Ha hekkertámadásról olvasunk a médiában, annak oka az, hogy a célpontjuk (az áldozat) nagyobb, ismert vállalat. Ha a Google, a Facebook vagy a Microsoft válik kiberesemény áldozatává, az természetesen felkelti a média érdeklődését, így a nyilvánossághoz is eljut az eset híre.
Azonban szinte függetlenül attól, hogy az ismert vállalatokat és szervezeteket célzó támadások milyen nagyságrendűek és mennyire kifinomultak, mindig „megoldódnak”, azaz van egy kezdetük, lefolyásuk, végük, megoldásuk. A megoldás nem mindig „pozitív” az érintett szervezet vagy intézmény számára: az áldozat néha hatalmas összegeket fizet (általában kriptovalutában) a támadóknak, hogy visszakapja az adatait.
A média beszámolóit követve az embernek az a hamis benyomása támadhat, hogy szinte kivétel nélkül a nagyvállalatok a kiberbűnözők állandó célpontjai. Ez nagymértékben téves. Igaz, hogy minél nagyobb a cég/intézmény/szervezet, vagy minél nagyobb a kitettsége, annál inkább válik a bűnözők vágyott célpontjává, de ez csak néhányuknál van így. Az úgynevezett hekkertámadások nagy része ugyanis kis- és középszervezetek ellen irányul! Világszerte egyre erősödik ez a tendencia, aminek számos oka van. Például, hogy a hekkerek arra számítanak (és sajnos gyakran igazuk is van), hogy a kisebb szervezeteknek nincsenek meg a forrásaik vagy nincsenek tisztában adataik értékével, így nem tesznek lépéseket a védelmükben. A másik ok, hogy mivel a nagyszervezeteknek egy egész csapatuk van a kiberesemények megelőzésére és a védekezésre, a hekkerek részéről nagy műszaki tudásra és szinte mindig csapatmunkára van szükség ahhoz, hogy sikeresen áttörjék egy ilyen szervezet rendszerét, míg a kis- és középszervezeteknek nemhogy biztonságért felelős IT-s kollégájuk, de rendszerint IT-s kollégájuk sincs.
Azonban nem minden ennyire kilátástalan. Igaz, hogy egy nagy, jólszervezett támadás ellen - különösen kis- és közepes méretű szervezetok, szervezetek és intézmények esetén - szinte lehetetlen védekezni, de ez nem azt jelenti, hogy azonnal fel is kell adni a védekezést. Végtére is egy nagyléptékű kibertámadás megszervezése a bűnözők részéről is jelentős forrásokat igényel, és ezeket inkább nagy pénzek megszerzésének reményében használják fel. Így a kis- és középszervezetek számára elegendő néhány olyan egyszerű (és viszonylagosan olcsó) lépés megtétele, amelyek nagymértékben növelik a támadásokkal szembeni ellenállóképességet - legalábbis az egyedül dolgozó „hétköznapi” bűnözők esetén.
Az alábbiakban bemutatunk három kulcspontot, alapvetést, amelyeket ha egy szervezet megfelelően alkalmaz, akkor sokkal magasabb szintű kiberbiztonságot ér el, amely elegendő számos külső támadás elriasztására, illetve megelőzésére.
A munkavállalók képzése
Az elején a legfontosabb dolog az emberi tényező. Egy szervezet kiberbiztonsága szempontjából általában a munkatársak jelentik a leggyengébb láncszemet, és ez igaz minden típusú és méretű cégre és szervezetre: minél több ember dolgozik a csapatban, annál nagyobb az adatszivárgás, a külső támadás vagy a behatolás veszélye. Amit a nagy szervezetek, mint például a bankok jól csinálnak, az az, hogy az adatintegritás és eszközbiztonság terén odafigyelnek alkalmazottaik tudásszintjére.
A nagy cégek nagy összegeket költenek arra, hogy az összes alkalmazottukat képezzék. Természetesen nem mindenki ugyanazt a képzést kapja, és erre nincs is szükség. A jó képzési program az egyes emberek kitettségének és tudásának függvényében gondoskodik arról, hogy mindenki megfelelően megismerje a kiberbiztonság és az adatintegritás alapvető (vagy éppen haladóbb) témáit. Emellett rendszeres, a pszichológiai manipulációt (social engineering) megelőző képzéseken (általában szervezettől függően egyszer egy évben) gondoskodnak arról, hogy a munkatársak a legfrissebb szükséges információkkal rendelkezzenek, ezzel is biztosítva a szervezet jövőjét.
