Business

32_www.rh.gatech.edu.jpg
Forrás: ITB
Véletlenül felfedezett bűnügyek

Vállalatok kiberveszélyben

Kiemelten foglakozik a kiberbűnözéssel a PwC egy friss tanulmánya, nem véletlenül, hiszen a második leggyakoribb, cégeket érintő gazdasági bűncselekménnyé nőtte ki magát. Az IDC adatai szerint is nőtt az informatikai rendszerek veszélyeztetettsége tavaly. A támadás ellen a legjobb védekezés a megelőzés, amelyre egyre több eszköz létezik.

Az elmúlt két évben a vállalatok több mint egyharmada szenvedett el valamilyen gazdasági bűncselekményt – derül ki a PwC 2016-os Global Economic Crime Survey című tanulmányából. A felmérésben több mint 6000 cég adatait dolgozták fel. A gazdasági bűnözési esetek száma idén csökkent először a 2008-2009-es globális pénzügyi krízis kitörése óta, még ha csak a statisztikai hibahatáron belül mozgó 1 százalékkal.

 

Csökkent a felderítés hatékonysága

A kutatók következtetése szerint első pillantásra a bűnesetek csökkenése a vállalatok megelőző intézkedéseinek köszönhető. Ám egy mélyebb elemzés azt tárta fel, hogy a kis csökkenés egy aggasztó trendet takar: a gazdasági bűnözés szembetűnően megváltozott, amivel a felderítő és ellenőrző eszközök nem tartanak lépést. A csalási esetek pénzügyi vonzata egyre magasabb. Ennek ellenére a cégek nemhogy több hangsúlyt helyeznének a hasonló helyzetek megelőzésére, hanem kevesebbet: a korábbi felméréshez képest 7 százalékkal csökkent a vállalati eszközökkel történő felderítések száma. Sőt, a cégek egyötöde (22 százaléka) az elmúlt két évben egyetlen csalási kockázatelemzést sem futtatott le.

Így nem meglepő, hogy (a PwC szerint) minden tizedik gazdasági bűnügyet csak véletlenül fedeznek fel. A tanulmány azt is kimutatta, hogy a cégek nem bíznak a helyi bűnüldöző szervekben – sehol a világon, gazdasági fejlettségtől függetlenül. A gazdasági bűnügyek megelőzése, a hasonló esetek elleni védekezés és ezekre adott válasz exkluzívan az érintett vállalatok feladata marad.

A fenyegetések öt jellemző forrása

– Nemzetállamok: céljuk a kémkedés és a kiberhadviselés, célpontok kormányzati szervek, infrastruktúra, energia és szellemi tulajdonban gazdag cégek

– Belsősök: nemcsak az alkalmazottak köréből kerülhetnek ki, hanem közvetlen ellenőrzés alatt nem lévő, közeli, megbízhatónak vélt partnerek

– Terroristák (ez egy friss kategória): céljuk a kiberhadviselés, célpontjaik a kormányzati szervek, infrastruktúra, energia

– Szervezett bűnözőcsoportok: céljuk anyagi haszonszerzés pénzügyi és személyes adatok ellopásával, célpontjaik pénzügyi szervek, kereskedők, kórházak és vendéglátóipari egységek

– Hacktivisták: céljuk egyes szolgáltatások szüneteltetése, presztízsveszteség okozása; a célpontok kiemelt szervezetek, cégek, kormányzati szervek

 

Majdnem élen a kiberbűnözés

Ami a cégeket érintő bűnügyi kategóriákat illeti, a hagyományosan vezető bűncselekmények – hűtlen kezelés, vesztegetés és korrupció, beszerzési és könyvelési csalás – esetében a tanulmány csökkenő tendenciát állapított meg a 2014-es adatokhoz képest. Azonban egy bűnügyi kategória esetében a növekedés állandó, és oly mértékű, hogy a második leggyakoribb gazdasági bűncselekménnyé nőtte ki magát a cégek esetében 32 százalékos előfordulási rátával: ez a kiberbűnözés. (Az első helyen makacsul tartja magát a hűtlen kezelés, a cégek 64 százaléka találkozott hasonló esettel.)

A tanulmány azt is megvizsgálta, hogy mely iparágakban tevékenykedő cégek vannak a legjobban kitéve a gazdasági bűnözésnek. Ezen a listán a technológiai cégek jól szerepelnek, hiszen a 20 százalékos kitettséggel az utolsó előtti helyre szorultak vissza. A pénzügyi szolgáltatásokat kínáló vállalkozások vannak a legnagyobb veszélyben 48 százalékos kitettséggel, őket az állami szervek és a kereskedelem követi.

A csalás pénzügyi következményei kemények, a vállalatok negyede 100 ezer és 1 millió dollár (27–274 millió forint) közötti veszteségről számolt be, a megkérdezettek 14 százaléka több mint 1 millió dollárnyi kárt szenvedett el, és 1 százalékuk (többnyire Észak-Amerikából és a Csendes-óceán térségből) 100 millió dollárnál magasabb veszteséget könyvelt el (27 milliárd forint).

A gazdasági bűnözés igazi költségét nehezen lehet megbecsülni, hiszen maga a pénzügyi kár a veszteség kisebb részét teszi ki. A járulékos veszteség például az, hogy az üzletmenet szünetelt, a hatóságok megbírságolták a cégeket, stb. Hosszú távon az adott vállalat megbízhatósága, hírneve szenvedi a legnagyobb csorbát.

 

Elterelő hadműveletek

A PwC jelentése kiemelten foglalkozik a kiberbűnözéssel. Ez az a kategória, melynek gyakorisága nőtt az elmúlt években, a várakozások szerint a tendencia tovább folytatódik. A cégek 34 százaléka tart attól, hogy két éven belül kibertámadás célpontja lesz. De a vállalatoknak szintén csak alig több mint harmadának (37 százalékának) van kibertámadási terve, vagyis olyan forgatókönyve, amely leírná, mi a teendő ilyenkor.

Azok a vállalatok (56 százalék) sem dőlhetnek nyugodtan hátra, amelyeket eddig nem ért támadás: egy részük csupán még nem fedezte fel az incidenst. A hekkerek csendben megbújnak a vállalat rendszerében, sok idő eltelhet, mire felfedezik őket.

Új igények, új technológiák, új veszélyek

Átalakulóban van a HR világa, és ennek IT-biztonsági következményei is vannak – derült ki Lovas Zoltán, a NEXON termékfejlesztési és szolgáltatási ágazati igazgatójának előadásából. Az üzleti döntéseket ma már HR-szempontokból is alá kell tudni támasztani, és a HR-nek villámgyorsan kell naprakész adatokat szolgáltatnia a menedzsmentnek. Ehhez már új technológiák is járnak: megjelentek a webes és mobil felülettel ellátott, önkiszolgáló HR-rendszerek, amelyekhez már minden munkavállaló hozzáférhet.

Mindez új követelményeket támaszt a HR-rendszerekkel szemben is. Rendkívül fontos a jogosultsági szintek megfelelő beállítása és ellenőrzése. A NEXON saját megoldását, a NEXON Portot például úgy alakították ki, hogy a dolgozók ugyan átírhatják személyes adataikat (lakcím, bankszámlaszám), de azokat egy HR-adminisztrátornak kell jóváhagynia, az igazolás ellenőrzése után. Szintén nagy veszélyt jelenthetnek a mobil eszközök; a kockázatot azzal csökkentik, hogy mobilról csak megtekinteni lehet az adatokat, módosítani nem. Mivel fokozottan bizalmas adatokkal dolgozik a HR, titkosítani kell az adatbázist és a kommunikációt is. „Folyamatosan naplózzuk az adatbázishoz való hozzáféréseket, a módosításokat, és ezek alapján bármelyik korábbi állapotra vissza lehet állni” – említ egy további biztonsági funkciót Lovas Zoltán. De a biztonságra már az alapoktól odafigyelnek: a fejlesztés is olyan módszerekkel történik, hogy ne lehessen visszafejteni a kódot.

 

A kiberbűnözők szeretik az elterelő hadműveleteket is: egy kevésbé fontos rendszert támadnak meg, például DDoS támadással tesznek elérhetetlenné egy hangsúlytalan vállalati weboldalt. Miközben a vállalat az erőforrásait e támadás elhárítására összpontosítja, az igazán súlyos bűncselekmény a háttérben, rejtve folyik.

A kiberbűnözés szó kapcsán a bankkártya-adatokat ellopó bűnözők jutnak legtöbbször az eszünkbe. A címlapokat ezek a támadások foglalják el, de a nem pénzügyi vállalatok számára nem jelentenek igazi veszélyt. Ezek a szellemi tulajdonukat félthetik leginkább, amikor termékadatok, kereskedelmi titkok, sőt, tárgyalási stratégiák kerülnek illetéktelenek kezébe – ami a vállalat teljes csődjét is jelenti.

 

Továbbra is reaktív módban

Nem csökkent az informatikai rendszerek veszélyeztetettsége 2015-ben – mondta a témáról nemrégiben rendezett konferencián Bakk József, az IDC elemzője. Tavaly 700-800 olyan támadást, adatlopást regisztráltak a világon, amelyben több tízmillió adatrekord volt érintett. Ezek után aligha véletlen, hogy a végfelhasználói informatikai prioritások listáján továbbra is a biztonság áll az élen; mi több, egyedül ennek nőtt a fontossága az IDC által megkérdezettek körében.

Az informatikai biztonság felértékelődése nem hagyta érintetlenül az ezért felelős vezető, a CISO (chief information security officer) szerepét és megítélését sem, folytatta Bakk József. Meglepően sokan, a megkérdezettek 88 százaléka, közvetlenül az igazgatóságnak jelent valamilyen szinten. De ezen túlmenően is többet és sűrűbben kommunikálnak a menedzsmenttel, miáltal pozitívabb lett a kapcsolat. Ugyanakkor a szervezeti attitűd nem sokat változott a korábbiakhoz képest. A vállalati biztonságot előmozdító tényezők között továbbra is a külső hatások dominálnak.

