Road

28_1.jpg
Forrás: ITB
Az ellátási lánc törékeny biztonsága

A kkv a leggyengébb láncszem?

A bűnözők ott támadnak, ahol a legkisebb ellenállást tapasztalják. Egy adott gyártási, kereskedelmi folyamat ellátási láncának a leggyengébb láncszemén keresztül (leginkább a kkv-kon át) jutnak be a nagyvállalatok infrastruktúrájába. Védekezni úgy lehet, ha az ellátási lánc összes tagjától megkövetelünk egy alapvető biztonsági szintet.

Idén augusztusban egyszerre 22 texasi önkormányzat jelentette be, hogy zsarolóvírusos támadás érte, majd vérmérséklettől függően fizettek vagy sem a zsarolóknak. A nyomozás során később kiderült, hogy a támadás kiindulópontja egy olyan külső IT-szolgáltató volt, melyet ezek az önkormányzatok bíztak meg az IT-szolgáltatásaik menedzselésével – az outsource partner közvetlen távoli eléréssel rendelkezett az érintett rendszerekhez. A kiberbűnözők tehát az ellátási lánc leggyengébb láncszemén keresztül férkőztek be a védett önkormányzati rendszerekbe.

A Sophos nemzetközi szóvivője és senior biztonsági szakértője, John Shier budapesti beszélgetésükön egy másik tanulságos esetet osztott meg. A kiberbűnözők kifigyelték és megtudták, hogy ki a kiszemelt vállalat vezetőjének a személyes asszisztense, és ennek az asszisztensnek a személyes postaládáját törték fel. Ezen keresztül ugyan még nem jutottak be a vállalathoz, de sok fontos adat került a kezükbe. Például az, hogy az asszisztens a vállalat költségén minden hónapban a szemben lévő manikűröshöz mehetett szépülni – köszönetképpen a jó munkájáért. A helyi manikűrös pedig egy nem túl jól karbantartott weboldalt üzemeltetett, a hackereknek ezen keresztül nem volt gond bejutni a kis cég IT-rendszerébe. Majd a kiszemelt vállalatnak szóló havi számlát megfertőzték, így amikor valaki gyanútlanul megnyitotta a szokásos pdf-et a túloldalon, a rosszfiúk máris bejutottak a nagyvállalat rendszerébe.

 

Megbízható partneren keresztül támadnak

Hasonló támadásokban a kiszemelt célpontok főként a kormányzati vagy a katonai szervezetek voltak eddig, netán a kritikus infrastruktúraszolgáltatók is szóba jöhettek. A támadások többnyire állami megrendelésre, célzottan érkeztek. Azonban a kis- és közepes méretű vállalatok számára igencsak kényelmes állapot megszűnt. A bűnözők is rájöttek, hogy a nagyvállalatok sok esetben a saját informatikai rendszerük meghosszabbított karjának tekintik a megbízható partnereket, a vállalati rendszerek adattal való feltöltése már a beszállítónál megkezdődhet. Arra viszont nem gondoltak, hogy a külső partnerektől is hasonló szintű biztonságot kell megkövetelniük ahhoz, hogy a teljes IT-infrastruktúra biztonságban maradjon. A kiberbűnözők felfedezték és kihasználták ezeket a gyenge láncszemeket a támadásaik elindításához.

A nagy cégek általában jól felépített IT-biztonsági folyamatokkal és szervezettel rendelkeznek, nem tűnnek könnyen bevehető célpontnak. A támadók tehát igyekeznek megtalálni azokat a cégeket, amelyek szorosabb kapcsolatban vannak az adott nagyvállalattal, netán informatikai fonódás van közöttük.

A kisebb beszállító cégeknél sokkal könnyebb olyan informatikai hibát találni, mint a nagyvállalatoknál. Ez nem túlságosan nehéz dolog, hiszen a nagyvállalatoknál az üzleti operációk nagy része kiszervezett, legyen az takarítás vagy étkeztetés, netán adatkezelés. Ennek a célzott támadásnak az első lépése a felderítés (melyek a szóba jöhető szervezetek), a GDPR és az adatkezelési tájékoztatók ehhez ideális kiindulópontot jelentenek.

