Hirdetés
Hirdetés
Hirdetés

Hírek | IT biztonság

2017. június 12. 14:46

Néhány év, és eltűnik a mai cégek 70 százaléka

Miközben hivatalosan béke van, a világ vezető országai ebben a percben is hackertámadások ezreit indítják egymás ellen - afelől pedig ne legyen kétségünk, hogy ha egy szigorúan őrzött atomerőmű rendszereit tönkre tudják tenni, akkor a mi céges rendszereink sincsenek biztonságban. Bár nincsen száz százalékos védelem az informatikai fenyegetések ellen, nagyon nem mindegy, milyen esélyekkel szállunk harcba. Vajon tényleg mindig a felhasználók a hülyék?

A Privátbankár.hu május 30-án vállalati IT biztonsági meetupot szervezett, amelyen a terület legfontosabb aktuális kérdéseire és megoldásaira világítottak rá a téma elismert szakértőinek segítségével. Cikkünk a meetupot záró panelbeszélgetés alapján készült. A beszélgetés résztvevői:Hargitai László tanácsadó, Informatikai Kockázatkezelési Tanácsadás, KPMGCsizmazia-Darab István IT biztonsági szakértő, Sicontact Kft.Gáspár András főszerkesztő, Privátbankár.huProf. Dr. Kovács László ezredes egyetemi tanár - Nemzeti Közszolgálati EgyetemFrész Ferenc CEO, Cyber ServicesKirály István vállalati szolgáltatásokért felelős vezérigazgató-helyettes, Vodafone Magyarország

Már az is rengeteget számít, ha tudjuk, hogy fertőzött a rendszerünk (jó eséllyel egyébként tényleg az)

A magyar vállalatok viszonylag keveset foglalkoznak az informatikai biztonsággal: jellemzően beérik azokkal a szolgáltatásokkal, amelyeket a távközlési szolgáltatók biztosítanak számukra. Jellemző, hogy publikus internetkapcsolatot használnak, érdemi biztonsági eszközök alkalmazása nélkül. Különösen a mobiltelefonok védelmére jut kevés figyelem, így a rajtuk futó alkalmazásokat a vállalati környezetben is akadály és különösebb figyelem nélkül használják a felhasználók - ez pedig igen komoly veszélyforrást jelent Király István szerint.

Illúzióink ne legyenek: a belső hálózatok 100 százaléka kompromittálható, ez nagyjából 5-15 napot vesz igénybe egy szakember számára, persze adott esetben ennél rövidebb idő is elég lehet ehhez. Ha a külső kitettséget nézzük, akkor még ennél is sokkal rosszabb a helyzet: Frész Ferenc szerint a webes alkalmazásaink 60 százaléka feltörhető.

A meetup előtti napokban kiadott nyilvános statisztikák szerint 650 millió egyedi kártékony kód volt ismert, és minden egyes nap 390 ezer új rosszindulatú kód jelenik meg a világban. A felmérések szerint a vállalati rendszerekbe bejutó kártékony kód átlagosan 60-100 napig marad észrevétlen. Ezek persze elképesztő számok - miközben azonban komoly esély van rá, hogy egy cég rendszereiben valamilyen kártékony szoftver már megtalálható, azok a vállalatok, akik ennek tudatában vannak, komoly előnyben lehetnek. Könnyen lehet, hogy a malware kiirtása a rendszerekből akár heteket, hónapokat is igénybe vehet, de ezalatt az időszak alatt sokkal nagyobb mozgástere van a vállalatnak a helyzet megoldására.

Hargitai László azt az esetet említette példaként, amikor valamelyik titkosszolgálat megbénította az ukrán energiaszolgáltatót egy, a rendszerben már évek óta lappangó malware aktiválásával.

Amikor Észtország rendszereit 2007-ben támadás érte, akkor Észtország már NATO-tagállam volt - ha ezt háborús támadásnak tekintették volna, erre a katonai szövetségnek köteles lett volna választ adnia. Egy válaszcsapásnál azonban nagy kérdés, hogy ki lenne a célpont? Ha egy elfogott kártékony kódban cirillbetűs szöveget találunk, akkor biztosan az oroszok voltak, vagy valakik az oroszokra akarják terelni a figyelmet? Észtországot 52 tagállam részéről érte támadás, többek közt Németországból, az Egyesült Államokból vagy éppen Magyarországról.

