Technológia

50_coolest_movie_cars_09.jpg
Forrás: ITB
ITBusiness & Technology 2016 – IT-biztonság

Nem az autó üt el, hanem az ember

Ezúttal Sik Zoltán, az NHIT alelnöke, a KIFÜ elnöki tanácsadója szájából hangzott el az IT-biztonság alaptétele: „Az incidensek 97 százalékát okozzák »belsős« személyek.” És akkor bontsuk is ki (rendszerezve) ezt az egyszerű dolgot, ahogy a kerekasztal-beszélgetés résztvevői is tették (kevésbé rendszerezve).

Kezdjük egy kis fogalommagyarázattal: a biztonság védelem a nem kívánatos történések, állapotok ellen. Az pedig, hogy mi nem kívánatos, nyilvánvalóan szubjektív, pontosabban alany- és helyzetfüggő. Hasonlóan szubjektív a sérülékenység fogalma is: károkozásra kihasználható körülmény. Az ember érrendszere például nem védett a buborékok és a vérben rosszul oldódó szennyezések ellen, mert normális körülmények között ilyenek nincsenek benne; ha mégis, az általa esetleg okozott elzáródást embóliának, illetve infarktusnak nevezik.

Jogos-e sérülékenységnek nevezni a normálistól erősen eltérő körülmények között előforduló, kifogásolható működést?

Miután kirántottuk a biztonság, mint egyértelmű körülmény alól a biztos talajt, folytassuk a fogalmakkal.

Incidensek: olyan események, amelyek kapcsán (során, következtében) megsérül, megsemmisül vagy illetéktelen kezekbe kerül információ, és az eseményben IT-eszközök is szerepelnek. Fontos, hogy az érdekeltek számára ismertté is válik az esemény. (Egyébként hogy kerülne be a statisztikába?)

Okozzák: szándékosan, és–vagy akaratlanul. Tipikus eset a kirúgott alkalmazott, aki a konkurrens cégnek elárulja (vagy eladja!) az azonosítóit, hogy azok hozzáférjenek az áldozat cég fontos adataihoz. Az ilyen incidensekben vétkes még az IT-személyzetnek az a (szintén belső) tagja, aki nem tiltotta le a kirúgás során az érintett hozzáférését, és az (szintén belső), aki hagyta, hogy a céges IT-biztonsági eljárásrend minderre lehetőséget adjon.

97 százalék: ez sok. Annyira sok, hogy joggal mondhatja bárki: minden incidens belsős „munka”. Vagy ha nem munka, akkor csak tévedés, jóhiszeműség. De azért ízlelgessük: száz esetből mindössze háromnak van csak technikai, műszaki oka.

Talán eléggé megvilágítottuk a „leggyengébb láncszem az ember” alapelvet, ami azonnal felveti a biztonságtudatosság és az informatikai oktatás kérdését. Ezekről minden résztvevő szólt is.

 

Mit tudnak elkövetni a belsősök?

Csizmazia-Darab István, a Sicontact szakértője, IT-biztonsági „guru” számos, érdekes, vagy inkább megdöbbentő adatot ismertetett. A mobileszközök használóinak fele semmilyen védelmet nem használ. (Ezt, mondjuk, tudtuk.) Egy brit felmérés szerint minden hetedik alkalmazott eladná a jelszavát 100 fontért a kilépés után. A svájci KPMG International 300 IT- és HR-vezető körében végzett felmérésében a válaszolók 60 százaléka szerint nincs elég emberük a megfelelő védelemhez, 70 százalékuk szerint nincs rendben a stratégiájuk, és 50 százalékuk alkalmazna akár olyan hekkert is a védekezésben, aki büntetett előéletű. (Svájcban!)

Több felmérés egybehangzó eredménye, hogy a felhasználók (világszerte) hetede soha nem változtatja a jelszavát, és hatoda figyelmen kívül hagyja a jelszócserére irányuló felszólítást. Vessük össze ezt azzal, hogy rendszeresen jelennek meg tudósítások a leggyakoribb 10 (100, 1000, 10 000) jelszóról…

Magyarországon általánosnak vehető (65 százalékos gyakoriságú), hogy a cégvezetők nem tartják cégük számára kockázatnak a kiberbűnözést, ez az arány Kelet-Európában 55, Nyugat-Európában 50 százalékos. A cégek többsége (82 százaléka) úgy gondolja, túl kicsi ahhoz, hogy támadás célpontja legyen. Az ilyen vélekedéseket persze árnyalja, hogy a „támadás történt a hálózatom ellen” és az „észrevettem, hogy támadás történt a cégem ellen” esetek messze nem azonosak. Arról van szó, hogy manapság eléggé tipikus, hogy a támadó bejut a rendszerbe, hosszan ott tevékenykedik, megfigyel, adatot von ki – és minderről az áldozat hetekig, hónapokig nem tud. Rendszerint a külső tünetekből értesül csak, hogy valami történt, nem is a saját IT-alkalmazottai észlelik a rendellenességeket. A cégek 41 százalékánál már észleltek fenyegetést.

2016 februárjában jelent meg a Nemzeti Kibervédelmi Intézet (NKI) 2015. évi jelentése. Eszerint ötezer magyar weboldalt ért tavaly támadás, jellemzően a tartalom megváltoztatása („deface”), illetve túlterhelés formájában. Gyakoriak a zsaroló szándékú támadások, és az adatlopási kísérletek például hazai banki ügyfelek ellen. Szerencsére ez utóbbiak még mindig primitívek, Google Translate-ből származó, alig érthető szövegűek, ezért a pénzintézet azonnal ki tud adni figyelmeztetést – a gyakoriság miatt az ügyfelek nagy része már kiválóan tudja, hogy a bank soha nem kér azonosítókat se telefonon, se emailban.