Így védekezzünk a hackertámadások ellen!

A hagyományos IT-biztonsági technológiák mellett egyszerűbb óvintézkedésekkel is növelhetjük vállalatunk IT-biztonsági szintjét. Például építsünk széttagolt technológiai hálózatot cégen belül, legyen egy dedikált hálózata a telefonoknak és egy másik dedikált hálózata a szervereknek, így ha az egyik hálózatba be is jutnak a hackerek a másikat könnyedén lezárhatjuk előlük.

Ne csak technológiai, hanem üzleti és folyamatok szintjén is válasszuk szét a különböző egységeket! Azt mindenki tudja, hogy a HR, az értékesítés, a pénzügy mindennapi munkájának elvégzéséhez megnyit e-mailben érkező pdf-csatolmányokat – könnyen előfordulhat, hogy fertőzött pdf-re kattintanak. Válasszuk le az üzlet ezen részét, így ha meg is fertőződnek, az nem terjed át az egész vállalatra, és nem állítja le a teljes működést.

Szerződésben követeljük meg üzleti partnerünktől egy adott biztonsági szint megteremtését, és auditálással ellenőrizzük, hogy valóban a leírtaknak megfelelően járnak-e el. A kockázatok csökkentésére minimális jogosultságokkal rendelkező hozzáférést adjunk partnereinknek.

Állítsunk fel kiegészítő ellenőrző mechanizmusokat! Az egyik legnagyobb kárt okozó támadás, amikor a hackerek bankszámlájára utaljuk a kifizetendő pénzt. Ez a támadás látszólag úgy kezdődik, hogy a szerződött cégtől egy megváltozott bankszámlaszámra vonatkozó e-mail érkezik. Még ha úgy is tűnik, hogy az ismert pénzügyi vezetőtől érkezik a levél, utalás előtt hívjuk fel telefonon, és személyesen győződjünk meg a változás helyességéről – nehogy egy ügyes hacker számlájára küldjük a pénz.

Kérjük ki a biztonsági szakértők véleményét! Kössünk partneri kapcsolatokat a biztonsági változásokat folyamatosan nyomon követő IT-biztonsági szakemberekkel, akiknek a véleményét bármikor kikérhetjük, és akik segítenek a megfelelő IT-biztonsági szabályzat kialakításában és a védelmi szint beállításában.

Megkövetelt biztonsági szint

Innentől kezdve egy kisebb szervezetnél kell megtalálni azt a támadható embert vagy rendszert, amelyen keresztül be lehet jutni abba a környezetbe, amely jó eséllyel hozzá van kapcsolva a nagy cég informatikai rendszeréhez.

Hogyan tudunk szervezetileg védekezni ez ellen? Úgy, hogy a szerződésekben, az együttműködésekben megkövetelünk egy bizonyos információbiztonsági szintet a beszállítótól – mondja Szomor Bence, a Balasys termékfejlesztési igazgatója. Függetlenül a beszállítótól, az a legjobb, ha nem bízunk meg a külső cég IT-biztonságában. Olyan szétválasztott informatikai környezetbe engedjük be őket, ahonnan a lehető legkevésbé tudják elérni a védett értékeket. Üzleti szempontból persze az a legkényelmesebb, ha minél nagyobb hozzáférést biztosítunk üzleti partnerünknek, mert ki tudja, mire lehet szüksége, milyen adatok kellenek neki ahhoz, hogy minden operatívan és gördülékenyen működjön. Ezeknél a kapcsolatoknál jelentősen felértékelődik az információbiztonsági szakértő szerepe, akinek meg kell vizsgálnia, hogy valóban mindenhez szükséges-e a partner által kért hozzáférés. Közös munkával megtalálható az a szükséges minimum hozzáférést, amire a munka elvégzéséhez ténylegesen szükség van.

