A jelszavak a biztonságos informatika legnagyobb akadályai. Ráadásul nemcsak az ellopottak, hanem úgy általában az összes. Ez a tanulsága a Sophos kiberbiztonsági cég április elején kiadott globális jelentésének, amely szerint a kompromittált hitelesítő (belépési) adatok immár második éve az első számú támadási vektorok közé tartoznak világszerte. Ezért aztán éppen itt lenne az ideje elfelejteni a felhasználónév–jelszó párost. Az informatika őskora óta meglévő azonosítási módszer az idők során finomodott. Ahogy teltek az évtizedek, az informatikai szakértők egyre hosszabb, egyre többféle karakterből álló jelszavak használatát javasolják, a mai napig ez a leggyakoribb tanács.

Az a kockázat azonban a mai napig megmaradt, hogy aki megszerzi a jelszót, az be is tud lépni vele. Néhány éve elterjedtnek mondható a kétfaktoros azonosítás – amikor a megjegyzendő jelszó mellé sms-ben vagy hitelesítő alkalmazásban egy második, rövid ideig érvényes kód is érkezik –, ám ez csak a nem igazán elszánt vagy felkészült csalók kivédésére alkalmas. Az ügyesebb bűnözők könnyen beszerezhetik ezt a második titkos kódot is, például azáltal, hogy hozzáférést szereznek a kiszemelt célpont telefonjához, így rálátnak az érkező sms-re.

A Sophos elemzői szerint éppen ezért szorul erősítésre a többlépcsős hitelesítés is. Megoldásként mutatkozik a WebAuthn néven ismert protokoll alkalmazása. Ha ez aktív, akkor amikor egy felhasználó új fiókot hoz létre, egyedi nyilvános/magán kriptográfiai kulcspár generálódik. A nyilvános kulcs a szolgáltató szerverére kerül, míg a magánkulcsot a felhasználó eszközén tárolják a webhely nevével és a felhasználói azonosítóval együtt. Ha ez megtörtént, utána a bejelentkezéshez már többé nincs szükség jelszóra vagy sms-ben, illetve hitelesítési alkalmazáson keresztül megosztott titkos kódra. Ehelyett a szerver digitális hitelesítési kérelmet küld, amelyet csak akkor lehet teljesíteni, ha a felhasználó fizikailag birtokában van az eszköznek, és igazolni tudja, hogy ő a magánkulcs tulajdonosa – például biometrikus azonosítással, azaz az ujjlenyomat vagy az arc mobilos ellenőrzésével.

Látszólag alig van különbség egy jelszó megadása vagy az okostelefon arcazonosító funkciójának használata között. Valójában azonban jelentős a szintlépés: a hitelesítés az utóbbi esetben is két tényezőn alapul, ám nem a felhasználó tudására, hanem az eszköz fizikai birtoklására és a felhasználó saját biometrikus jellemzőire épül. Ezáltal ha nem is lehetetlen, de a technológia mai állása szerint nagyon-nagyon nehéz ellopni. A hagyományos adathalász módszerek ilyenkor nem működnek: a leghiszékenyebb embert sem lehet rávenni, hogy küldje át az ujjlenyomatát vagy arcát. (A valamirevaló arcfelismerő rendszerek észlelik a különbséget egy élő ember arca, illetve az arról készült fotó vagy videó között, és az utóbbi esetekben elutasítják a hitelesítési kérelmet.)

Az újabb hitelesítési folyamat előnye, hogy kétirányú ellenőrzést foglal magában. A tudásalapú jelszavakat és titkos kódokat használó megoldásokkal ellentétben már nem csak a felhasználónak kell igazolnia a jogosultságát. Hiszen a kulcspár másik fele is árulkodó, a szolgáltató szerverén tárolt nyilvános kulcsra is szükség van a helyes megfejtéshez. Így a felhasználó maga is tudhatja, hogy valóban az adott cég, például a munkahelye vagy a bankja áll-e az azonosítási kérelem mögött, nem pedig csalók próbálják rávenni arra, hogy megtévesztő netes felületen megadja az érzékeny adatait.