Hogy lehet, hogy még mindig van villany?
Ma már gyakorlatilag nincs olyan területe a gazdaságnak, az infrastruktúrának, amely ne lenne része a globális informatikai hálózatnak. Ahogy egyre inkább bebizonyosodik, hogy a rendszereink mennyire sérülékenyek, a kiberbűnözők pedig mennyire aktívak ? akár az állami akár a vállalati szektorban -, joggal merül fel a kérdés: hogy lehet, hogy a jelszavaink még nincsenek publikálva (már ha nincsenek), oldalaink nincsenek feltörve (már ha nincsenek), adataink nincsenek illetéktelen kezekben (már ha nincsenek) ? egyáltalán, hogy lehet, hogy van még mondjuk áram az országban (bármelyik országban)?

A kérdés nem csak a sci-fikben merül fel: a Nemzeti Közszolgálati Egyetem szakérői lemodellezték, lehetséges lenne-e egy ilyen támadás és hogyan lehet védekezni ellene. Ami biztos: a létfontosságú rendszerek biztosítása nemzetközi együttműködés nélkül lehetetlen.

Frész Ferenc szerint egyszerűen azért van még áram, mert a rendszer hibatűrő. A vírustámadások, az IT-rendszereket blokkoló támadások vagy éppen zsarolóvírusok a nagy tömegben meglévő végpontokat érintik, nem pedig magát az infrastruktúrát éri célzott támadás ? az így kieső eszközök nélkül maga a hálózat még működőképes marad. Ezért tudunk nyugodtan használni egy olyan globális informatikai rendszert, amit totálisan elárasztottak a vírusok, de mégis működőképes maradt. Ha a rendszer 85 százaléka kiesik, a hálózat még ugyanúgy megmarad ? ha viszont célzott támadások következtében a központok 5 százaléka leállna, az egész globális rendszer összeomlana.
Mindig a felhasználó a hülye?

A gyakorlati tapasztalatok szerint az informatikai rendszerek legnagyobb biztonsági rését az emberi felhasználók jelentik. Korábbi felmérések szerint a vállalati felhasználók 16 százaléka sohasem változtatja meg a jelszavát, még akkor sem, ha erre figyelmeztetik. Miközben az IT-szektorban jelentős a fluktuáció, gyakran váltanak munkahelyet a szakemberek, távozásukat nem követi a hozzáférések megvonása: 25 százalékuk még mindig hozzáfér régi jelszavával korábbi rendszereihez, sőt: 16 százalékuknak az összes korábbi munkahelyéhez van még élő hozzáférése. Az elbocsátott dolgozók 14 százaléka pedig mindössze 100 fontért simán eladná korábbi céges jelszavait, ha valaki érdeklődne nála. Egy vezető beosztású személyek körében végzett felmérés pedig arra jutott: a főnökök nagyjából fele adathalász-levelek kártékony kódjaira kattintott, családtagjainak engedte át eszközeit, fertőzött adattárolót csatlakoztatott céges eszközéhez.

Bár könnyen lehülyézhetjük a felhasználókat, joggal merülhet fel az a kérdés is: mi lenne, ha a gyártók biztonságos szoftvereket, hardvereket adnának az egyébként informatikai képzettséggel nem rendelkező felhasználóknak?
Ezzel együtt persze a vállalati IT-biztonság megteremtésének első lépése az, hogy fejben fel kell készülni, ki kell alakítani a megfelelő szemléletmódot ? tudni kell, mik az igazán fontos, a cég tevékenységét alapvetően meghatározó adatok, amelyeket mindenáron meg kell védeni. Ez nem csak a nagyvállalatokra igaz, sőt: ha egy utazási iroda ügyfél-adatbázisa rossz kezekbe kerül, ha valaki illetéktelenül hozzáfér a rendszerhez, adatokat lop vagy töröl, az egyik pillanatról a másikra egy prosperáló vállalkozás végét jelentheti.

