Pár napja betörtek az egyik legnagyobb amerikai társadalombiztosító rendszerébe, és onnan ügyféladatokat szerzett meg. Az Anthem biztosító tájékoztatása szerint hitelkártyaadatokhoz és kórtörténetekhez nem fértek hozzá, de nevekhez, születési dátumokhoz, lakcímekhez, tb-számokhoz és e-mail címekhez igen. Ez is azt mutatja, hogy miközben 2014-ben egymást érték a durvábbnál durvább biztonsági incidensek, idén sem lehet sokkal jobb évre számítani.

Repkednek a milliók

Az Egyesült Államok egyik legnagyobb kórház-üzemeltető cégétől, a CHS-től 4,5 millió felhasználó adatait szerezték meg tavaly kínai hackerek, a Home Depot-t pedig 56 millió bankkártya adataitól szabadították meg beszállítói. A JPMorgan Chase 76 millió ügyfél személyes adatát vesztette el, a Target üzletlánctól 110 millió bankkártya adatai szivárogtak ki. Az eBay ügyét még vizsgálják a hatóságok, de az érintett felhasználók száma eléri a 145 milliót. Sallai György szerint a hab a tortán a Sony elleni év végi támadás volt, amelyben az ügy veszteseinek száma még ismeretlen, de feltehetőleg nagyobb az összes többinél.

Sallai György, a KPMG információbiztonsági igazgatója szerint mind a hat támadás klasszikusnak nevezhető módszerrel történt: biztonsági rést kihasználó hackerbehatolás, emberi tényezőket kihasználó social engineering vagy harmadik féltől – tipikusan beszállítótól – induló behatolás. Nincs tehát új a nap alatt, a cégek, cégvezetők azonban, úgy tűnik, még mindig nem készültek fel eléggé ezekre a támadásokra. Pedig a fenti nagy horderejű incidensek esetében az adatvesztés az érintett vezetők karrierjébe került, és volt, ahol ez nemcsak az informatikai főnököt érintette, de a vezérigazgatót is.

Ezekre kellene figyelni

Mire kell tehát figyelnie egy cégvezetőnek, ha nem akar hasonló sorsra jutni? A tanácsadó szakembere szerint nem olyan bonyolult a dolog. Öt alapszabályt kell betartani, és máris jelentősen csökkenthetjük a hasonló támadások kockázatát.

Fenyegetettségek hierarchikus kezelése
Nem elegendő, ha az IT-szakemberek technikai eszközökkel harcolnak a rendszer sérülékenységei ellen. A Target üzletlánc példája azt mutatja, hogy a szervezet minden szintjén megfelelő szerepet kell kapnia a kockázatkezelésnek. Egy biztonsági szabály figyelmen kívül hagyása, egy olcsó beszállító bevonása vagy egy belső ellenőrzési jelentés alulértékelése mind gyors üzleti eredménnyel kecsegteti az adott szintű vezetőt, aki éppen ezért nem maradhat ki a kockázatkezelés látóköréből. A szervezeti hierarchia helyes megválasztása fontos szempont, éppen úgy mint az, hogy a védelmi intézkedések áthassák a szervezetet egészét.

Munkavállalók biztonságtudatos képzése
Az adatvesztések második leggyakoribb oka humán kockázatra vezethető vissza. Az eBay-nél a munkatársak belépési adatait ellopva jutottak a hackerek az értékes ügyféladatokhoz. Ezt akár egy olyan költségkímélő biztonsági tréninggel is meg lehetett volna akadályozni, amelyik nyomatékosan felhívja a dolgozók figyelmét a „Password1234” jelszó használatának veszélyeire és a post-it cédulákra írt jelszavak kockázatára. Ha az adott szervezet nem látja az előtte álló kockázatok erdejét, social engineering vizsgálattal feltárhatja a neuralgikus pontokat.

Beszállítók monitorozása
Mint azt a Home Depot és a Target példája mutatja, az egyik legnagyobb biztonsági kockázat a beszállító, amellyel számítógépen kommunikálunk. Az üzleti racionalitás érdekében beszállítók egész sora fér hozzá felhasználói vagy üzletileg érzékeny adatokhoz. Éppen ezért vizsgálni kell, hogy a beszállítók milyen rendszerekhez, adatokhoz és munkafolyamatokhoz férnek hozzá, és az adott hozzáférés valóban szükséges-e a munkavégzéshez. És ne feledjük: attól, hogy valaki takarít, még nem biztos, hogy nem tud kimásolni egy merevlemezt.

Biztonsági szabályok alkalmazása
Itt lényegesen többről van szó, mint a szabályok kialakítása. A gyakorlati alkalmazáson, betartatáson van a hangsúly, mint azt a JPMorgan Chase szakemberei is megtanulhatták. Minden szabály annyit ér, amennyire komolyan veszik. A legkisebb változtatás kockázatait is mérlegelni kell, és a szabályok alkalmazását minden esetben, kockázatarányos módon, ki kell kényszeríteni.

Sérülékenységek rendszeres ellenőrzése
A rendszeres ellenőrzés a leghatékonyabb módja a külső támadások megakasztásának. Csakhogy nem elég egy rendszer gyenge pontjait a bevezetése pillanatában vizsgálni, sőt még az éves felülvizsgálat is kevésnek bizonyulhat, ha a rendszerekben sűrűn történik változás. A vizsgálatok tervezésénél fontos szempont a proaktivitás. Minden változás alkalmával érdemes a változással járó kockázatokat előre számba venni, és felkészülni az adott kockázat kezelésére. A sérülékenységek túlnyomó többsége már a tervezési, fejlesztési szakaszban látszik. Helyes szabályok, rutinok, kockázatelemzés alkalmazásával még a rendszer elkészülte előtt láthatóvá válnak a gyenge pontok.