Szükségszerű-e, hogy minél magasabb pozícióban van valaki, annál szélesebb hozzáférést kapjon vállalata rendszereihez, adataihoz? Miért kellene egy vezérigazgatónak feltétlenül superusernek lennie? Vagy miért kellene egy cégvezetőnek olyan jogosultságokkal rendelkeznie, amivel senki a vállalatnál? Erre csak egy racionális válasz lehetséges: hiúságból.
Ez azonban hatványozza azt az amúgy is magas kockázatot, melyet a szervezetek felső vezetői eleve jelentenek pozíciójuk, a birtokukban lévő információk értéke miatt. Ezt a kiemelt kockázatot rendre megerősítik a biztonsági cégek által készített kutatások is. Hogy csak egy jellemző példát hozzunk, az FBI egy tavalyi jelentése az ún. "business e-mail compromise" típusú támadásokról több milliárd dollárra becsülte az ilyen incidensek okozta károk, és ennek a támadástípusnak kizárólag kiemelt pozícióban lévő felső vezetők vannak kitéve, akik hozzáférnek a kasszakulcshoz.
Az igazi értékhez a személyes adaton át vezet az út
Persze a pénz- vagy információlopás már csak a végső eredmény. Azt szinte minden esetben megelőzi a vezetők személyes adatainak megszerzése. Mint ahogy mindennek, ennek is megszületett már a feketepiaca, és az ilyen adatokat meglehetősen magasra értékelik a darkneten.
Az ősz folyamán az F-Secure elvégzett egy viszonylag egyszerű, ám annál tanulságosabb kutatást. Nyolc európai ország (Dánia, Egyesült Királyság, Finnország, Franciaország, Hollandia, Németország, Olaszország, Svédország), valamint Japán és az Egyesült Államok legnagyobb vállalatainál kétszáz ügyvezető céges mailcímét vizsgálták meg abból a szempontból, hogy azon keresztül milyen mértékben vannak kitéve a vezetők adatbiztonsági incidenseknek.
Meglepetés nem született. És az is kiderült, hogy nem is nagyon védik magukat a veszélyektől.
A vizsgálatba bevont vezetők 30 százalékának bizonyíthatóan legalább egyszer kiszivárogtak a személyes adatai. Megnézték egyébként ágazati bontásban is, ami még megdöbbentőbb eredményt hozott: a technológiai cégek vezetőinek körében az adatlopást elszenvedők aránya sokkal magasabb: 63 százalék! A címek 81 százalékát a kutatók megtalálták különböző spam- és marketinglistákon.
Mindenkit érint
Ahhoz, hogy a vezetőktől adatok kerüljenek ki, egyébként nem kell semmi különleges, elég ha céges mailjükhöz kötötten használnak olyan felhős vagy közösségi szolgáltatást, amelyet ért adatlopásos támadás. A CEO-k előszerettel használnak mind Dropboxot, mind LinkedIn-t, és mivel mindkettőt érték már jelentős incidensek, a vizsgált személyek többségének céges postafiókja kompromittálódott is.
A cégvezetők több mint fele (53 százalék) a céges mailjét használja a LinkedIn-fiókjához, és 18 százalékuk a Dropboxhoz is azt használja. Bár csak egy százalék körüli arányban, de találtak a kutatók olyan cégvezetői postafiókot is, amit az Ashley Madisonhoz használt tulajdonosa. (Az oldalt, amely párkapcsolatban élőknek nyújt segítséget "diszkrét" afférok kialakításában, két éve érte súlyos támadás, melynek során az oldal 37 millió ügyfelének adatait lopták el hekkerek.)
Megnézték országonként is a cégvezetők tudatosságát. A leglazábbak a dánok, ott a CEO-k 62 százaléka használja külső szolgáltatásokhoz a céges postafiókját, míg a másik végen a japánok állnak, ott csak 9 százalék az arányuk. A probléma azonban a következmény: a spamlistákra ugyanis nem csak az e-mail cím kerül fel, hanem gyakran fizikai cím, születési dátum, sőt telefonszám is. Nem véletlen, hogy a vizsgált e-mail címeknek mindössze 18 százalékánál nem találtak a kutatók arra utaló jeleket, hogy a postafiókon keresztül adatszivárgás történt volna.
Az árnyékinformatika problémája
A felhőszolgáltatások és a különböző célú közösségi oldalak elterjedése – mivel azokat lényegében pár kattintás, és persze regisztráció (pl. e-mail cím, jelszó) után lehet használni – alapjaiban változtatta meg a vállalatok informatikához való hozzáállását. Pontosabban nem a vállalatokét – hiszen nagyos sok helyen szigorúan szabályozzák az igénybe vehető informatikai eszközöket és szolgáltatásokat –, hanem a munkatársakét. Az IT-büdzsék jellemzően decentralizálódnak, bizonyos beszerzéseket lényegében saját hatáskörben tudnak intézni az egyes részlegek, ami eleve arra csábít, hogy akár az IT-t megkerülve is használjanak eszközöket, szolgáltatásokat.
A legrosszabb eset az, amikor csak kísérleteznek. Ilyenkor például gyakran éles adatokat töltenek ingyenesen kipróbálható verziókba, melyeket aztán, ha az adott szolgáltatás nem jött be, magukra is hagynak. Azzal pedig már nem foglalkoznak, hogy a próbaképpen belerakott adatok, információk sorsa mi lesz.
A Cisco egy tavalyi kutatása egészen megdöbbentő adatokat közölt. A vizsgált nagyvállalatoknál átlagosan több mint 1200 (!) egyedi nyilvános felhőszolgáltatás futott, és számuk folyamatosan nő. A probléma az, hogy ezeknek egy jó részét nem felügyeli az IT, mert nem is tud róla. Így a szabályzatok betartását sem ellenőrzi senki.
A GDPR-megfelelőségre is kihat
Ez a GDPR jövő májusi életbe lépése után már nem csak az adott vállalat biztonságát fogja veszélyeztetni (az egységes európai adatvédelmi rendelettel foglalkozó cikkeinket itt találja). Ha ugyanis bebizonyosodik egy forensic-elemzés során, hogy az adatszivárgás emiatt az árnyékinformatika miatt következett be, azaz bizonyítható lesz, hogy a vállalat nem tett meg mindent az incidens megelőzéséért, nagyon súlyos pénzbírságot von maga után.
Hiába van már csak szűk fél év a felkészülésre, még mindig nagyok a hiányosságok – és nem csak Magyarországon. A Trend Micro egy idei őszi kutatása szerint a vállalatok töredéke (a megkérdezettek 14 százaléka) van például tisztában olyan alapkérdésekkel, hogy ha valaki európai vállalatként amerikai szolgáltatást vesz igénybe, egy esetleges adatvesztésért mindkét fél felel.
A Trend Micro kutatásából az F-Secure eredményeinek fényében egy paradox – amolyan "kecskére káposztát" – helyzet is kiolvasható. A megkérdezettek 31 százaléka szerint ugyanis a CEO felelős azért, hogy szervezete megfeleljen a GDPR előírásainak. Tehát épp az a személy, aki nagyon sok esetben a legkevésbé sem foglalkozik a biztonsági előírásokkal attól a szűk látókörű szemlélettől vezérelve, hogy első számú vezetőként neki mindenhez (is) legmagasabb szintű hozzáférése kell legyen.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak