Számos közép- és kisvállalat működhet közre egy-egy nagyvállalat beszállítói láncában – ahogyan azt a hazánkba települt autógyártók példája is mutatja. A kiberbűnözők gyanítják, hogy ezek a kisebb, kevésbé szabályozottan működő, a védekezésre kevesebbet költő vagy ahhoz kevésbé értő szervezetek könnyebben támadhatók. Felmérések igazolják, hogy ezek a feltételezések sajnos megalapozottak.
A PriceWaterhouseCoopers felmérése szerint tavaly már a nagyvállalatok több mint 90 százalékát érintette az információbiztonsági események valamilyen formája, de a kis- és középvállalatok sem maradnak el tőlük sokkal, körükben az egy évvel korábban mért 60-ról 74 százalékra emelkedett ez az arány.
Nem áltathatják magukat azzal a kis- és középvállalatok, hogy nagyobb biztonságban vannak, mint az értékes adatvagyont birtokló, márkás termékportfóliót fejlesztő nagyvállalatok – figyelmeztet a Symantec jelentése (2015 Internet Security Threat Report) is. Az elemzés által lefedett egy év alatt hat vállalatból csupán egyet nem ért kibertámadás. Rendkívül magas, több mint 80 százalékos aránynak felel ez meg, ráadásul a célkeresztbe került szervezetek 60 százaléka kis-, illetve középvállalat volt.
Bár az észak-amerikai értelemben vett kkv-k Magyarországon inkább közép- és nagyvállalati méretnek felelnek meg, a számokból egyértelműen kiolvasható, hogy a fenyegetések egyetlen szervezetet sem kerülnek el. Az IT-biztonsági cég magyar leányvállalata szerint a hazai piacon is megtörtént már, hogy egy állami cég nem megfelelően védett rendszereihez, állambiztonsági szempontból érzékeny adataihoz kerülőúton – a partnerkörbe tartozó kisebb vállalatokon, illetve azok alkalmazottain keresztül – fértek hozzá a támadók.
Éppen ezért komoly aggodalomra ad okot a Cisco éves biztonsági jelentésének (2016 Annual Security Report) megállapítása, mely szerint a beszállítói láncukat felülvizsgáló nagyvállalatok azzal szembesültek, hogy a kis- és középvállalati partnereik esetenként kevesebb IT-biztonsági eszközt használnak és folyamatot követnek, mint korábban. A webbiztonsági eszközöket bevető kkv-k száma például egy év leforgása alatt 10 százalékkal csökkent.
A vállalatokat a mérettől függetlenül érő, kifinomult, célzott támadások kivitelezése során a kiberbűnözők a technológiák és technikák egyszerre több formáját is bevetik az adathalász levelektől kezdve a digitális személyazonosság ellopásán és a rosszindulatú szoftverkódokon át a megtévesztés művészetéig, az emberek manipulálásáig. Az adatvagyont célzó támadások elleni védelem is akkor lehet hatékony, ha az informatikai biztonság mellett a stratégia az információmenedzsmentre is kiterjed, és számol az emberi tényezővel.
IT-biztonság szempontjából alapvető, hogy a vállalat pontosan tudja, milyen szoftverek futnak a rendszerein, és azokat folyamatosan frissítse. Míg egy kisebb cégnél viszonylag könnyen elkészíthető a szoftverleltár, nagyvállalatok esetében külső, szoftvereszköz-gazdálkodásra szakosodott tanácsadó bevonására is szükség lehet. A pontos nyilvántartás nemcsak arról ad képet, hogy mely szoftvereket kell karbantartani, hanem segít a biztonsági kockázatot jelentő – pl. a végfelhasználók által nem megbízható forrásból letöltött – programok kiszűrésében is, amelyeket célszerű eltávolítani, és a továbbiakra nézve tiltólistára tenni.
A vállalatok természetesen időben frissítik az általuk használt szoftvereket – gondolná az ember, mivel ez elsősorban nem pénz kérdése, de a gyakorlatban ez koránt sincs így. A Symantec jelentése szerint a szervezetek túl lassan telepítik a szoftverek sérülékenységeit javító frissítéseket, ehhez átlagosan 59 napra van szükségük, miközben a kiberbűnözők az újonnan felfedezett sérülékenységeket órákon belül kihasználják a támadások indításához.
Ugyanilyen fontos és alapvető a hálózat- és az eszközvédelem kiépítése, a vírusirtók és tűzfalak telepítése, azonban fontos szem előtt tartani, hogy 100 százalékos védelmet adó megoldás nincs – ez az alaptétel ma érvényesebb, mint valaha. Napjainkban a vállalatok nem tehetik meg, hogy a négy fal közé zárkóznak, partnereikkel, ügyfeleikkel, a pénzügyi szolgáltatókkal és a hatóságokkal is online kapcsolatot tartanak. A dolgok internetjén, az ipar 4.0 korában pedig mindez még inkább így lesz. A hálózatok nyitottak, határaik elmosódnak, a támadási felület egyre nagyobb, és mind nehezebb meghatározni, hogy hol, milyen eszközt, alkalmazást és adatot miként lehetne a leghatékonyabban megvédeni. A vállalatot ezért időről időre sikeres támadás fogja érni. Nem az a kérdés, hogy ez bekövetkezik-e, csupán az, hogy mikor kerül rá sor.
