Hackerek törtek be nemrég az egyik legnagyobb amerikai társadalombiztosító informatikai rendszerébe, és jelentős mennyiségű ügyféladathoz fértek hozzá. Ez is és a tavalyi legnagyobb ügyféladat-lopási esetek is azt mutatják, hogy a cégek képtelenek megvédeni személyes adatainkat. Pedig a támadások módszerei ismertek, és a védekezés sem reménytelen.
Még nem tudni, hány ügyfél adatait szerezte meg pár napja az a hackercsoport, amelyik betört az egyik legnagyobb amerikai társadalombiztosító rendszerébe, és onnan ügyféladatokat szerzett meg. Az Anthem biztosító tájékoztatása szerint hitelkártyaadatokhoz és kórtörténetekhez nem fértek hozzá, de nevekhez, születési dátumokhoz, lakcímekhez, tb-számokhoz és e-mail címekhez igen.
„Az embernek olyan érzése van néha, mintha az információbiztonsági szakma süket füleknek beszélne” – mondja Sallai György, a KPMG információbiztonsági igazgatója. Jól ismert, ezerszer leírt hibák vezetnek oda, hogy évente több százmillió felhasználó adatai kerülnek illetéktelen kezekbe. „Elég megnézni a tavalyi év legnagyobb adatlopási ügyeit, és máris látjuk, hogy ezek olyan cégeknél történtek, amelyekről tudható, hogy kitettek a támadásoknak, hiszen a kibertérben támadott információk 96 százaléka pontosan az, amit ők is kezelnek: felhasználók személyes adatai” – mondja a KPMG igazgatója.
Az Egyesült Államok egyik legnagyobb kórház-üzemeltető cégétől, a CHS-től (Community Health System) 4,5 millió felhasználó adatait szerezték meg tavaly kínai hackerek, a Home Depot-t pedig 56 millió bankkártya adataitól szabadították meg beszállítói. A JPMorgan Chase 76 millió ügyfél személyes adatát vesztette el, a Target üzletlánctól 110 millió bankkártya adatai szivárogtak ki. Az eBay ügyét még vizsgálják a hatóságok, de az érintett felhasználók száma eléri a 145 milliót. Sallai György szerint a hab a tortán a Sony elleni év végi támadás volt, amelyben az ügy veszteseinek száma még ismeretlen, de feltehetőleg nagyobb az összes többinél.
A KPMG igazgatója szerint mind a hat támadás klasszikusnak nevezhető módszerrel történt: biztonsági rést kihasználó hackerbehatolás, emberi tényezőket kihasználó social engineering vagy harmadik féltől – tipikusan beszállítótól – induló behatolás. Nincs tehát új a nap alatt, a cégek, cégvezetők azonban, úgy tűnik, még mindig nem készültek fel eléggé ezekre a támadásokra. Pedig a fenti nagy horderejű incidensek esetében az adatvesztés az érintett vezetők karrierjébe került, és volt, ahol ez nemcsak az informatikai főnököt érintette, de a vezérigazgatót is.
Mire kell tehát figyelnie egy cégvezetőnek, ha nem akar hasonló sorsra jutni? Sallai György szerint nem olyan bonyolult a dolog. Öt alapszabályt kell betartani, és máris jelentősen csökkenthetjük a hasonló támadások kockázatát.
1) Fenyegetettségek hierarchikus kezelése
Nem elegendő, ha az IT-szakemberek technikai eszközökkel harcolnak a rendszer sérülékenységei ellen. A Target üzletlánc példája azt mutatja, hogy a szervezet minden szintjén megfelelő szerepet kell kapnia a kockázatkezelésnek. Egy biztonsági szabály figyelmen kívül hagyása, egy olcsó beszállító bevonása vagy egy belső ellenőrzési jelentés alulértékelése mind gyors üzleti eredménnyel kecsegteti az adott szintű vezetőt, aki éppen ezért nem maradhat ki a kockázatkezelés látóköréből. A szervezeti hierarchia helyes megválasztása fontos szempont, éppen úgy mint az, hogy a védelmi intézkedések áthassák a szervezetet egészét.
2) Munkavállalók biztonságtudatos képzése
Az adatvesztések második leggyakoribb oka humán kockázatra vezethető vissza. Az eBay-nél a munkatársak belépési adatait ellopva jutottak a hackerek az értékes ügyféladatokhoz. Ezt akár egy olyan költségkímélő biztonsági tréninggel is meg lehetett volna akadályozni, amelyik nyomatékosan felhívja a dolgozók figyelmét a „Password1234” jelszó használatának veszélyeire és a post-it cédulákra írt jelszavak kockázatára. Ha az adott szervezet nem látja az előtte álló kockázatok erdejét, social engineering vizsgálattal feltárhatja a neuralgikus pontokat.
3) Beszállítók monitorozása
Mint azt a Home Depot és a Target példája mutatja, az egyik legnagyobb biztonsági kockázat a beszállító, amellyel számítógépen kommunikálunk. Az üzleti racionalitás érdekében beszállítók egész sora fér hozzá felhasználói vagy üzletileg érzékeny adatokhoz. Éppen ezért vizsgálni kell, hogy a beszállítók milyen rendszerekhez, adatokhoz és munkafolyamatokhoz férnek hozzá, és az adott hozzáférés valóban szükséges-e a munkavégzéshez. És ne feledjük: attól, hogy valaki takarít, még nem biztos, hogy nem tud kimásolni egy merevlemezt.
4) Biztonsági szabályok alkalmazása
Itt lényegesen többről van szó, mint a szabályok kialakítása. A gyakorlati alkalmazáson, betartatáson van a hangsúly, mint azt a JPMorgan Chase szakemberei is megtanulhatták. Minden szabály annyit ér, amennyire komolyan veszik. A legkisebb változtatás kockázatait is mérlegelni kell, és a szabályok alkalmazását minden esetben, kockázatarányos módon, ki kell kényszeríteni.
5) Sérülékenységek rendszeres ellenőrzése
A rendszeres ellenőrzés a leghatékonyabb módja a külső támadások megakasztásának. Csakhogy nem elég egy rendszer gyenge pontjait a bevezetése pillanatában vizsgálni, sőt még az éves felülvizsgálat is kevésnek bizonyulhat, ha a rendszerekben sűrűn történik változás. A vizsgálatok tervezésénél fontos szempont a proaktivitás. Minden változás alkalmával érdemes a változással járó kockázatokat előre számba venni, és felkészülni az adott kockázat kezelésére. A sérülékenységek túlnyomó többsége már a tervezési, fejlesztési szakaszban látszik. Helyes szabályok, rutinok, kockázatelemzés alkalmazásával még a rendszer elkészülte előtt láthatóvá válnak a gyenge pontok.
A tapasztalat azt mutatja, hogy a magánemberek sem igazán foglalkoznak személyes adataik védelmével, holott egyre többször szembesülhetnek azzal, hogy felhőben tárolt adataik nincsenek biztonságban. Csak tavaly 5 millió jelszót loptak el a Google-tól, 2 millió Facebook-jelszó jutott hackerek kezébe, és 7 millió Dropbox-profilt törtek fel – mégsem merné senki sem állítani, hogy a felhasználók ettől óvatosabbak lettek, és kevesebb személyes, netán intim adatot töltenének fel ezekre a helyekre. A felhasználók felelőtlensége persze nem mentesíti az adataikat kezelő cégeket a gondos őrzés felelőssége alól.