A legfontosabbak az előírások, illetve a jogszabályi megfelelés kényszere (compliance), illetve az adatvagyont érintő célzott támadások. „A hozzáállás megmaradt inkább reaktívnak, incidensek által vezéreltnek” – értékelte az eredményeket az IDC elemzője. „A jelek szerint még mindig szükség van valamilyen helyi »aha«-élményre, hogy komolyabban vegyék a veszélyeket.”

Az online világháború

A világban zajló IT-biztonsági folyamatok közül az egyik legnagyobb hatású, hogy gyakorlatilag már folyik a harmadik, ezúttal a kibertérben vívott világháború – mondja Nemes Dániel, a biztributor elnöke. A kiberkémkedés – legyen szó ipari kémkedésről vagy nemzetállamok közöttiről – mára ipari méreteket öltöt.

A fejlett, hosszú időn át tartó támadásokat (APT-ket) az áldozatok sokszor nem is észlelik: átlagosan 200 nap telik el a fertőzés (és az adatlopás kezdete), valamint a detektálás között. Ez is azt bizonyítja, hogy a hagyományos védelmi megoldások (vírusirtók, tűzfalak, IPS-ek) nem elegendőek az ilyen támadások kivédésére – hangsúlyozza Nemes Dániel.

„Pusztán a gépekre hagyatkozva már nem védekezhetünk. Teljes ökoszisztémát kell kialakítani, amelyben szorosan együttműködnek az informatikai és az üzleti területek. Szükség van olyan, az APT-kre szakosodott szakértőkre is, akik nem csak megállítani tudnak egy fejlett támadást, hanem képesek felmérni a teljes kárt, majd végrehajtani a romeltakarítást, ami egy több ezer gépből álló, folyamatosan működő rendszer esetében nem triviális feladat” – teszi hozzá.

Van megoldás

Pedig akadnak olyan módszerek, amelyekkel jó előre fel lehet készülni a veszélyekre. Hirsch Gábor, a Fortinet értékesítési menedzsere a nemrégiben kidolgozott Cyber Threat Assessment Programról (CTAP-ról) mesélt: a program a hálózatok biztonságát és teljesítményét méri fel és értékeli. A CTAP megvizsgálja az ügyfél hálózatában észlelhető sérülékenységeket, figyeli az esetleges támadásokat, a kártevők vagy botnetek tevékenységére utaló jeleket, és ez alapján rangsorolja a kockázatokat. Egy másik nagy területe a vizsgálatnak a hálózati forgalom felmérése. Ezt az alkalmazások szintjén teszi meg; ez alapján nem csak azt tudja megmondani, hogy a forgalom mekkora hányadát teszik ki a Youtube-videók és a Facebook, hanem azt is, hogy az utóbbinál csak olvasták a posztokat, játszottak vagy lájkoltak a felhasználók.

Ezekből az információkból számos következtetést lehet levonni. A hálózati forgalom nagysága, időbeli eloszlása és jellege alapján mód nyílik a rendszer finomhangolására vagy a biztonsági rendszerek pontos méretezésére. De kiderülhet belőle, hogy a felhasználók nem tartják be a közösségi média használatára vonatkozó előírásokat, ez pedig kiskapukat nyithat meg informatikai támadások előtt. „Ma már nem kérdés, hogy minden szervezet erősen kitett az internetről jövő támadásoknak. A CTAP abban segít, hogy világos képet kaphassunk hálózatunk aktuális állapotáról, hiszen csak azt tudjuk kontrollálni és megvédeni, amiről tudomásunk van” – foglalja össze a tanulságot Hirsch Gábor.

A hatékony védekezés már az alkalmazások biztonságos fejlesztésénél kezdődik – hangsúlyozta Stu Hirst, a Skyscanner utazási keresőszolgáltató IT-biztonsági vezetője. Az immár több mint 800 főt foglalkoztató internetes vállalkozásnak két éve még csak egy IT-biztonsági szakértője volt, ám azóta nagyot fejlődtek ezen a téren.

A biztonságos fejlesztés mellett ezt számos más intézkedéssel érték el. Mindennemű bejelentkezésnél kétfaktoros azonosítást használnak; meghatározták a minimális biztonsági követelményeket a felhasználói adatok kezelésénél; védik a végpontokat (Windowst és Macet egyaránt); és az újonnan belépő fejlesztőknek külön fejtágítást tartanak. Egy alkalommal elhitették a dolgozókkal, hogy sikeresen meghekkelték a céget – az első ijedtség elmúlása óta sokkal biztonságtudatosabbak a munkatársak.

Hirstnek néhány jó tanácsa is volt a hallgatóság számára. Arra fókuszáljunk, amit meg tudunk tenni, ne arra, amit szeretnénk megtenni; azonosítsuk a „koronaékszereket”, és azokat védjük; és végül ne a biztonsági statisztikákat akarjuk javítani, hanem azonosítsuk a tényleges támadási mintázatokat, és azok ellen védekezzünk.