Az architektúra tervezésénél is figyelembe kell venni, hogy kevés jogosultságot adjunk a partnereknek, illetve, ha be is jutnak a rendszerbe, ez ne lehessen egy széleskörű támadás kiugrópontja. Az infrastruktúrák összetettsége független a szervezetektől, de a beszállítási lánc része. Gondoljunk csak bele, hogy egy modern információbiztonsági rendszer hány olyan rendszerelemet használ fel, amely nem a cég saját üzemeltetésében van! Például a webes vagy mobilalkalmazást olyan szoftverfüggvényekből rakják össze, amelyeket más fejlesztett ki vagy más üzemeltet. Ez nagy kihívása az ellátási láncoknak, hiszen a különböző fejlesztők függvényei mind-mind sebezhetőségi pontot jelenthet. Ez ellen odafigyeléssel lehet védekezni. Bár létezik a Dev Sec Ops megközelítés a fejlesztési munkáknál, a tapasztalat szerint a hazai információbiztonsági felelősöknek nem ez a terület a legfontosabb a napirendjükben – mondja Szomor Bence.


A bizalmat ki kell érdemelni

Évekig nem volt köztudatban, de most egyre gyakoribb az olyan biztonsági eset, amikor alvállalkozón keresztül, az ellátási lánc egyik tagján át jutnak be a kiszemelt áldozathoz – véli Gölcz Dénes, a Panda Security Hungary ügyvezető igazgatója. Több partnerüknél is előfordul, hogy amerikai nagy ügyféllel történő szerződéskötés előtt átvilágítják őket, és ha nem megfelelő gyártót találnak náluk, akkor szüneteltetik a szerződéskötést.

Az ügyvezető maga is ellenőrzi, kivel dolgozik együtt, nekik milyen biztonsági megoldásaik vannak, kinek milyen jogosultságot osztanak ki, átnézi a belső biztonsági szabályzatokat.

A bizalmat ki kell érdemelni és időnként meg is kell erősíteni, így érdemes a kiemelt ügyfelekkel egyeztetni, mielőtt az ellátási láncban bármit is változtatnánk. Az elszeparált, minimális jogosultságokkal rendelkező környezetek használata ideig-óráig működik, mert mindig adódik olyan gyors és halaszthatatlan feladat, amiért ezeket a rendszereket előbb vagy utóbb kijátsszák az alkalmazottak és a partnerek. És ha a vállalati biztonsági gépezet egyik fogaskereke akadozik, akkor a támadók könnyen bejutnak a hálózatba – hívja fel a figyelmet a veszélyekre Gölcz Dénes.

 

A felhő a kicsiket is védi

A nemzetállamok eszköztárával dolgozó kiberbűnözőket az anyagi haszon hajtja, számukra az a lényeg, hogy minél több pénzhez jussanak a támadásaik során – mondja John Shier.  Amikor egy nagyvállalatról és egy kis cégről beszélünk, nyilván két, egymással szemben lévő világról beszélünk, de a támadók szemében nem, mert mindkét szervezet egyformán célpont: a kicsin keresztül bejutnak a nagyhoz, ahol vélhetően jó sok zsarolópénzt fizetnek a titkosított adatokért (vagy még rosszabb, a vállalat adatait a konkurenciának adják el).

A magas szintű biztonság azonban már nemcsak a nagyok kiváltsága. A felhőalapú technológiák elhozták a kisebb cégeknek is az elérhető áru, előfizetéses alapú biztonságot, ahol csak az extrákért vagy a kockázatok további csökkentéséért kell mélyebben a zsebbe nyúlni. Ezeket a felhős technológiákat a biztonsági világban megszokott óvintézkedésekkel (erős jelszó, a rendszerek folyamatos frissen tartása, az alkalmazottak oktatása stb.) kiegészítve már egészen jó IT-biztonságot tudunk megteremteni.