Ismét a személyes adatokra hajtottak a hackerek. Néhány napja jelent meg több amerikai lapban is, hogy feltehetően állami megrendelésre dolgozó kínai hekkerek sikerrel törtek be az amerikai Office of Personal Management (OPM) nevű hivatal számítógépes rendszerébe, és megszerezték négymillió szövetségi munkavállaló adatait. A támadás decemberben történt, ám csak áprilisban vették észre.

Egy új rendszer bevezetésénél derült ki

Az OPM áprilisban tesztelte új számítógépes biztonsági rendszerét, és annak során derült fény arra, hogy decemberben hekkerek sikeresen feltörték a hivatal rendszerét. Ez több mint kínos, főleg azok után, hogy áprilisban kiderült: feltehetően orosz kibertámadók tavaly a Fehér Ház és a Külügyminisztérium levelezőrendszerébe is bejutottak.

Az azóta elvégzett vizsgálatok magukat megnevezni nem kívánó szakértők szerint azt bizonyítják, hogy ugyanaz az állami kötődésű kínai hekkercsapat tehető felelőssé a támadásért, amelyik tavaly feltörte az Anthem egészségbiztosítási óriás rendszerét.

Az állami háttérre utalhat például az is, hogy a megszerzett adatokat nem értékesítették a feketepiacon.

Egyes vélemények szerint egyszerűen azért következhetett be ez az incidens, mert a védelem minden szinten elavult.

A személyes adat nagy érték

A KPMG információbiztonsági tanácsadó csoportjának vezetője, Sallai György az eset kapcsán arra hívja fel a figyelmet, hogy miközben a kínai és az orosz hekkerek számára, akik jellemzően a legaktívabbak a világon, az Egyesült Államok, és azon belül a kormányzati intézmények, kiemelt célpontot jelentenek számukra, voltaképpen magánemberek személyes adatait próbálják megszerezni.

Az informatikai támadások 96 százalékában személyes adat a célpont – hangsúlyozza Sallai. A most napvilágra került incidensben szerinte nagyon aggasztó, hogy erősen védett célpontok ellen voltak sikeresek a hackerek. És ha ott sikeresek, mi lehet a helyzet egy egészségügyi intézményben vagy egy kisebb, de néhány ezer ügyféllel kapcsolatban álló vállalkozással, ahol a védelem és így a biztonságtudatosság szintje is biztosan alacsonyabb – tette fel a kérdést a KPMG igazgatója. A problémát tovább súlyosbítja, hogy miközben a pénzintézeti, kormányzati és telekommunikációs szektor esetében törvények írják elő az adatok biztonságos kezelését, más iparágakban az még a legnagyobb vállalatoknál is a józan belátásra van bízva.

Mint azzal korábban egy magyar eset kapcsán is foglalkoztunk, a személyes adatok, különösen az egészségügyi és biztosítási információk sokkal értékesebbek, mint a hitelkártyákkal kapcsolatos információk, mer sokkal összetettebb és hosszabb ideig fenntartható visszaélésekre adnak lehetőséget.

Nem csak védelmi eszközökre van szükség

A most napvilágra került és az ehhez hasonló incidensek megelőzése nem csak eszközök kérdése – hangsúlyozza Sallai. A védekezés központi kérdése a priorizálás. Nem lehet minden információt megvédeni, de a veszélyeztetetteket és a különösen értékeseket minden erővel óvni kell. Ehhez a hatékony eszközök önmagukban kevesek. Kellenek pontos eljárási szabályok, valamint az azokat betartó lojális munkavállalók is. Ez utóbbi főleg azért fontos, mert a sikeres támadások zöme a „social engineering” eszközeivel történik, azaz a hackerek nem a biztonsági réseket keresik, hanem a figyelmetlen vagy hanyag munkavállalót.

Az OPM informatikai vezetője, Donna Seymour az incidens nyilvánosságra kerülése után úgy nyilatkozott, hogy a védelem megerősítésének egyik fontos lépéseként a kétlépcsős hitelesítés bevezetését tervezik.