A közösségi hálózatok, a netre csatlakozó mobilok drámai módon növelik a cégek kockázatát. Hogyan védekezzünk?
Ma már a legnépszerűbb közösségi szolgáltatás, a Facebook felhasználói tucatszám megtalálhatók szinte minden olyan munkahelyen, amely nem tiltja annak használatát. A netes bűnözők pedig már elkezdtek olyan módszereket fejleszteni, amelyek a kedvelt közösségi játékokon keresztül nyitnak utat a rosszindulatú programok terjesztéséhez.
Ne legyenek illúzióink! ■ A Cisco legfrissebb adatbiztonsági jelentése szerint a felhasználók fele beismeri, hogy rendszeresen megsérti a közösségimédia-oldalak használatára vonatkozó céges előírásokat. Negyedük pedig még a vállalati eszközök biztonsági beállításait is maga módosította, hogy hozzáférhessen a tiltott alkalmazásokhoz.Tovább súlyosbítja a helyzetet, hogy a Gartner piackutató szerint öt éven belül többen használnak majd internetezésre mobil eszközöket, mint PC-ket. Az informatikusoknak főhet a fejük, ha menedzselni és biztonsági téren is felügyelni szeretnék a különböző készülékek, szoftverplatformok, mobil alkalmazások és szolgáltatók tömegét.
Tanulságos kísérlet zajlott pár hónapja, amelynek során a CBS News riportere megvásárolt négy használt fénymásolót, amelyekből azután tervrajzokat, bűnözők számára igen értékes társadalombiztosítási adatokat, valamint csekkek másolatait nyerte ki. A „zsákmány” feketepiaci értékét mintegy 40 ezer dollárra becsülték a szakértők. A nyomtatók merevlemezén tárolt adatok kinyeréséhez pedig semmi másra nem volt szükség, mint egy ingyenesen letölthető szoftverre és pár kattintásra.
Ma már nem elég arra figyelni, hogy csak antivírus programmal netezzünk, vagy hogy a parkolóban elszórt, ismeretlen pendrive-okat ne dugdossunk a vállalati gépekre. Az alábbiakban öt, az utóbbi időben egyre nagyobb IT biztonsági fenyegetést hordozó területet, illetve az ellenük való védekezés módozatait gyűjtöttünk csokorba.
Szabályozott mobilitás ■ A következő években az okostelefonok állnak majd a támadók figyelmének középpontjában; az első iPhone-vírus például már tavaly megjelent. De említhetjük a Wi-Fi Direct technológiát is, amellyel a legtöbb új mobil eszköz rendelkezik. Ez automatikus kapcsolódást tesz lehetővé két Wi-Fi-s eszköz (például okostelefonok) között még hotspot nélkül is, így pillanatok alatt vírussal fertőzhető meg rengeteg, az antenna hatókörében lévő készülék. E technológia a felhasználóknak igen kényelmes, a vállalat szempontjából viszont minden egyes készüléket adatbiztonsági bombává változtat. Azaz alaposan ki kell vizsgálni a céges felhasználás célját és módozatait, mielőtt ilyen kütyük használatát megengedjük. Elengedhetetlen a dolgozók oktatása, illetve a támadható mobil eszközök figyelemmel kísérése a teljes életciklusukon át.
Szigorított hozzáférés az üzleti adatokhoz ■ Indokolt, hogy a cégek az eddigieknél sokkal szigorúbban korlátozzák az érzékeny üzleti adatokhoz (tervek, pénzügyi mutatók, fontos kimutatások, címjegyzékek, kontaktlisták) való hozzáférést. Nem mindegy, kik kapnak elérési kódot az ilyen rendszerekhez, adatokhoz, de még arra is figyelni kell, hogy összesen hány főből áll ez a kör. Különösen szigorítani kell az ilyen adatokhoz való hozzáférést a mobil eszközökről, mert a legtöbb munkatársnak egyszerűen nincs rá szüksége, hogy rendelkezzen magas jogosultsági szintekkel, bárhol is tartózkodik éppen. Elegendő, ha a cégvezető és mondjuk a pénzügyekben döntési joggal bíró helyettese láthatja BlackBerryjén a vállalatirányítási (ERP) rendszerben az árbevétel, a nyereség aktuális alakulását, vagy egy fontos vevőnek szóló árajánlatot, netán a kollégák bértábláját. Persze túlzásba sem kell esni, a céges intranetet nem érdemes letiltani, de megint más a helyzet az ügyfélkapcsolat-kezelő (CRM) alkalmazásokkal.
Használati utasítás a közösségi térhez ■ Az együttműködést támogató, közösségi webes tereket négyből három munkavállaló nagyon fontosnak tartja a munkájához is, így a biztonsági kockázatok ellenére sem érdemes teljesen betiltani, vagy túlzottan korlátozni azok használatát. Éppen ezért elengedhetetlen, hogy az alkalmazottak mindegyike nagyon alapos útmutatást kapjon a témáról. Ezzel látványosan enyhíteni lehet például a belső vállalati információk felelőtlen megosztásának veszélyét.
Számítási felhő és virtualizáció szabályozottan ■ Érdemes célzott módon, minden egyes felhasználóra lebontva szabályozni azt is, miként lehet hozzáférni a virtualizált rendszereken elérhető alkalmazásokhoz és adatokhoz. Nem árt olyan eszközöket beszerezni, amelyek lehetővé teszik a számítási felhő segítségével végzett tevékenységek automatikus, szoftveres felügyeletét és nyomon követését a nap 24 órájában.
Biztonsági szemléletváltás üzleti oldalon is ■ Az IT-biztonságot egyre indokoltabb üzleti, és nem pedig informatikai kérdésként kezelni. A Deloitte friss felmérése szerint ezt egyre több európai vállalat is belátja. A cégek IT-biztonsági főnökeit a vezérigazgató vagy az igazgatóság már majdnem ugyanolyan rendszerességgel számoltatja be, mint közvetlen felettese az informatikai terület vezetője. A vállalkozások majdnem háromnegyedénél az informatikai és az üzleti döntéshozók közösen dolgozták ki a céges stratégiát. Azaz az IT-biztonság és az üzletmenet-folytonosság megteremtése már elválaszthatatlanul az üzleti tevékenység részévé lett.
(A cikk a Figyelő 2010/38. számában jelent meg.)