Mivel folyamatosan nő az adatlopási incidensek és a kiberbűnözők kezére jutó adatrekordok száma, az érintett vállalatoknak egyre nagyobb károkat okoznak a kibertámadások. A kiber- és információbiztonsággal, valamint kockázatkezeléssel foglalkozó Information Security Forum (ISF) ügyvezető igazgatója, Steve Durbin szerint a fenyegetések komolyan veszélyeztetik a ma legmegbízhatóbbnak számító szervezetek reputációját is. Az alábbiakban az ISF kutatása alapján ismertetjük a 2018-ban várható öt legfontosabb kiberfenyegetést.
Bűncselekmény mint szolgáltatás
Tavaly azt jósolta az ISF, hogy a bűncselekmény mint szolgáltatás (crime as a service, CaaS) üzleti modell rohamosan terjed majd, a bűnszervezetek komplex hierarchiákat, partnerkapcsolatokat és együttműködéseket építenek ki, hasonlóan a magánszektor nagyvállalataihoz. Durbin szerint az előrejelzés igaznak bizonyult: 2017-ben óriási mértékben nőtt a kiberbűnözés, különösen a CaaS-tevékenység. Ez a trend 2018-ban is folytatódik: a bűnszervezetek diverzifikálják és globálissá teszik tevékenységüket, egyre több országban és iparágban jelennek meg. Egyesek közülük létező bűnözői struktúrákon alapulnak, míg mások kizárólag a kiberbűnözésre specializálódnak.
2017-hez képest az a legnagyobb eltérés, hogy 2018-ban a CaaS lehetővé teszi majd a kevés technológiai ismerettel rendelkező kiberbűnöző-jelöltek számára, hogy hackereszközöket és -szolgáltatásokat vásároljanak. Ezekkel azután olyan támadásokat tudnak végrehajtani, amelyekre különben nem lennének képesek. Ráadásul immár nem csupán a legnagyobb haszonnal kecsegtető célpontokat (a nagybankokat és az értékes szellemi tulajdonnal rendelkező vállalatokat) célozzák meg.
További változások is következnek az amatőrök megjelenéséből. Így például a ma legnépszerűbb programkártevőknél, a zsarolóvírusoknál korábban a profi hackerek többnyire tartották a szavukat. Miután zároltak egy számítógépet, és az áldozat kifizette a váltságdíjat, visszaállították az eredeti állapotot. A megvásárolt eszközöket használó amatőr hackerekre Durbin szerint azonban már nem jellemző a zsiványbecsület. A váltságdíjat kifizető áldozatok nem kapják meg a zárolás feloldásához szükséges kulcsot, avagy a támadók újra meg újra visszatérnek ugyanazokhoz a felhasználókhoz.
További tapasztalat, hogy a kiberbűnözők egyre eredményesebben alkalmazzák a felhasználók megtévesztésére szolgáló pszichológiai trükköket. Bár ezzel a módszerrel általában magánszemélyeket, nem pedig vállalatokat próbálnak meg átverni, veszélyben vannak a szervezetek is.
A zsivány dolgok internete
Egyre több vállalat épít ki IoT-infrastruktúrát, ám a legtöbb jelenlegi IoT-eszköz tervezésekor nem fordítottak kellő figyelmet a biztonságra. Ráadásul mind kevésbé jellemző az átláthatóság a gyorsan növekvő IoT-ökoszisztémákra, figyelmeztet egy súlyos adatvédelmi problémára az ISF. A homályos felhasználói feltételek lehetővé teszik a vállalatok számára, hogy a személyes adatokat oly módon használják, amire az ügyfelek nem adtak kifejezett engedélyt. Ami az alkalmazói oldalt illeti, problémát jelenthet a vállalatok számára annak megállapítása, mely információk hagyják el hálózatukat, vagy hogy milyen adatokat gyűjtenek és továbbítanak titokban az okostelefonok és okostelevíziók.
Amikor adatlopás történik, vagy kiderül az átláthatóság hiánya, az ebből eredő károkért az érintett vállalatokat teszik felelőssé a szabályozó hatóságok és a pórul járt ügyfelek. A legrosszabb esetben pedig fizikai sérüléshez vagy akár halálhoz vezethet az ipari vezérlőrendszerekbe épített IoT-eszközök meghackelése.
A gyártó szempontjából nagyon fontos a használati módok feltérképezése, a vásárlók viselkedésének tanulmányozása, ez azonban korábban nem létező támadási felületet teremt, hangsúlyozza Durbin. Biztosítani kell tehát azt, hogy az üzemeltető, ne pedig az eszköz kezében legyen a vezérlés, mert ez könnyen katasztrófához vezethet.