A kis- és közepes méretű szervezetek valószínűleg nem engedhetik meg maguknak, hogy ennyi időt áldozzanak csak kiberbiztonsági képzésre, de egy kis kreativitással és a vezetőség részéről beletett energiával minitréningeket lehet beiktatni a szervezet egyéb tevékenységeibe, vagy egy speciális kommunikációs csatornát lehet létrehozni, ahol a kiberbiztonság témáiról lehet szó. Ez segíteni fog abban, hogy a munkatársak (a vezetőséget is beleértve) tudatosítsák a kibertámadások megelőzésének fontosságát, illetve a mindenkit érintő lehetséges következményeit.
Az alkalmazottak „képzésének” egy másik módja rendszeres meetingek, információcsere szervezése a biztonság témakörében. Ezt össze lehet kapcsolni más hasonló tréningekkel is, mint elsősegélynyújtás, munkahelyi biztonság stb. Jó gyakorlatok, mint például a kiberhigiénia terjesztése az összes alkalmazott körében nagymértékben növeli az egész szervezet ellenállóképességét. Hiteles információk rendszeres cseréje, különösen, ha megbízható forrásból származnak és az iparág számára relevánsak, elősegíti, hogy időben felismerhetővé váljanak a hasonló szervezeteket érintő kibertámadási trendek, és ez időt ad a felkészülésre.
Adatbiztonság – adatintegritás és biztonsági mentések (backup)
A szervezet által napi szinten használt adatok biztonsága létfontosságú. Ezek nélkül a munka egyszerűen teljesen leáll. Az olyan adatok, mint a bankszámlák, bizalmas dokumentumok jelszavai, ügyfelek, partnerek elérhetőségei stb. nagy értékkel bírnak, és ezt a rosszindulatú szereplők tudják is. Így a szervezet jövőjének biztosítása érdekében vigyáznunk kell ezekre az adatokra, melyek általában velünk kapcsolatosak, de vevőinkkel is, és biztosnak kell lennünk abban, hogy megfelelő szintű védelmet kapnak.
Ennek egyik legegyszerűbb módja az adatok rendszeres biztonsági mentése. Segítségével még egy esemény bekövetkeztekor is lehetőség van a régi adatok visszaállítására, és a szervezet folytatni tudja a működését anélkül, hogy nagy összegeket fizetne a hekkereknek (ami egyébként még nem garancia az összes adat visszaszerzésére).
Az adatok rendszeres mentése mellett egy másik jó gyakorlat, hogy ha minden csapattagnak megfelelő hozzáférése van a munkájához szükséges adatokhoz. Hozzáférési szintek beállítása például, azaz hogy a teljes szervezet helyett csak bizonyos személyek férhessenek hozzá érzékenyebb adatokhoz, szűkíti a lehetséges külső behatolás „ablakát”. Ugyanígy a többfaktoros azonosítás minden alkalmazott esetében, a jelszavak rendszeres cseréje (beleértve a riasztórendszerét és a bejárati ajtóét is) nagymértékben hozzájárul a helyiségek és a felhasználói fiókok nagyobb biztonságához, és jobb adatintegritást biztosít. Ha bizonyos alkalmazottaknak (pl. a menedzsmentnek) a munkahelyen kívül, így utazáskor rendszeresen kapcsolódnia kell nem biztonságos hálózatokhoz, akkor érdemes elgondolkodni, hogy kötelező legyen VPN-t használniuk az eszközeiken.
Nagyon óvatosan kell bánni azokkal a mindennaposan használt adatokkal, melyek nélkül a működés lehetetlen. Egyetlen jogosulatlan megközelítés is elegendő ahhoz, hogy a teljes működésünk összeomoljon, és az elveszett adatok visszaállításával sem tudjuk visszanyerni a rendszerekbe vetett (ön)bizalmunkat valamint ügyfeleink megbecsülését.
Kiberbiztonsági szabályzatok
Egy szervezet kiberfenyegetésekkel szembeni védelembe fektetett erőfeszítései – az energia és pénz – leginkább úgynevezett kiberbiztonsági szabályok felállításával koronázhatóak meg. Folyamatosan frissített, végrehajtott és monitorozott szabályzatokkal az egész szervezet biztonsága szilárd lesz – sokkal szilárdabb, mint a legtöbb kis- és közepes méretű szervezeté.