Hogyan lehetne rávenni a cégeket az informatikai védekezésre?
Az egyik erős motiváló tényező a pénz, pontosabban az elszenvedett veszteség.  2016-ban a vállalatok 29 százalékánál volt bevételcsökkenés világszerte a kibertámadások miatt, amelynek mértéke a vállalatok 38 százalékánál meghaladta a 20 százalékot. Kiberfenyegetés miatt a cégek 22 százaléka vesztett ügyfeleket, 40 százalékuk pedig korábbi ügyfeleinek több mint ötödét vesztette el. Az eső után jött is a köpönyeg: a támadások után a vállalatok 90 százaléka jelentősen fejlesztette védekezési folyamatait.
Itt azonban külön kell választani a reálszférát a közigazgatástól, mert a károk egészen más formában jelentkeznek: amíg egy piaci vállalat pénzben is jól számszerűsítheti egy IT-biztonsági esemény miatt keletkező kárát, az ügyfélvesztés mértékét, a közigazgatásban ez sokkal nehezebben fejezhető ki pénzben. Pedig ha a régió információbiztonsági helyzetét akarjuk felmérni, ezt a szektort sem szabad figyelmen kívül hagyni ? vagy azt, milyen elképesztő körülmények fordulhatnak elő a vidéki Magyarországon.

A másik erős IT-biztonsági motivátor a pénz mellett a törvény: a nemzetközi szabványokhoz, ajánlásokhoz kapcsolódva megalkotott törvényi szabályozást a cégek be fogják tartani ? jó példa erre az uniós adatvédelmi szabályok egy év múlva esedékes változtatása, ami a ma is érvényben lévő hazai szabályozáshoz képest ugyan nem tűnik óriási szigorításnak, a büntetési tételek azonban olyan mértékben megemelkednek, hogy már nem lehet egyszerűen betervezni az éves költségek közé a bírságot, hanem valóban be is kell majd tartaniuk a cégeknek a szabályozást.

Ahol komolyan foglalkoznak az IT-biztonsággal, ott jellemzően azért teszik, mert valamilyen belső céges előírás, compliance ezt előírja ? mindegy, hogy a veszteségek elkerülése vagy a jogszabályok betartása miatt is született meg a belső előírás. Természetesen bizonyos tevékenységek önmagukban is megkövetelik a legszigorúbb biztonsági rendszerek alkalmazását ? ilyen a bankszektor vagy a telekommunikációs cégek piaca.

4 éven belül eltűnik a ma ismert cégek 70 százaléka

Pedig nem csak technológiai értelemben vett sérülékenységről vagy a felhasználók felkészültségéről kell beszélni, hanem arról, hogy a globalizációhoz nagyon hasonló, ám annál még gyorsabban lezajló folyamat, a digitalizáció hogyan rendezi át a világot: aki ehhez nem tud alkalmazkodni, az leszakad, tönkremegy. Frész Ferenc egyenesen arról beszél, hogy a vállalatok 70 százaléka a jelenlegi formájában 3-4 év múlva már nem fog létezni. A mostani CEO-k, felsővezetők harmada egyszerűen el fog tűnni: azok, akik nem hajlandóak megérteni, mi történik, nem hajlandóak oktatásba fektetni.

Az viszont igaz, hogy a nagyszabású informatikai támadások egyre nagyobb nyilvánosságot kapnak, és egyre inkább eljutnak a vállalatvezetőkhöz, akik között egyre több a fiatal, az informatikával sokkal inkább barátságban lévő szakemberek aránya. Emellett az informatikai védelemre sokkal szívesebben költenek azok, akik már közelről láttak olyat, hogy egy céget megbénít egy támadás.

Ilyenre pedig volt példa a közelmúltban is: a WannaCry zsarolóvírus megmutatta, milyen az, ha az informatikai rendszerek megbénítása a kőkorszakba küld vissza egy szervezetet ? még ha ez a kőkorszak egyébként helyenként nagyon is hasonlít a magyar valóságra.

Miért vett írógépeket az orosz kormány az elmúlt években?