Ez a rendszer sem tökéletes, hiszen azt mindenképp garantálni kell, hogy a kulcsok tárolására használt eszköz és felhő (szerver) biztonságos legyen. Ráadásul a folyamat közben mozgó apró adatcsomagok, azaz a munkamenetsütik ellopása továbbra is olyan támadási módszer, amely kihasználható lehet a rendszer sebezhetőségeivel.

Hardverbemutató az InCyber kiberbiztonsági konferencián. Ránéznek

AFP / SAMEER AL-DOUMY

Az ilyesmi újdonságok bevezetésével nem érdemes sokat várni, állítják a KPMG könyvvizsgáló, tanácsadó cég szakértői. Immár hatodik éve közzétett kiberbiztonsági jelentésük minap közölt friss kiadása szerint sürgős intézkedésekre van szükség a kiberbiztonság területén a digitális környezet rohamos fejlődése miatt. Ezt azzal indokolják, hogy a digitális csatornákon tartott kapcsolati hálók mára mindent átszőnek, a mesterséges intelligencia gyorsabban terjed, mint ahogy valóban megértené az emberiség – „a kiberbiztonság nem csupán üzleti szempontból aggasztó, hanem a társadalom minden területét érintő, egyetemes kérdéssé vált”. A KPMG-nél is kritikus pontnak tartják az eszközök és felhasználók megbízható azonosítását. A jelentés hangsúlyozza: a kiberbiztonsági vezetőknek és a döntéshozóknak újra kell gondolniuk a berögzült folyamatokat, és be kell fektetniük „szilárd elveken nyugvó innovatív rendszerekbe”.

Ez utóbbi irányba terelhetik a vállalatokat a mostanában élesedő, szigorodó uniós digitális biztonsági előírások is (NIS2, DORA). Ezek célja, hogy a cégek előírt nyűg helyett fontos prioritásként kezeljék a kiberbiztonságot, kiterjesztve az intézkedéseket többek között az energia-, a közlekedési, a banki és pénzügyi, az egészségügyi és az informatikai ágazatban. „Ezek a szabályozások ébresztőt fújnak. Talán már túl későn” – figyelmeztet Rafael Bloom technológiai szakértő, utalva a digitális infrastruktúrákat érintő egyre gyakoribb támadásokra. Az Advent IM Security cég ugyanakkor arra is felhívja a figyelmet, hogy az olyan szabályozások, mint a mesterséges intelligenciáról szóló törvény, a NIS2 és a DORA, a megfelelési költségek és a bizonytalanságok miatt lelassíthatnak egyes ágazatokat, különösen az ellátási láncban.

Hogy mi ellen kell védekezni?

A Sophos biztonsági szoftverei által gyűjtött adatok szerint a támadók leggyakrabban hálózati eszközök – például tűzfalak, routerek és virtuális magánhálózati (VPN) szoftverek – sebezhetőségeit kihasználva jutnak be a kis- és közepes vállalkozások rendszereibe. Az ilyen eszközök az esetek közel harmadában adtak lehetőséget az illetéktelen behatolásra. Különösképp éppen a biztonságos távoli hozzáférést ígérő VPN-es tűzfalak jelentik a gyenge pontot. E mögött részben az a jelenség áll, amely minden szegmensben megfigyelhető: a támadóknak már nincs szükségük vírusok és más kártevők egyenkénti telepítésére. Ehelyett a vállalkozások saját rendszereit használják ki, ami növeli a mozgékonyságukat, és lehetővé teszi számukra, hogy olyan helyeken rejtőzzenek el, ahol a biztonsági vezetők nem keresik őket – mondja Sean Gallagher. A Sophos vezető fenyegetéskutatója szerint a helyzeten tovább ront, hogy sok cégnél egyre több az életciklusa végén járó eszköz.

