A vállalatok még mindig kívülről várják a támadást informatikai rendszerük ellen, pedig cégen belül sokkal nagyobb veszélyek leselkednek a bizalmas üzleti adatokra.

Amikor egy hazai távközlési vállalat menedzsere átnyergelt a konkurenciához, az otthagyott munkahelyen senkinek sem jutott eszébe megakadályozni, hogy magával vigye céges laptopját - tele üzleti adatokkal. Semmilyen belső biztonsági szabály nem gátolta meg azt sem, hogy egy másik magyar cég informatikai rendszerébe a parkolóban szétszórt pendrive-okkal törjenek be. A kíváncsi alkalmazottak gyanútlanul bedugták számítógépükbe a talált adattároló eszközöket - a rajtuk lévő kémprogrammal együtt. Növeli a trükk sikeresélyét, ha az USB-dugaszon titkosnak látszó fizetési listák vagy hasonlóan izgató információk kelletik magukat.

Az ilyen esetek jól példázzák, hogy az informatikai biztonság 80-90 százalékban az emberi tényezőn múlik - mondja Szigeti Szabolcs, a Budapesti Műszaki és Gazdaságtudományi Egyetem Informatikai Központjának tudományos munkatársa. "Ha be akarnék törni egy cég informatikai rendszerébe, semmiképpen sem távoli behatolással próbálkoznék, hanem belső embert keresnék" - magyarázza Szigeti. A távolról indított, automatizált támadásoknál (spamek, vírusok) komolyabb veszélyt jelent a felhasználók emberi gyengeségeit kihasználó támadás, nem is beszélve a céges adatok szándékos kiszivárogtatásáról, amely már az üzleti kémkedés kategóriájába tartozik.

Ne tévesszen meg senkit - mondták a HVG-nek nyilatkozó szakértők -, hogy alig hallani vállalati biztonsági incidensekről, legföljebb a bankokat és ügyfeleiket veszélyeztető adathalász támadásokról. Nem arról van szó, hogy nincsenek ilyen esetek, hanem egyszerűen arról, hogy nem kerülnek nyilvánosságra. Ritka kivétel a távoli behatolók csoportjába tartozó Richter Csaba esete, aki 2005-ben egy svéd börtönben kötött ki, miután többször bejutott az Ericsson számítógépes hálózatába. A magyar fiatalember hozzáfért sok érdekes és bizalmas céges adathoz (saját bevallása szerint például telefonszoftverek forráskódjához, a Gripen vadászrepülőgépek radarrendszerének rajzához, és rendszergazda-jogosultságot szerzett több rendszerben), majd a megszerzett információk birtokában üzletelni próbált a svéd vállalat központjával - ám a malmői randevún a svéd titkosszolgálat emberei várták.

A PricewaterhouseCoopers (PwC) könyvvizsgáló és tanácsadó cég által az ügyfelek megrendelésére elvégzett - nem számítógépes - behatolási tesztek azt mutatják, hogy a magyar cégeknél viszonylag könnyű kijátszani a fegyveres biztonsági őrt és a recepcióst - mondja Antal Lajos, a PwC IT-biztonsági részlegének vezetője. Elég lehet egy fontos embernek csomagot hozó futár vagy egy tárgyalásról elkéső ember meséje. "Gyakran kitűző nélkül is szabadon sétálgathat egy öltönyös idegen a cég épületében, akár leülhet a gépek mellé anélkül, hogy megszólítanák" - mutat rá a másik gyenge pontra Antal Lajos. A szakember tapasztalatai szerint Nagy-Britanniában valószínűleg megkérdeznének egy idegent, hogy mi járatban van, idehaza inkább azt gondolják, hogy biztosan fontos ember, esetleg valamilyen ellenőr.

A támadás érkezhet belülről is. Ha egy dolgozó hozzáférhet bizalmas üzleti információkhoz, pénzre van szüksége, és vevőt is talál, a lebukás veszélye pedig alacsony, akkor elképzelhető, hogy nem tud ellenállni a kísértésnek. "A becserkészni kívánt személyről nem nehéz alapos környezettanulmányt készíteni. Elég az internet: a vállalati honlapok és a közösségi oldalak (lásd Profilból című cikkünket a 64. oldalon) sok mindent elárulnak egy emberről" - magyarázza Krasznay Csaba, a Kancellár.hu Kft. informatikai biztonsági tanácsadója.

