A tapasztalat azt mutatja, hogy nem lehet eléggé hangsúlyozni azokat az alapvető dolgokat, amelyekre mindenképpen oda kell figyelni az IT biztonság területén. Rendszeres figyelmeztetések, oktatások, tapasztalások ellenére is sajnos vannak olyanok, akik továbbra is elkövetik ezeket a hibákat.

Nézzük az  IT biztonsági hibáknak milyen csoportjait különíthetjük el:

1. Nem megfelelő jelszó használat

Sajnos még mindig elég sok cégnél jellemző ez a hiba. A dolgozók könnyen kitalálható jelszavakat alkalmaznak, nem használnak nagybetűket, számokat, speciális karaktereket és nem elég hosszú az adott jelszó. Bizonyos cégeknél még az admin jelszavakat sem védik megfelelően, így az könnyen feltörhetővé válhat. Mindemellett előfordulhat az is, hogy a munkavállalók minden felületen ugyanazt a jelszót használják.

Megoldás: A megfelelő jelszó beállítása nem bonyolult, elég meghatározni egy jelszókövetelményt, aminek meg kell felelni.

2. Vírusvédelem hiánya

A legtöbb cégnél már bevett szokás a különböző vírusirtó programok használata, de egy ilyen program önmagában még nem elég. Fontos, hogy az ütemezett keresés be legyen állítva, emellett kísérjék figyelemmel az eredményeket, majd pedig vezessék be a szükséges intézkedéseket.

Megoldás: Folyamatos vírusirtó és végpontvédelem. A szimpatikus szoftver kiválasztása után az informatikus feltelepítheti azt a számítógépekre.

3. Tűzfal hiánya

A tűzfalak célja, hogy csak a kívánatos forgalom jöjjön át, vagyis csak a biztonságosnak ítélt információt engedi át.

Megoldás: Tűzfal használata, különböző formában léteznek és különböző védelmi szinteket tudnak biztosítani.

4. Nem megfelelő patch-menedzsment

Előfordul, hogy a használt szoftver nem naprakész, emellett pedig egyéb frissítésekre sem figyelnek oda elég körültekintően. Még a legprofibb rendszerekben is előfordulhat 1-1 biztonsági rés. Ilyenkor a gyártó egy javítást, úgynevezett patch-et bocsát ki, hogy befoltozza a hibát. 

Megoldás: Windows hálózatoknál be lehet állítani, hogy a frissítések automatikusan telepítésre kerüljenek vagy pedig egy belső munkatársnak kell figyelnie rá.

5. Munkavállalók biztonságtudatosságának hiánya

Még a mai napig is a munkavállalók számítanak a leggyengébb láncszemnek. Ez azonban nem csak az ő hibájuk, hiszen az onboarding folyamat sokszor nem tartalmazza a megfelelő oktatást a szabályok betartásával, esetleges sérülékenységekkel kapcsolatosan, illetve a védekezésre sincs kifejlett módszer.

Megoldás: Megfelelően edukált munkavállalók. Sokszor nehéz és hosszadalmas folyamat, azonban egy pár oldalas előadás nem oldja meg a problémát. Játékos tesztekre, feladatokra van szükség, hogy a munkavállalók felismerjék az incidenseket. A tréningeket évente mindenképp meg kell ismételni. Érdemes kidolgozni egy eljárást is, hogy a dolgozók tisztában legyenek azzal, hogy mi a teendő gyanús levelek, linkek esetén.

6. Jogosultságkezelés

Biztosítani kell, hogy mindenki csak azokhoz az információkhoz férjen hozzá, ami a munkavégzéséhez szükséges. Ne engedjünk hozzáférést illetéktelenek számára, ne kockáztassuk, hogy adatok szivárogjanak ki.

Megoldás: Munkakörök, pozíciók átgondolása, csoportok kialakítása és azok ellenőrzése.

7. Nyílt wifi használata

Ezek a nyílt hálózatok általában a vendégeknek vannak fenntartva, bárki rácsatlakozhat, azonban nem mindig látják el őket a megfelelő titkosítási védelemmel.

Megoldás: Csak azért, mert ingyenes hálózatot találunk, nem feltétlenül kell egyből felcsatlakozni. Adataink könnyen illetéktelen kezekbe kerülhetnek. Használatát kotlátozzuk a szükséges minimumra. Cégünknél a vendégeknek külön Wi-fi hálózatot hozzunk létre és ehhez is megfelelő titkosítási szabványokat alkalmazzuk.

8. Adatosztályozás hiánya

Sokszor nincs meghatározva, hogy melyek a fontos információk, mik azok, amiket ténylegesen védeni kell.

Megoldás: Céges adatok megkülönböztetése, csoportosítása, hogy valóban azt védjük, ami fontos. Ne védjünk feleslegesen olyat, ami nem képvisel értéket.