A brit kibervédelmi vállalat szakértői ezt nemes egyszerűséggel csak a „digitális hulladék” problémájának nevezik. Mivel ezek az eszközök közvetlenül ki vannak téve az internetnek, és gyakran alacsony prioritást élveznek a frissítések szempontjából, rendkívül hatékony eszközei a hálózatokba betörésnek.A brit kibervédelmi cég adatai szerint a támadók legkedveltebb kkv-k elleni módszere a zsarolás: ilyen támadás az incidenskezelési esetek több mint 90 százaléka a közepes méretű szervezeteknél, de a kisvállalkozások esetében is tízből hét eset mögött áll zsarolóvírus. (Hiába a már említett, „gyenge” többfaktoros hitelesítés, az ügyesebb bűnözők képesek megkerülni ezt úgy, hogy hitelesítési tokeneket is ellopnak. Ilyenkor egy adathalász platform segítségével utánozzák a bejelentkezési folyamatot, és megszerzik az sms-ben vagy e-mailben érkező hitelesítő adatokat, miközben az áldozat megpróbál belépni a rendszerbe.)

Az idő a bűnözőknek is drága, igyekeznek gyorsan dolgozni, a legfrissebb adatok szerint átlagosan 11 óra alatt veszik át az irányítást a Windows-alapú hálózatok kritikus eleme, az Active Directory fölött. Ennek birtokában már nem annyira nehéz megszerezni a hozzáférést bármihez, amihez csak akarnak. A 11 óra azért kritikus, mert nagyon sok kkv-ra igaz, hogy ennyi idő eltelik két műszak között. Ezzel összefüggésben nem meglepő, hogy a zsarolóvírussal dolgozó bűnözői csoportok éjjel dolgoznak: tavaly az ilyen támadások 84 százalékát a célpontként kiszemelt vállalatnál alkalmazott munkaidőn kívül kezdeményezték.

Baj esetére ajánlják a 3-2-1 biztonsági mentési stratégiát a Kingstonnál. Ennek lényege, hogy az adatokból összesen három példányt tárol a szervezet, vagyis az eredeti mellett két biztonsági másolatot készít. Ez utóbbiakat eltérő típusú adathordozón érdemes elhelyezni, például egy belső merevlemezen és egy külső SSD-n. Egy példányt pedig elkülönített helyen célszerű tárolni, amely fizikailag is távol található a többi másolattól, és nem csatlakozik az internethez. Ez a módszer gyors visszaállítást tesz lehetővé különféle adatvesztési problémák esetén, beleértve a kibertámadást, a hardverhibát, a véletlen törlést vagy a természeti katasztrófákat. Érdemes a maximális biztonság érdekében időről időre ellenőrizni, hogy a mentések valóban működnek és visszaállíthatók – szól a szakértői intelem.

Minderre azért van szükség, mert a zsarolóvírusok ellen csak több, egymástól független biztonsági réteg nyújt hatékony védelmet. A támadók gyakran túszul ejtik a hálózatra csatlakozó biztonsági másolatokat, így ha csupán egy mentés áll rendelkezésre, az is veszélybe kerülhet. Az offline, fizikailag elkülönített tárolón található adatokhoz viszont jellemzően nem férnek hozzá. Igaz, ez már költségesebb műfaj, de a Kingston cég szerint a 3-2-1-es mentési stratégia bevezetése nem pusztán technikai óvintézkedés, hanem üzleti szempontból is racionális döntés, ami megtérül. A rendszeresen frissített, több szinten tárolt biztonsági másolatok minimálisra csökkentik az adatvesztés esélyét, miközben lehetővé teszik a gyors helyreállítást váratlan események után. Az ilyen megoldás költsége eltörpül a sikeres zsarolóvírus-támadás következményei mellett, ahol akár milliós váltságdíjakról vagy többnapos leállásról is szó lehet, no és a márka megítélésének sem tesz jót, ha ügyfelei úgy érzik, a cég sem az ő, sem a saját adataira nem vigyáz elég gondosan.