Alex
Továbbra sem vagyunk védve a hackerek ellen
Az Anonymous nemzetközi hackercsoport hazai célpontok ellen lezajlott sikeres támadásai az elmúlt hetekben ismét ráirányították a figyelmet a honi cégek, szervezetek lesújtó adatbiztonsági állapotára.
Miközben óvatos becslések szerint is több tíz milliárd forint a hazai adatlopásokból eredő éves kár, a nyilvánosságra kerülő esetekből fakadó presztízsveszteség, illetve a támadások után kieső üzemórák által okozott károk még ennél is jelentősebbek lehetnek. A BDO Magyarország 2011-ben számos hazai rendszer átfogó belső és külső adatbiztonsági vizsgálatát végezte el kórházi hálózatoktól közműcégeken keresztül komplex kereskedelmi rendszerekig. A vizsgálatok alapvető tapasztalata, hogy az általános hazai kibervédelem már közepes informatikai felkészültség mellett is kijátszható. Szinte minden esetben elegendő volt 1-2 nap arra, hogy egy-egy triviális adatbiztonsági hiba miatt a szakemberek a teljes rendszerhez hozzáférjenek. Mindez egyes cégek gazdasági összeomlása mellett fontos ellátórendszerek megbéníthatósága miatt akár nemzetbiztonsági kockázatot is magában hordozhat.
"A legkülönbözőbb, sokszor alapvető adatvédelmi hibákkal találkoztunk a tesztek során - ismerteti a tapasztalatokat Török Szilárd, a cég szakértője. "A rendszergazdai jog megszerzéséhez sokszor elegendő volt azt kihasználni, hogy a rendszerek alapbeállításokkal futnak, és igen gyenge vagy triviális felhasználónév/jelszó párosítás társul hozzájuk. Máskor egy pénzügyi szervezet egy külső, védelem nélküli webszerverén találtunk olyan adatokat, amelyek alapvetően megkönnyítették a behatolást. A legriasztóbb az a tény, hogy a hackerek egyes közműcégek olyan vezérlő rendszerei felett is képesek átvenni az uralmat, amelyeken keresztül ártó szándékkal befolyásolható (esetenként leállítható) a fogyasztók ellátása, bizonyos esetekben a teljes rendszer visszafordíthatatlanul tönkretehető."
A hibák detektálása persze önmagában nem elegendő, azokat gyorsan ki is kell küszöbölni. A BDO IT Megoldások üzletágának ezzel kapcsolatban is negatívak a tapasztalatai. A tavalyi audit során is feltárt olyan komoly védelmi hibát egy, a hazai bankok többsége által használt home banking rendszerben, amelyet már 2001-ben, tehát több mint tíz éve beazonosított. Mindez csak azzal magyarázható, hogy a felhasználók még mindig nincsenek igazán tisztában a lehetséges (a bizalomvesztés miatt hatványozódó) kárérték nagyságával.
Bár a pénzintézeti szektorban is találhatóak biztonsági rések, a törvényi előírások betartása érdekében mindenütt végrehajtották azokat az alapvető biztonsági fejlesztéseket, amelyek jelentősen csökkentik az ügyfelek biztonsági kockázatát. További pozitívumként említhető az NBF (Nemzeti Biztonsági Felügyelet) működése, amely a kormányzati intézmények informatikai védelmét ellenőrzi, akár etikus hacker módszerek alkalmazásával.
Miközben az elmúlt években komplex online kereskedelmi rendszerek tömege épült ki és fejlődött viharos sebességgel, ezek biztonsági rendszerei korántsem fejlődtek a rajtuk lebonyolított forgalommal arányos módon. A BDO által végzett teszt során külső behatolóként lehetséges volt hozzáférni bármely belépő felhasználó kereskedelmi tételeihez, nevükben megrendeléseket adni és számláikról azok tudta nélkül szabadon utalni. Ám európai szinten sem jobb a helyzet. Az EU széndioxidkvóta-kereskedelmi rendszerét a tavalyi évben rendszeres - valódi, rosszindulatú - támadások érték, melynek eredményeképpen egyes becslések szerint uniós szinten mintegy 5 milliárd (!) euró értékű adócsalást hajtottak végre.