Ilyen körülmények között kulcsfontosságúvá vált a hatékony észlelés. Az egyes rendszerek védelme helyett eszközök, alkalmazások, hálózatok működését, a felhasználók tevékenységét kell folyamatosan figyelni, hogy a támadásra vagy más rendellenességre utaló első jelek alapján a vállalat azonosíthassa és minél gyorsabban elszigetelje a biztonsági eseményt kiváltó okot, ezzel elejét vegye a károkozásnak, vagy minimalizálja annak mértékét, és felgyorsítsa a helyreállítás folyamatát. Kisebb vállalatok a hardver- és szoftverelemeket integráltan tartalmazó ún. egységes fenyegetéskezelő készülékek (unified threat management appliance-ok) beszerzésével könnyebben kialakíthatják az ehhez szükséges funkciókat. Több IT-biztonsági cég is kínál olyan szolgáltatásokat, amelyek a hálózat monitorozásától kezdve az eseménykezelésen és szimulációkon át az újfajta támadások, fenyegetésre utaló minták felismeréséhez szükséges intelligenciáig mindent magukban foglalnak, így ezek a képességek a kis- és középvállalatok számára is hozzáférhetőbbé váltak.
Döntő fontosságú a felhasználóazonosítás és jogosultságkezelés is, mivel a vállalatoknak lehetőleg pontosan tudniuk kell, hogy kit és milyen feltételekkel engednek be nyitott hálózatukra, milyen erőforrásokhoz, adatokhoz és információkhoz adnak neki hozzáférést. Az olyan címtárszolgáltatások alapján, mint a Microsoft Active Directory, a hálózati erőforrások központilag felügyelhetők, többek között a felhasználók és a dokumentumok is csoportokba sorolhatók, amelyek számára részletes házirendszabályok írhatók elő.
Bár az információmenedzsment-platformok funkcionalitása jóval szélesebb, a vállalati adatvagyon rendszerezésével és felhasználásának felügyeletével szintén erősítik annak védelmét. Adat- és információtípusokat határozhat meg a platform segítségével a vállalat, amelyekhez gazdákat rendelhet, őrködhet az adatok és információk minősége és következetessége felett, ellenőrizheti, hogy azokhoz jussanak el, akiknek dolgozniuk kell velük, illetve keletkezésüktől kezdve felhasználásukon és archiválásukon át megsemmisítésükig kezelheti teljes életciklusukat.
Minden hálózatvédelem, felhasználóazonosítás, jogosultságkezelés és információmenedzsment mellett is rést üthet azonban a védelem pajzsán az ember, ha a vállalat nem gondoskodik a biztonságtudatos szemlélet és gyakorlat kialakításáról és erősítéséről az alkalmazottak körében. A Ponemon Institute felmérése rávilágított, hogy a vállalatok többségénél minden technológiai támogatás nélkül is játszi könnyedséggel bizalmas információk birtokába juthatnak a bűnözők.
Az adatfelvételhez a kutatók – akiket meghatározott időre felvett alkalmazottnak álcáztak – hét nagyvállalat 43 irodáját keresték fel. Mindössze két órát töltöttek egy-egy irodában, de tíz próbálkozás közül kilencben, az esetek 88 százalékában érzékeny üzleti információkat – többek között belső telefonkönyveket, ügyfél- és pénzügyi adatokat, felhasználóneveket és jelszavakat, egyéb bizalmas dokumentumokat – szereztek.
Az irodák felében már az első 15 percben birtokukba került az első zsákmány. Az információszerzés az ügyfélszolgálaton, a marketing- és az értékesítési osztályon bizonyult a legkönnyebbnek, míg a kutatási-fejlesztési osztály irodáiból üres kézzel távoztak a Ponemon szakemberei.
Mindehhez elegendő volt, hogy a kutatók egyszerűen körbejárják a helyiségeket, és fotókat készítsenek a PC-kijelzőkön nyitva hagyott ablakokról, illetve belenézzenek az asztalokon, nyomtatótálcákon heverő dokumentumokba, amelyek közül néhányat táskájukba süllyesztettek. Tanulságos, hogy mindezt a vállalatok tényleges alkalmazottai is látták, mégis csupán hét esetben vonták kérdőre az irodában szaglászó, lényegében ismeretlen személyeket, a vezetőséget pedig mindössze egy alkalommal értesítették.