például jelszóhoz) jutni.

Ahhoz, hogy a munkatárs közlékeny legyen, fontos, hogy a támadó ismerje a cég belső viszonyait, a dolgozók által használt esetleges zsargonokat, de akár az ülésrendet, a munkatársak baráti kapcsolatait is. A rosszakarók, az információk megszerzése érdekében akár arra is képesek, hogy éjszakánként a cég szemeteseiben turkáljanak, vagy beálljanak takarítónak, s az asztalon hagyott papírokat, cédulákat átvizsgálva fontos információkhoz jussanak.

Pedig ezeket a támadásokat is könnyűszerrel ki lehet védeni. Ha bizonytalanok vagyunk valakinek a személyazonosságában, akkor ellenőrizzük le - azt javasolva például, hogy majd visszahívjuk. Ugyanilyen fontos, hogy mindig legyünk tudatában annak, hogy kinek milyen információt adunk ki, és soha ne használjunk olyan adathordozót, amit találunk valahol. A támadók ugyanis olyan módszerrel is próbálkozhatnak, hogy a kiszemelt cég parkolójában, mosdójában vagy liftjében olyan USB-meghajtókat "felejtenek", amelyen automatikusan települő billentyűzetfigyelő program van.

"Az emberek nem feltétlenül értik meg és követik az előírásokat" - Pavol Hudak szerint ez a leggyakoribb oka annak, hogy egy szervezetnél információ szivárog ki. Egyesek külső biztonsági céget bíznak meg önbetöréssel, hogy így teszteljék védelmi rendszereiket. Az AIB-Vincotte szakértője szerint azonban ez nem a legjobb megoldás, mivel a különböző cégek eltérő kockázatokkal néznek szembe. "Ami hatásos ellenőrzés az egyik cég számára, nem biztos, hogy a másiknak is az" - magyarázza. Az információvédelmi szakértő gyakran tanácsolja azt a cégeknek, hogy ha a vállalattól több vezető informatikus is távozik, ne csak a jelszavakat, hanem a teljes operációs rendszerüket cseréljék le.

DEZSŐ ANDRÁS