A jó szabályzatok biztosítják többek között azt is, hogy egy esemény bekövetkeztekor - az eseményt megelőzően, közben és utána is - a teljes folyamatról feljegyzés készüljön, és azt később tanulmányozni lehessen. Ez nem igazán különbözik más munkahelyi eseményektől, mint egy tűzesettől, árvíztől, lopástól és hasonlóktól. Minden esetben az okok mélyreható elemzése szükséges: miért történt az esemény, mi volt a folyamata és hogyan végződött. Csak a mérőszámok rendszeres ellenőrzésével a kiberbiztonság összefüggésében lehetünk biztosak abban, hogy a szabályzataink működnek és megvédenek bennünket, illetve módosítanunk kell azokat, amelyek nem. Egy viszonylag egyszerű szabály például az úgynevezett „tiszta íróasztal” szabálya, amellyel jelentősen növelhető a szervezet kiberbiztonsága. Ez röviden szólva rendet teremt abban, hogy minek szabad, minek kell és minek nem szabad lennie bármikor, bármely alkalmazott íróasztalán. Egyebek mellett a szabálynak az is része lehet, hogy nem szabad a számítógép belépési jelszavát egy darab papírra leírni és a billentyűzet vagy a monitor szélére ragasztani. Az íróasztal fiókjaiban nem szabad más irodák, helyiségek kulcsait tartani. Ugyanígy jó belefoglalni azt is, hogy nem szabad cserélhető adathordozókat (mint pl. USB-s pendrive-ot) feltűnő helyeken hagyni, ahonnan könnyen és gyorsan ellophatóak.
Egy másik hasznos szabály a felhasználói fiókok jelszavainak rendszeres cseréje - minden alkalmazottra vonatkozóan. Az email-fiókok általában az első helyen szerepelnek a jelszavak rendszeres cseréjének listáján, de ne feledkezzünk meg egyéb dolgokról sem: pl. a szervezet hivatalos közösségi média profilja, a szervezet laptop és telefon jelszavai és így tovább. A szabályzat vonatkozhat az irodai WIFI jelszavának bizonyos időközönkénti cseréjére is, melynek célja az összes alkalmazott által használt internethálózathoz való jogosulatlan hozzáférés megelőzése. Emellett viszonylag egyszerű egy úgynevezett „vendég” hálózatot létrehozni, melyet kizárólag a szervezet látogatói használhatnak, így senkivel nem kell megosztani a jelszót.
Számos kiberbiztonsági szabály létezik, melyek rendszeres frissítése és sikeres alkalmazása (azaz minden alkalmazott tisztában van fontosságukkal és rendszeresen gyakorolja is azokat) és monitorozása (teljesítményük megfelelő mérőszámokkal való nyomonkövetése) jelentősen növeli a cég, szervezet vagy intézmény kiberbiztonságát. A kiberbiztonsági szabályok, mint a munkahelyi biztonság, a személyes adatok védelme és a többi csak akkor működőképesek, ha mindenki egyetért abban, hogy fontosak, szükségesek, és be is tartják azokat. Ez vissza is visz bennünket az 1. lépéshez, a kiberbiztonság emberi tényezőjéhez.
A technológiai védelem valóban magas szintű védelmet nyújthat, de a kisebb szervezetek számára gyakran drága és fenntarthatatlan. Emellett a külső technológiai védelem nem garantálja a 100%-os biztonságot, és aki ezt akarja „eladni” nekünk, az nem mond igazat. Az adatok és a rendszeresen használt, releváns információk fontosságával kapcsolatos szervezeti kultúra megváltoztatása valamint egyértelmű, hatékony és holisztikus kiberbiztonsági szabályok nélkül csak idő kérdése, hogy mikor „lep meg” bennünket egy következő kiberincidens. .
A cikket a Metamorphosis Foundation, Macedonia készítette.
Ha szeretnél többet megtudni arról, hogyan gondoskodj szervezeted kiberbiztonságáról, keresd fel ezt a blogot (angol nyelven), ahol elolvashatod a Radically Open Security által készített Legjobb gyakorlatok a működés biztonságának érdekében című útmutatót (Operational Security Best Practices Guide - angol nyelven) és megnézheted a társalapítójukkal, TEDx előadóval és digitális biztonsági szakértővel, Melanie Riebackkel készült webinart.
Ez a cikk eredetileg a Hive Mind blogján jelent meg.