Egy magányos hekker az amerikai Nemzetbiztonsági Minisztérium kilencezer alkalmazottjának adatát szerezte meg a Super Bowl alatt, miután meghekkelt egy e-mail-fiókot, aztán új felhasználóként kért és kapott hozzáférést a rendszerhez. A hekker a social engineering (pszichológiai manipuláció) legegyszerűbb módszerével szerzett hozzáférést a drága szoftver- és hardvereszközökkel védett amerikai hivatalok rendszereihez. A támadó először feltört egy e-mail-fiókot, azután simán  betelefonált a hivatalba azzal, hogy új felhasználóként elakadt, és nem tud továbblépni a rendszerben. A megkeresett alkalmazott ekkor megkérdezte, van-e kódja, a nemleges választ követően pedig megadta a sajátját. Innentől kezdve már csak be kellett lépni a rendszerbe, és a már meghekkelt e-mail-fiókon keresztül könnyű volt hozzáférést szerzni egy hálózatra kötött működő géphez, ahonnan belépett az intranetre – derül ki a KPMG sajtóközleményéből.

Ráadásul a támadó azt is állítja, hogy 20 ezer FBI-alkalmazott adatait is megszerezte, és azokat is hamarosan közzéteszi, és úgy tűnik, hogy még egész visszafogottan töltött le adatokat, mert „csak” 200 gigabájtnyi nemzetbiztonsági adatot szedett le, pedig ez lehetett volna 1 terabájt is.

A világ legdrágább védelmi rendszere sem sebezhetetlen, ha az alkalmazottak egyszerűen dilettánsak. Vajon a szolgálatkész munkatárs ugyanilyen kedélyesen adta volna meg a saját bankjától a tokenjére érkező jelszót? Valószínűleg nem: ez pedig azt mutatja, hogy alkalmazottként milyen felelőtlenek tudnak lenni az emberek.

Minden informatikai rendszer annyit ér, amennyit a hozzá kapcsolódó szabályzatból az emberek betartanak. Ehhez folyamatos képzés és az egész intézményrendszer minden szintjét átható fenyegetettségtudat szükséges. A fenti social engineering módszerekkel szemben a legjobb szoftveres és hardveres védelem is kevés, sőt minél drágább és ismertebb a védelmi rendszer, annál könnyelműbbé teheti az alkalmazottakat. Ráadásul olyan ez, mint a kiemelt személyek biztonsági védelme vagy a tűzriadók: ha nem tesztelik olykor a működésüket, egy idő után sokkal támadhatóbb lesz a célszemély, vagy nagyobb az emberveszteség.

AFP / Simon Chavez

A fenyegetettségek hierarchikus kezelése

Egy biztonsági szabály figyelmen kívül hagyása, egy olcsó beszállító bevonása vagy egy belső ellenőrzési jelentés alulértékelése mind gyors üzleti eredménnyel kecsegteti az adott szintű vezetőt, aki ezért nem maradhat ki a kockázatkezelés látóköréből.

Munkavállalók képzése

Az adatvesztések második leggyakoribb oka humán kockázatra vezethető vissza. Néha olyan alap dolgokat is el kell mondani, hogy egy „Password1234” jelszavak, vagy a post-it cédulákra írt és számítógépre kiragasztott jelszavaknak is kockázatot jelentenek. De egy social engineering vizsgálattal is fel lehet tárni a neuralgikus pontokat.

Beszállítók monitorozása

Beszállítók egész sora fér hozzá felhasználói vagy üzletileg érzékeny adatokhoz, ezért vizsgálni kell, hogy azok milyen rendszereket, adatokat és munkafolyamatokat érnek el, és az adott hozzáférés valóban szükséges-e a munkavégzéshez.

Biztonsági szabályok alkalmazása

A legkisebb változtatás kockázatait is mérlegelni kell, és a szabályok alkalmazását minden esetben kockázatarányos módon kell kikényszeríteni.

Sérülékenységek rendszeres ellenőrzése

A rendszeres ellenőrzés a leghatékonyabb módja a külső támadások megakadályozásának. Nem elég azonban egy rendszer gyenge pontjait a bevezetés pillanatában vizsgálni. Minden változás alkalmával érdemes a vele járó kockázatokat előre számba venni, és felkészülni a kezelésükre. A sérülékenységek többsége már a tervezési-fejlesztési szakaszban látszik. Helyes szabályok, rutinok és kockázatelemzés alkalmazásával még a rendszer elkészülte előtt láthatóvá válnak a gyenge pontok.

Ha szeretne további hasznos híreket olvasni, iratkozzon fel hírlevelünkre!