9. E-mailezés szűrése

A mai napig sok bizalmas információ megy ki emailen keresztül, melyeket nem szűrnek megfelelően.

Megoldás: Ez a fajta kommunikáció könnyen lehallgatható, ezért kifejezetten fontos, hogy milyen levelezési rendszert használunk, azokat milyen eszközökkel védjük.

10. Helyreállítási terv

Üzletfolytonossági terv (Business Continuity Plan = BCP) és Katasztrófa elhárítási terv (Disaster recovery plan = DRP) hiánya. Elengedhetetlen egy konkrét terv, illetve backup-ok, hogy katasztrófa esetén tudják hogyan tudnak visszaállni vagy folytatni a mindennapi munkát.

Megoldás: Alapos tervezés mellett is előfordulhatnak biztonsági incidensek. Erre az esetre szükséges egy katasztrófa elhárítási terv, hogy a történtek után is folytatni tudják a munkát.

Mit okozhatnak az egyes sérülékenységek?

Alapvetően a sérülékenységek létezéséből nem következik negatív fejlemény. A károkozás a biztonsági rés kihasználásából származik, amikor ellophatják, átírhatják az adatokat, esetleg fizikai károkozásra kényszerítenek valamit, például egy telefon túlmelegszik. Fontos, hogy a cég tisztában legyen ezeknek a sérülékenységeknek a létezésével, és időben kijavítsa őket. 

Komoly reputációs veszteséget is okozhatnak, hiszen egy ilyen ügy után nem biztos, hogy az ügyfél továbbra is az adott céget, szolgáltatót választja. Ezen kívül pedig olyan összegű pénzbírságot is kaphat, amit nem biztos, hogy ki tud fizetni.

Egy biztonsági rés felfedezése hatalmas érték a cégek számára, hiszen a bírság jóval többe kerül, mint a megelőzés. Megfelelő tervvel, fontossági sorrend felállításával katasztrófákat lehet elhárítani. A kritikus hibákat természetesen azonnal javítani kell, de a többit elég fokozatosan, ahogy az anyagi költségek engedik. Ha azzal tisztában vagyunk, hogy hol vagyunk támadhatók, az már nagy előrelépés.

Melyik sérülékenységet tapasztalják leggyakrabban az ügyfelek?

Ügyfeleinknél már szinte mindegyik problémával találkoztunk. A felhasználói tudatosság hiánya az, ami mindenhol jelen van. Általában a szabályokat ismerik, de a gyakorlatban nem ismerik fel őket, nem tudják megfelelően alkalmazni. Ezen kívül pedig az idősebb korosztályra nem fordítanak elég figyelmet, náluk sok esetben még mindig megtalálható a monitorra kiragasztott jelszó.

Ezen kívül sokan elavult operációs rendszereket, adatbázisokat használnak, nem figyelik rendszeresen a tevékenységeket, így nagy károkat szenvedhetnek el.

Néhány konkrét példa a világból:

WannaCry: 2017-ben jelent meg ez a zsarolóvírus, melynek lényege, hogy a megfertőzött számítógépen található adatokat, fájlokat zárolta, és pénzösszegért cserébe kaphatták vissza az áldozatok. Komoly fennakadásokat okozott Nagy-Britanniában, Spanyolországban, és még Magyarországon a Telenor nevű szolgáltatót is érintette. Egy összesítés alapján 4 milliárd dollár értékű kárt szenvedtek a cégek kifizetéssel és helyreállítással együtt.

NotPetya: 2017-ben Ukrajnában bukkant fel ez a zsarolóvírus, mely később elérte a Maersk rendszerét is. Képes volt leállítani a cég működését, így 300 millió dolláros kiesést szenvedett a vállalat.

Yahoo: 2018-ban érte a Yahoo-t 50 millió dolláros büntetés adatok kiszivárgása miatt.

Starbucks: 2019-ben legális bug bounty program keretei között találtak egy biztonsági rést, melyet időben jelentettek, így azt nem tudták kihasználni.

Kinek a feladata a hibák felfedezése, monitorozása?

A felelősség a cégvezetőé, de az IT biztonsági csapat feladata, hogy ismerjék a sérülékenységeket, figyeljék a frissítéseket.

Hogyan előzhetőek meg az ismertetett hibakategóriák hatásai?

A fent említett megoldások mind segítségünkre lehetnek, ezen kívül pedig a legfontosabb a tudatos tervezés. Nem lesz mindenkinek logelemző rendszere, nem mindenki tud, adatszivárgás elleni automatizált megoldást (DLP-t) bevezetni. De legyünk tisztában vele, hogy történhet ilyen és védekezéssel, oktatással, email szűréssel, rendszeres frissítésekkel, korlátozott hozzáférésekkel tegyünk ellene, hogy a lehető legtöbb sérülékenységet szűrhessük ki.