Kibervédelem: Gondolja végig, mennyit érnek Önnek az adatai, majd ennek századrészéért tartsa meg azokat!

kibervédelem

Jószerével szinte már nem is létezik olyan intézmény, szervezet Magyarországon, amely nevében különféle bűnöző csoportok ne követtek volna el csalásokat. Ezeknek általában magánemberek a kárvallottjai, de a kibertámadásokkal szemben a cégek is védtelenek – megfelelő megelőző intézkedések nélkül. A kibervédelem aktuális kihívásairól és meglepő módon a házon belüli veszélyforrásokról dr. Munkácsi Viktorral, a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet munkatársával beszélgettünk.

Kis túlzással mondhatjuk azt, hogy iparággá nőtte ki magát ez a bűncselekménytípus?

Igen. Meglehetősen jövedelmező ez a tevékenység és még megbecsülni sem tudjuk, hogy mennyi pénz mozoghat ebben a szektorban. Bár fontos tisztába tennünk, hogy nem minden adatvesztés kibervédelmi eset, van, ami a büntetőjog és csalás kategóriájába esik. Ide értjük azokat a helyzeteket, amikor nem a rendszer sérülékenységét, hanem annak legsebezhetőbb pontját, az embert használják ki. 

Mi a különbség aközött, hogy valaki egy adathalász oldallal csalja ki a jóhiszeműek szenzitív adatait vagy hogy a vállalat biztonsági kamerájának felvételei kerülnek rossz kezekbe?

Mind a kettő bűncselekmény, Amennyiben valaki önként, szóban vagy telefonon adta át az adatait a csalónak, majd ezekkel az adatokkal visszaélés történt, abban esetben a rendőrséghez érdemes fordulni. A bejelentést már ügyfélkapun is megtehetjük.

Nem annyira az adatok típusa, sokkal inkább az adatszerzés technikai megoldása szerint tehetünk különbséget az esetek között. A telefonos csalásoknak nincs kibervédelmi vonzata. A csaló (szaknyelven phishing) weboldalaknál – ahol az eredeti, jól ismert weboldalhoz megszólalásig hasonló áloldal próbálja kicsalni az adatokat – van az NKI-nek jogosultsága a beavatkozásra.
A példában említett biztonsági kamerás eset – ahol illetéktelenek úgy jutnak bizalmas adatokhoz, hogy feltörik a rendszert – már a kibervédelem hatáskörébe tartozik, mivel a kamera az információs rendszer része. Sok esetben azonban nem is kell feltörni a kamerarendszereket, mert némelyik típusnál nem szükséges túl nagy szaktudás ahhoz, hogy a gyári beállításokkal hozzájuthassanak a közvetített adatokhoz. Ez olyannyira elterjedt módszer, hogy tudunk olyan weboldalakról, amelyek gyűjtik az interneten elérhető, védelem nélküli kamerák képeit. 

A magánemberek vagy a cégek vannak nagyobb veszélynek kitéve?

A kibertérben mindenki egyenlő, itt teljes demokrácia van. A támadásokat ugyanis robotok végzik és azok nem foglalkoznak azzal, hogy kis vagy nagy céget, netán egy privát felhasználó hálózatát támadják-e meg. A különbség a károkozás mértékében van. Nyilván egy civil felhasználót is érzékenyen érint a személyes adatainak eltűnése és számára értelemszerűen ez sokat jelent.

Ugyanez a vállalkozói szférában annyival bonyolultabb, hogy ott a konkrét anyagi veszteségen túl az üzleti életben forintosítható reputációs károkkal is számolni lehet. 

Nem az a kérdés tehát, hogy valakit ér-e egyáltalán kibertámadás, hanem az, hogy mikor. Aki jelen van az online térben, az potenciális veszélyeztetett. Innen nézve tehát az a lényeg, hogy az attack milyen állapotban találja meg rendszerünket, milyen szintű támadásra kell felkészülni és milyen volumenű védelemmel rendelkezünk.

Hogy ez mennyire napi probléma, azt jól szemlélteti, hogy pórul járt cégvezetők hetente keresnek meg bennünket és ajánlanak fel igen komoly pénzeket, ha a ransomware által ellopott adataikat visszaszerezzük. Bármennyire is szeretnénk nekik segíteni, erre sajnos jogkörünknél fogva nincs lehetőségünk, csak tanácsadással enyhíthetünk bajukon.

Akkor cégvezetőként marad a kéztördelés?

Azt szoktam javasolni a cégtulajdonosoknak, hogy gondolják át, mennyit lennének hajlandóak fizetni a “rosszfiúknak”, ha azok elérhetetlenné tennék az adataikat. Adják össze a “váltságdíj”, a kényszerű leállás és a jó hírnév csorbulásával járó veszteség összegét, majd ennek századrészét fordítsák kibervédelemre. Ennyi pénzből már radikálisan csökkenthető a támadások kockázata.

Mit javasol, ha már megtörtént a baj? 

Bűncselekmény esetén tegyünk feljelentést a rendőrségen, de akár magánnyomozók segítségét is igénybe vehetjük. A tudatosság mellett azonban legalább ilyen fontos a kibervédelem terén a szolidaritás, azaz a csaló oldalak jelentése. 

Ne legyenek illúzióink, ma már egyre profibb módszerekkel dolgoznak a bűnözők, egyre kifinomultabb fake oldalakkal találkozhatunk. Egy Z generációs fiatalnak valószínűleg hamarabb feltűnik, hogy valami nem stimmel az oldal URL-jével, de nem biztos, hogy az eredeti webcímtől való aprócska eltérés mindenki számára azonnal szemet szúr.

Tapasztalataink szerint a baj megtörténte után a legtöbben hajlamosak a lapításra. Szégyelljük, hogy rászedtek bennünket, így igyekszünk agyonhallgatni a kiberbiztonsági problémát. Egy ideig működik is a módszer, de adataink hamarosan megjelennek a dark weben. Azaz: minél hamarabb értesítjük az érintetteket, annál több eszközünk és időnk van a hiba korrigálására. 

Mit tanácsol: fizessünk vagy ne fizessünk a csalóknak?

A bűncselekmény forgatókönyve a következő: egy ransomware támadás után az elkövetők egy szabad szemmel is jól látható összegért adnak hozzáférést a megszerzett adatainkhoz. Miután fizetünk, azt hihetnénk, hogy a dolog mindenki megelégedettségére itt lezárul. De nem… A történet néhány nap múlva folytatódik, amikor a zsarolók bejelentkeznek a “második részletért”, hogy a korábban megszerzett adatokat ne szivárogtassák ki. Talán ebből is látható, hogy nem éri meg fizetni.
Az adatok titkosítása ellen lehet védekezni úgynevezett backup-okkal (biztonsági mentések), de ez sem nyújt teljes körű kibervédelmet. Egy időben Nyugat-Európában létezett az adatvagyonra köthető biztosítás. A kezdeményezést azonban az emberi haszonlesés hekkelte meg, ugyanis a cégtulajdonosok kiszámolták: kevesebbe kerül a biztosítás, mint a folyamatos kibervédelem. 
Igaz, vannak már olyan kezdeményezések, ahol a biztosítás feltétele, hogy valamilyen adatvédelmi auditon vegyen részt a biztosított vállalkozás. Ezzel a módszerrel – vagyis megint csak a megelőzéssel – a támadások száma és volumene is jócskán lecsökkenthető. 

Ennyire drága dolog a kibervédelem?

A szolgáltatások áráról nem tudok nyilatkozni, de abban biztos vagyok, hogy sokkal olcsóbb, mint egy támadás után helyreállítani a rendszert. A robotok elől nem tudunk elbújni, előbb-utóbb úgyis ránk találnak. 

Mennyire ad védelmet e téren az ISO 27001?

Annak ellenére, hogy mi, itt a Nemzetbiztonsági Szakszolgálatnál nem az ISO 27001-et, hanem egy másik szabvány: a NIST 800-53-as egy változatát használjuk, az információbiztonsági irányítási rendszert nagyon jónak tartom. Az a cég, amelyik kiépítette és komolyan is veszi ezt, már olyan tudatossági szinten van, hogy nincs szükség külső általános érvényű tanácsokra, az inkább rendszerspecifikus fejlesztést igényelhet.

A kérdés tehát nem az, hogy védett-e az a vállalat, amelyiknél működő ISO 27001 van, hanem hogy az első számú vezető hogyan használja azt

A fentiek megvilágítására hadd hozzam fel példának azt az amerikai bankot, amelyik büszkén hirdette weboldalán, hogy rendelkezik infobiztonsági tanúsítással. A dolog szépségéből egy kicsit azért levon, hogy az audit kizárólag a bank marketing részlegére vonatkozott, pedig gyaníthatóan nem itt tárolták a pénzintézet legtitkosabb adatait.

Említette, hogy időnként házon belül kell a fehérgalléros kiberbiztonsági kockázatot keresnünk. Ezt hogy értette?

Bármilyen meglepő, de egy a vállalat “Achilles pontja” maga a vezető. Ő kétféleképp tehet keresztbe saját cége kibervédelmének. Az első eset, amikor a főnök egyáltalán nem fordít figyelmet a kérdésre (a baj megtörténte után viszont annál inkább!). A második eset megértéséhez viszont egy kicsit el kell mélyednünk a pszichológiában. A magas pozíció ugyanis előbb-utóbb az egó meghízásával, az önértékelés defektjével szokott járni. A kinevezés után nem sokkal az újdonsült igazgató azt érzi, hogy most már aztán mindenhez ért. Például a programok telepítéséhez is. Ezért aztán innentől nem igényli az IT-sek segítségét, hanem – megkérve a lehető legmagasabb szintű jogosultságot, amelyet az informatikusok is kifejezetten csak a rendszer karbantartásához tartanak fenn maguknak –  maga veselkedik neki a feladatnak. 

Az ilyen „leaderek” gyakran a tudást önbizalommal pótolják, ezért jó esély van rá, hogy rendszerükbe éppen ők, az első számú felelősök tessékelik be a támadókat.

A fentiekkel szemben olcsóbb és szakszerűbb megoldás, ha az IT csapatra bízzuk a különféle programok telepítését és úgy általában megbízunk a szakemberek véleményében. Nem utolsó sorban pedig informatikai ambícióinktól függetlenül érdemes és mondanom sem kell: kifizetődő azt a bizonyos századrészt a kibervédelem számára költeni.