Mindezek a tapasztalatok is azt igazolják, hogy ha nincsen rászorítva akár jogszabályok., akár külföldi tulajdonosai által, egy átlagos szervezet a biztonsági kockázatok között még ma sem a valódi súlyának megfelelően kezeli az adatbiztonság kérdését: miközben éves szinten fizikai biztonságra több tízmillió forintot is elkölt, adatvédelemre sokszor 1-2 millió forintot sem szívesen áldoz. Persze az sem mellékes, hogy ezen belül mire költi a pénzt. Sokszor a legkorszerűbb rendszerek beszerzése sem elegendő, ha azok nincsenek megfelelően testre szabva, üzemeltetésük és beállításuk hiányos vagy elhanyagolt.
A védelem legfontosabb eleme ugyanakkor a folyamatos tesztelés. A rendszert felépítő és üzemeltető belső szakemberek óhatatlanul csak korlátozottan tudják objektíven, külső szemmel felmérni a rendszerre leselkedő veszélyeket. Egyedül az ügyfél megbízásából (optimálisan az üzemeltető személyek tudta nélkül végrehajtott) betörési teszteket végző úgynevezett etikus hackerek képesek arra, hogy hatékonyan megleljék az adott hálózatok gyenge pontjait, megnehezítve az ártó szándékú behatolást. "Ahogyan nincs feltörhetetlen lakás, úgy nincsen feltörhetetlen informatikai rendszer sem - állítja a BDO Magyarország szakembere. "Ám itt is érvényesül az elv: ha a betörő nem egy adott zsákmányra tör, akkor nagy eséllyel az alacsonyabb szintű védelmet próbálja majd kijátszani."
A kibertámadások területén a jövőben egyre erősödő aktivitásra kell felkészülni. Egy jól szervezett akcióhoz évről - évre egyre összetettebb, bárki számára elérhető (automatizált támadási) szoftverek találhatók már a világhálón, emellett felnőtt egy egész korosztály, amely már ebben az informatikai környezetben szocializálódott. Közülük egyre többen vannak olyan fiatalok, akiknek egzisztenciálisan nincs jelentős vesztenivalójuk, miközben a tudásukkal való visszaélésnek komoly anyagi motivációi is lehetnek.
Miközben óvatos becslések szerint is több tíz milliárd forint a hazai adatlopásokból eredő éves kár, a nyilvánosságra kerülő esetekből fakadó presztízsveszteség, illetve a támadások után kieső üzemórák által okozott károk még ennél is jelentősebbek lehetnek. A BDO Magyarország 2011-ben számos hazai rendszer átfogó belső és külső adatbiztonsági vizsgálatát végezte el kórházi hálózatoktól közműcégeken keresztül komplex kereskedelmi rendszerekig. A vizsgálatok alapvető tapasztalata, hogy az általános hazai kibervédelem már közepes informatikai felkészültség mellett is kijátszható. Szinte minden esetben elegendő volt 1-2 nap arra, hogy egy-egy triviális adatbiztonsági hiba miatt a szakemberek a teljes rendszerhez hozzáférjenek. Mindez egyes cégek gazdasági összeomlása mellett fontos ellátórendszerek megbéníthatósága miatt akár nemzetbiztonsági kockázatot is magában hordozhat.
"A legkülönbözőbb, sokszor alapvető adatvédelmi hibákkal találkoztunk a tesztek során - ismerteti a tapasztalatokat Török Szilárd, a cég szakértője. "A rendszergazdai jog megszerzéséhez sokszor elegendő volt azt kihasználni, hogy a rendszerek alapbeállításokkal futnak, és igen gyenge vagy triviális felhasználónév/jelszó párosítás társul hozzájuk. Máskor egy pénzügyi szervezet egy külső, védelem nélküli webszerverén találtunk olyan adatokat, amelyek alapvetően megkönnyítették a behatolást. A legriasztóbb az a tény, hogy a hackerek egyes közműcégek olyan vezérlő rendszerei felett is képesek átvenni az uralmat, amelyeken keresztül ártó szándékkal befolyásolható (esetenként leállítható) a fogyasztók ellátása, bizonyos esetekben a teljes rendszer visszafordíthatatlanul tönkretehető."