A bizalmas üzleti adatokba sok vállalatnál az indokoltnál többen látnak bele. Ráadásul ma már nem kell terjedelmes dokumentumokat titokban fénymásolni és kicsempészni az épületből, elég egy zsebre dugott pendrive. Mégis - bár számítástechnikailag megoldható lenne - csupán néhány hazai cég tiltja, korlátozza vagy ellenőrzi az USB-dugaszok használatát. Pedig egyébként is a mobil eszközök jelentik manapság az egyik legnagyobb támadási felületet.

A laptopok, mobiltelefonok, PDA-k, okostelefonok, a hozzájuk tartozó memóriakártyák és hasonló eszközök számtalan vállalati adatot tartalmaznak, mégis ritkán gondolnak arra a cégek, hogy azokra is biztonsági szabályokat dolgozzanak ki - mondja Krasznay Csaba. A hordozható gépeket a dolgozók egyre inkább a sajátjukként kezelik. Bár a bennük tárolt információk a cég tulajdonát képezik, a vállalati számítástechnikai felelősökben a legtöbbször nem is tudatosul, hogy ezek az információk kikerültek a látókörükből. Márpedig így nem tudják megóvni a céget attól, hogy egy elégedetlen vagy akár csak figyelmetlen dolgozó értékes adatokkal távozzon észrevétlenül.

Ráadásul a hordozható gépeket könnyű elveszíteni vagy ellopni. Igaz, a tolvajok többnyire azért hajtanak a laptopokra, mobiltelefonokra, hogy pénzzé tegyék őket - a használt telefonokkal foglalkozó kereskedők kincseket találnak a hozzájuk kerülő darabok memóriájában -, de elképzelhető célzott lopás is. Üzleti út közben a szállodai szobában hagyott számítógép adattára akkor is szabad préda, ha magát a gépet nem lopják el, sőt - az Egyesült Államokból érkező hírek szerint - az is megeshet, hogy repülőtéri biztonsági ellenőrzés közben néznek bele a laptopon lévő adatokba. Vannak amerikai cégek, amelyek már csak "üres" számítógéppel engedik utazni munkatársaikat; az üzleti adatokat a központban tárolják, és interneten lehet elérni őket. De arra is vigyázni kell, milyen úton: a mobil eszközök másik gyenge pontja a vezeték nélküli csatlakozás, ráadásul nem pusztán az internetkávézókban.

"Elég egy laptoppal végigautózni az Andrássy úton, nyomban kiderül, milyen sok cég hálózatához lehet hozzáférni" - mondja Hirsch Gábor, a Cisco Magyarország üzletfejlesztési igazgatója. A drót nélküli kommunikáció titkosítása ma már standard, kiforrott technológiákon alapszik, a cégek gyakran mégsem nyúlnak hozzá a hálózati eszközök nem túl biztonságos alapbeállításaihoz.

A veszélyek ellenére sok cégvezető illúziókba ringatja magát. Amíg valaki el nem szólja magát - mutat rá a rövidlátásra Szigeti Szabolcs -, nem tulajdonítanak jelentőséget a megmagyarázhatatlanul szaporodó gyanús jeleknek: csökken a bevétel, vevők pártolnak el, egy versenytárs előbb rukkol elő nagyon hasonló termékkel, szolgáltatással, marketingkampánnyal.

MÁRK EDINA

Trend

Virágzó adatkereskedelem

Nagyjából 300 forintba kerülnek a feketepiacon az átlagpolgár személyes adatai (neve, címe, telefonszáma)...

„Aki ezt tette, és elgázolta a gyermekeim anyját, az segítsen eltemetni”

„Aki ezt tette, és elgázolta a gyermekeim anyját, az segítsen eltemetni”

Három ország rendőrei kapcsolták le a nőket futtató magyar bűnbandát - videó

Három ország rendőrei kapcsolták le a nőket futtató magyar bűnbandát - videó

Tüdőgyulladása miatt mégis lemondta fellépéseit Elton John

Tüdőgyulladása miatt mégis lemondta fellépéseit Elton John

Duma Aktuál: Az időszámítás kezdetén kártyanaptárt is hoztak a háromkirályok

Duma Aktuál: Az időszámítás kezdetén kártyanaptárt is hoztak a háromkirályok

Döntött a bíróság: jogosan tiltotta meg az amerikai kongresszus Huawei-termékek vásárlását

Döntött a bíróság: jogosan tiltotta meg az amerikai kongresszus Huawei-termékek vásárlását

A Jobbik budapesti elnöke kilépett a pártból Jakab Péter miatt

A Jobbik budapesti elnöke kilépett a pártból Jakab Péter miatt