Még nem jelentették, de Magyarországon is terjed, hogy a (kis) cég könyvelője, pénzügyese (súlyosabb esetben a cégvezető távollétében) névre szóló, durva hangú, sürgető fizetési felszólítást kap – egy hamis ügyféltől, amelynek a bakszámlája valódi. Tízből többen szoktak fizetni…


 

A vezetők nincsenek tisztában azzal sem, hogy adott esetben mekkora presztízs- és anyagi veszteségeket szenvedhetnek el. A 2014-ben napvilágra került esetek átlag kárértéke 6500 dollár volt. 2007 óta több bevétel keletkezik a számítógépes visszaélésekből, mint a drogbizniszből, a konkrét érték akkor (9 éve) 105 milliárd dollár volt, azóta nőtt. Csak felidézzük: a Sony Pictures 2013–2014-es, húszas támadássorozatának teljes költsége 24 milliárd dollár volt.

Azt gondolják ugye, hogy ők kicsik. Nos, KKV akkor lesz célpont, amikor nagyobb cég beszállítója: a támadók azt vélelmezik (joggal), hogy nála gyengébb a védelem, amelyen keresztül a nagyobb cég adataihoz is hozzá lehet férni. Figyelem, multik! (Az egyik legnagyobb hazai távközlési szolgáltató mintegy 3000 beszállítót tart nyilván – mind KKV.)

 

A trendi incidens

Bárány Zsolt, a Trend Micro regionális ügyfélkapcsolati menedzsere megerősítette: üzletággá vált a védelmek megtörése. Csizmazia István elmondta, hogy felbukkant a HaaS (saját rövidítésünk: hacking as a service), azaz jutányos áron bérelhető a szolgáltatásbénítás, részletes online szakácskönyvvel, 7×24 órás helpdeskkel... (A különféle közhasznú szoftverek ismert hibáit – a soha nem frissítő használókat, hanyag rendszergazdákat – kihasználó, felhasználóbarát hekkerkészletek létezését, széles körű elérhetőségét talán említenünk sem kellene.)

Miután leszögeztük, hogy manapság nem kedvtelésből, önfényezésből törnek be rendszerekbe, bénítják meg azokat, hanem pénzért, talán nem meglepő, hogy a legkülönfélébb zsarolások fénykorát éljük. Letitkosítottuk a merevlemezedet, fizess, ha használni akarod. Az eddigi tapasztalatok szerint 20 (húsz) esetből egyszer kapják meg a feloldó jelszót az áldozatok, ha fizetnek.

Ha nem fizetsz, lebénítjuk a weboldaladat, mondták a kiberbűnözők három görög banknak. Azok nem fizettek, és néhány órára, míg a saját, illetve hirtelen felbérelt IT-szakembereik fel nem oldották a szolgáltatásbénítást, nem is voltak elérhetők. De túlélték.

 

A sárga szalag

Elmeséljük az amerikai és az európai hozzáállás közötti alapvető különbséget. Csőtörés van. Amerikában kiássák a gödröt, megjavítják a csövet, és amíg be nem tömik a gödröt, addig körberakják olyan betontömbökkel, amilyen a sztrádákon a sávokat elválasztja. Európában odatesznek négy műanyagoszlopot, és körbekerítik a gödröt „Vigyázat! Gödör!” feliratú, élénksárga szalaggal. Amerikában akkor sem tud beleesni az ember (autóval se), ha nagyon akar, mert felkenődik a betontömbre, Európában meg akár halálra is zúzhatja magát a megjavított csövön a mélyben – ha tudatmódosult állapotban áttántorog a szalagon.

Melyik a szimpatikusabb? Az európai nagyságrendekkel olcsóbb...

Ha az informatikai biztonságtudatosságot lényegében automatikusan meg lehet szerezni, annyira mindenütt jelenvalók a felvilágosító információk, amelyeket ráadásul folyamatosan frissítenek is, akkor felelőssé tehető az incidensért az okozója, hiszen bűnösen tudatlan volt. Amíg viszont nincs így, akkor az incidensekért felelős(ek) az(ok) is, aki(k) a tájékoztatást elmulasztotta (elmulasztották).

A felhasználók erősen kifogásolható magatartási példái nemcsak Magyarországról származnak, tehát nemcsak nálunk sürgős és átfogó feladat a digitális biztonságtudatosság szintjének drámai emelése. Nem arra gondolunk, hogy állandóan több ezer betűs figyelmeztetéseket toljanak az arcunkba De egyelőre még nem érdemes a biztonságon takarékoskodni: jelenleg egyáltalán nem tekinthetők túlzottnak a védelmi intézkedések.

Legyenek közismertek a „digitális higiéné” alapszabályai, és legyen kínos, ha kiderül, nem tartottuk be. Példák: használjunk hosszú, de megjegyezhető jelszavakat (mindenhova ugyanazt a hármat...), ne adjuk meg ezeket senkinek (SENKINEK!), ha meglepő küldeményt kapunk akár chaten, akár emailen, ne nézzük, meg, csak ha a küldő megerősítette, hogy tényleg ő volt, és tényleg ezt akarta, stb. A biztonsági kezelőfelületek tervezőinek esetleg vizsgázniuk kellene belőle, és nem ártana szabványba foglalni a szolgáltatások online felületeinek és adatkezelésének biztonsági auditját.

Mindettől persze az internet ingyenessége kicsit csonkulna – de az online biztonság hiányának tudata is.