A meetup egyik érdekes felvetése az volt: miközben az informatikai védelmet tervezzük, érdemes azt az opciót is figyelembe venni, hogy egy adott adatbázist olyan számítógépen helyezünk el, ami egyáltalán nincs hálózatba kötve. Ha tudom, hogy vannak olyan létfontosságú adataim, amelyek nélkül nem működhetne tovább a cégem, ezek jelentik a legnagyobb kincseimet, talán nem muszáj húszféleképpen rákötni az internetre. Ez persze nem minden esetben járható út és adott esetben sok kényelmetlenséggel is járhat, de ha vállalhatatlan kockázatot jelentene az adat elvesztése vagy napvilágra kerülése, ezt az utat is mérlegelni kell.

Honnan tudhatják meg a dolgozók, mi fán terem a biztonság?

Amiben mindenki egyetért: információbiztonsági szempontból a felhasználók képzése kulcsfontosságú. A szemléletmód alakítását sosem késő elkezdeni, de még inkább igaz, hogy nem lehet elég korán elkezdeni. Ebből a szempontból viszont nem állunk túl fényesen. Bár vannak kivételek, speciálisan az informatikai tudásra koncentráló intézmények, alapvetően a hazai informatikai oktatás helyzete a köznevelésben igencsak elkeserítő. A gyerekek már óvodáskorban szembesülnek minden olyan problémával, ami egy üzemeltetőnél jelentkezhet, a biztonságról azonban semmilyen ismereteik sincsenek.

Pedig nem csak azért lenne fontos az oktatás, hogy a gyermekeink biztonságban legyenek az interneten, a közösségi oldalakon (még ha ez persze alapvető fontosságú is), hanem azért is, hogy értékes szereplői legyenek a munkaerőpiacnak.

Lehetőség egyébként lenne a felnőttkori tanulásra: az "IT-biztonság kezdőknek" típusú kurzusoktól a masszív kiberbiztonsági képzésekig számos helyre elküldhetik a vállalatvezetők a dolgozókat - ehhez viszont az kell, hogy a vállalatvezető felismerje ennek fontosságát. Sokszor egyébként hiába ismerik fel a téma jelentőségét a cégvezetők, hamis biztonságérzetbe ringatják magukat: rábízzák a fejlesztőkre, szoftvergyártókra, felhőszolgáltatókra magukat, azt hiszik, ezzel el is végezték a kötelező feladatokat.

Az oktatás mellett ráadásul nagyon fontos a megszerzett tudás gyakorlati alkalmazásának kérdésköre: erre újabban szimulációkat alkalmazhatnak a cégek, amelyeken például kiderülhet, hogy megvan-e minden részfeladat felelőse, egy informatikai vészhelyzet esetén mindenki tudja-e, mi a feladata.

A vezetőknek emellett abban is van felelőssége, hogy felismerjék: a változó világ változó informatikai kihívásokkal jár, és a vállalati szervezetet is ehhez kell igazítani - a vagyon üzemeltetése és a vagyon védelme két külön feladat.

Persze ha egy vállalathoz a munkavállaló a megfelelő alapok, a biztonság iránti alapvető igény nélkül kerül, akkor már hiába mutogatunk az oktatási rendszer hiányosságaira, informatikai rendszereink ettől még nem lesznek védettebbek. Ugyanakkor érdemes arra figyelni, hogy kik azok a szenior dolgozók a cégnél, akik az újakat betanítják, akikhez a kollégák segítségért fordulnak, ha informatikai kérdésekről van szó. Ha ők maguk biztonságosan dolgoznak, akkor a szervezet többi tagja nagyobb biztonsággal sajátítja el a biztonságos munkavégzést.

Forrás: Privátbankár

Hírlevél

Ha érdeklik a legfrissebb újdonságok, iratkozzon fel díjmentes hírlevelünkre!

Hozzászólások

A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a SecuriFocus Kft. nem vállal felelősséget, azokat nem ellenőrzi. Kifogás esetén forduljon a szerkesztőségünkhöz.
Ehhez a hírhez még nem érkezett hozzászólás.

Hozzászóláshoz jelentkezzen be vagy regisztráljon!

Cikkek hasonló témában