A hibák detektálása persze önmagában nem elegendő, azokat gyorsan ki is kell küszöbölni. A BDO IT Megoldások üzletágának ezzel kapcsolatban is negatívak a tapasztalatai. A tavalyi audit során is feltárt olyan komoly védelmi hibát egy, a hazai bankok többsége által használt home banking rendszerben, amelyet már 2001-ben, tehát több mint tíz éve beazonosított. Mindez csak azzal magyarázható, hogy a felhasználók még mindig nincsenek igazán tisztában a lehetséges (a bizalomvesztés miatt hatványozódó) kárérték nagyságával.
Bár a pénzintézeti szektorban is találhatóak biztonsági rések, a törvényi előírások betartása érdekében mindenütt végrehajtották azokat az alapvető biztonsági fejlesztéseket, amelyek jelentősen csökkentik az ügyfelek biztonsági kockázatát. További pozitívumként említhető az NBF (Nemzeti Biztonsági Felügyelet) működése, amely a kormányzati intézmények informatikai védelmét ellenőrzi, akár etikus hacker módszerek alkalmazásával.
Miközben az elmúlt években komplex online kereskedelmi rendszerek tömege épült ki és fejlődött viharos sebességgel, ezek biztonsági rendszerei korántsem fejlődtek a rajtuk lebonyolított forgalommal arányos módon. A BDO által végzett teszt során külső behatolóként lehetséges volt hozzáférni bármely belépő felhasználó kereskedelmi tételeihez, nevükben megrendeléseket adni és számláikról azok tudta nélkül szabadon utalni. Ám európai szinten sem jobb a helyzet. Az EU széndioxidkvóta-kereskedelmi rendszerét a tavalyi évben rendszeres - valódi, rosszindulatú - támadások érték, melynek eredményeképpen egyes becslések szerint uniós szinten mintegy 5 milliárd (!) euró értékű adócsalást hajtottak végre.
Mindezek a tapasztalatok is azt igazolják, hogy ha nincsen rászorítva akár jogszabályok., akár külföldi tulajdonosai által, egy átlagos szervezet a biztonsági kockázatok között még ma sem a valódi súlyának megfelelően kezeli az adatbiztonság kérdését: miközben éves szinten fizikai biztonságra több tízmillió forintot is elkölt, adatvédelemre sokszor 1-2 millió forintot sem szívesen áldoz. Persze az sem mellékes, hogy ezen belül mire költi a pénzt. Sokszor a legkorszerűbb rendszerek beszerzése sem elegendő, ha azok nincsenek megfelelően testre szabva, üzemeltetésük és beállításuk hiányos vagy elhanyagolt.
A védelem legfontosabb eleme ugyanakkor a folyamatos tesztelés. A rendszert felépítő és üzemeltető belső szakemberek óhatatlanul csak korlátozottan tudják objektíven, külső szemmel felmérni a rendszerre leselkedő veszélyeket. Egyedül az ügyfél megbízásából (optimálisan az üzemeltető személyek tudta nélkül végrehajtott) betörési teszteket végző úgynevezett etikus hackerek képesek arra, hogy hatékonyan megleljék az adott hálózatok gyenge pontjait, megnehezítve az ártó szándékú behatolást. "Ahogyan nincs feltörhetetlen lakás, úgy nincsen feltörhetetlen informatikai rendszer sem - állítja a BDO Magyarország szakembere. "Ám itt is érvényesül az elv: ha a betörő nem egy adott zsákmányra tör, akkor nagy eséllyel az alacsonyabb szintű védelmet próbálja majd kijátszani."
A kibertámadások területén a jövőben egyre erősödő aktivitásra kell felkészülni. Egy jól szervezett akcióhoz évről - évre egyre összetettebb, bárki számára elérhető (automatizált támadási) szoftverek találhatók már a világhálón, emellett felnőtt egy egész korosztály, amely már ebben az informatikai környezetben szocializálódott. Közülük egyre többen vannak olyan fiatalok, akiknek egzisztenciálisan nincs jelentős vesztenivalójuk, miközben a tudásukkal való visszaélésnek komoly anyagi motivációi is lehetnek.
