A támadók feltehetőleg állami megbízásból dolgoztak. Az ilyen adatok kémkedéshez is felhasználhatók.

Ismét a személyes adatokra hajtottak a hackerek. Néhány napja jelent meg több amerikai lapban is, hogy feltehetően állami megrendelésre dolgozó kínai hekkerek sikerrel törtek be az amerikai Office of Personal Management (OPM) nevű hivatal számítógépes rendszerébe, és megszerezték négymillió szövetségi munkavállaló adatait. A támadás decemberben történt, ám csak áprilisban vették észre.

Egy új rendszer bevezetésénél derült ki

Az OPM áprilisban tesztelte új számítógépes biztonsági rendszerét, és annak során derült fény arra, hogy decemberben hekkerek sikeresen feltörték a hivatal rendszerét. Ez több mint kínos, főleg azok után, hogy áprilisban kiderült: feltehetően orosz kibertámadók tavaly a Fehér Ház és a Külügyminisztérium levelezőrendszerébe is bejutottak.

Az azóta elvégzett vizsgálatok magukat megnevezni nem kívánó szakértők szerint azt bizonyítják, hogy ugyanaz az állami kötődésű kínai hekkercsapat tehető felelőssé a támadásért, amelyik tavaly feltörte az Anthem egészségbiztosítási óriás rendszerét.

Az állami háttérre utalhat például az is, hogy a megszerzett adatokat nem értékesítették a feketepiacon.

Egyes vélemények szerint egyszerűen azért következhetett be ez az incidens, mert a védelem minden szinten elavult.

A személyes adat nagy érték

A KPMG információbiztonsági tanácsadó csoportjának vezetője, Sallai György az eset kapcsán arra hívja fel a figyelmet, hogy miközben a kínai és az orosz hekkerek számára, akik jellemzően a legaktívabbak a világon, az Egyesült Államok, és azon belül a kormányzati intézmények, kiemelt célpontot jelentenek számukra, voltaképpen magánemberek személyes adatait próbálják megszerezni.

Az informatikai támadások 96 százalékában személyes adat a célpont – hangsúlyozza Sallai. A most napvilágra került incidensben szerinte nagyon aggasztó, hogy erősen védett célpontok ellen voltak sikeresek a hackerek. És ha ott sikeresek, mi lehet a helyzet egy egészségügyi intézményben vagy egy kisebb, de néhány ezer ügyféllel kapcsolatban álló vállalkozással, ahol a védelem és így a biztonságtudatosság szintje is biztosan alacsonyabb – tette fel a kérdést a KPMG igazgatója. A problémát tovább súlyosbítja, hogy miközben a pénzintézeti, kormányzati és telekommunikációs szektor esetében törvények írják elő az adatok biztonságos kezelését, más iparágakban az még a legnagyobb vállalatoknál is a józan belátásra van bízva.

Mint azzal korábban egy magyar eset kapcsán is foglalkoztunk, a személyes adatok, különösen az egészségügyi és biztosítási információk sokkal értékesebbek, mint a hitelkártyákkal kapcsolatos információk, mer sokkal összetettebb és hosszabb ideig fenntartható visszaélésekre adnak lehetőséget.

Nem csak védelmi eszközökre van szükség

A most napvilágra került és az ehhez hasonló incidensek megelőzése nem csak eszközök kérdése – hangsúlyozza Sallai. A védekezés központi kérdése a priorizálás. Nem lehet minden információt megvédeni, de a veszélyeztetetteket és a különösen értékeseket minden erővel óvni kell. Ehhez a hatékony eszközök önmagukban kevesek. Kellenek pontos eljárási szabályok, valamint az azokat betartó lojális munkavállalók is. Ez utóbbi főleg azért fontos, mert a sikeres támadások zöme a „social engineering” eszközeivel történik, azaz a hackerek nem a biztonsági réseket keresik, hanem a figyelmetlen vagy hanyag munkavállalót.

Az OPM informatikai vezetője, Donna Seymour az incidens nyilvánosságra kerülése után úgy nyilatkozott, hogy a védelem megerősítésének egyik fontos lépéseként a kétlépcsős hitelesítés bevezetését tervezik.

Biztonság

42. Körkapcsolás: Mi és az MI

Mekkora teret hagy a projektmenedzsereknek a mesterséges intelligencia? Többek között erre az aktuális kérdésre keresték a választ a PMSZ rendezvényén.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.