Ellátási lánc
Már évek óta figyelmeztet az ISF egy, az ellátási láncokban lévő komoly sebezhetőségre: nevezetesen, hogy gyakran rengeteg értékes és bizalmas információt osztanak meg a szállítókkal. Az információmegosztás révén megszűnik a közvetlen irányítás lehetősége, vagyis jelentősen megnő annak a kockázata, hogy az illetéktelen kezekbe kerül.
Tavaly megfigyelhettük, hogy nagy gyártócégek vesztették el gyártókapacitásuk egy részét ellátási láncuk nem megfelelő működése miatt, hívja fel a figyelmet a probléma komolyságára Durbin. A szakember szerint nem számít, milyen iparágban tevékenykedik a vállalat, ugyanis mindenhol van ellátási lánc. Nagy kihívást jelent annak biztosítása, hogy az életciklus minden egyes fázisában tudja a szervezet, hová jutnak el bizalmas adatai. Nem lehet ugyanis hatékonyan megvédeni az információk integritását, ha az adatokat megosztjuk.
2018-ban a szervezeteknek az ellátási láncuk leggyengébb pontjaira kell fókuszálniuk, tanácsolja Durbin. Bár nem lehet minden biztonsági incidenst megakadályozni, mind a gyártóknak, mind beszállítóiknak proaktívaknak kell lenniük a problémák megelőzése érdekében. Az ISF hatékony, méretezhető és megismételhető biztonsági folyamatok kidolgozását ajánlja, amelyek arányosak a fellépő kockázatokkal. A szervezeteknek be kell építeniük az ellátásilánc-információkkal kapcsolatos kockázatkezelést a beszerzéseket és beszállítókat kezelő folyamatokba.
Szabályozás
Kompexitást visz a folyamatokba a szabályozás, különösen a 2018 májusában életbe lépő European Union General Data Protection Regulation (GDPR) európai uniós adatvédelmi törvény (lásd előző cikkünket - a Szerk.). Szinte nincs olyan beszélgetésem, amelyben ne esne szó a GDPR-ról, mondja Durbin. Ez a szabályozás nem csupán a megfelelőségről szól, hanem arról, hogy minden vállalat bármely időpontban tudatában legyen annak, hogy a teljes szervezetben és az ellátási láncban hol tárolnak személyes adatokat, s ezeket miképpen kezelik és védik. Ha a vállalat teljes mértékben meg akar felelni ennek a követelménynek, meg kell változtatnia üzletmenetét, teszi hozzá a szakember.
Az ISF szerint a GDPR követelményeinek megfeleléshez szükséges erőforrások nagy valószínűséggel növelik a megfelelőségi és adatkezelési kiadásokat, elvonva a figyelmet és a pénzeszközöket más tevékenységektől.
Kielégítetlen vezetőségi igények
A vezetőség elvárásai és az információbiztonsági rendszer eredményessége közötti eltérések az ISF szerint komoly fenyegetést jelentenek 2018-ban. Durbin úgy véli, az üzleti vezetők megértik, hogy a cég a kibertérben tevékenykedik, ennek a teljes hatásával azonban nincsenek tisztában. Azt hiszik, hogy a biztonságért felelő vezető (chief information security officer, CISO) mindent az ellenőrzése alatt tart, pedig gyakran még a biztonsági helyzetre vonatkozó megfelelő kérdéseket sem tudják feltenni, miközben a CISO-nak sejtelme sincs, hogyan folytasson értelmes párbeszédet a vezetőséggel.
Holott a vezetőség - vélik az IFS-nél - joggal remélheti, hogy az évek során megemelt összegű információbiztonsági kiadások képessé tették a CISO-t és a biztonsági személyzetet arra, hogy azonnali eredményeket produkáljanak. Teljesen biztonságos szervezetet azonban nem lehet létrehozni, és ha ezt még el is fogadja a menedzsment, azt már végképp nehezen érti meg, hogy a kiberbiztonság területén komoly előrelépést elérni időigényes folyamat még akkor is, ha a szervezet megfelelő szakértelemmel és eszközökkel rendelkezik.
Ennek a nézetkülönbségnek az eredménye, hogy amikor nagyobb incidens történik, az nemcsak a márkát sározza be, hanem a vezetőség reputációja is megroggyan. Ezért Durbin szerint a CISO szerepének meg kell változnia. Immár az előrejelzés a CISO feladata, nem pedig annak ellenőrzése, hogy például a tűzfal megfelelően működik-e. Előre kell jeleznie, hogy a kihívások, fenyegetések miképpen befolyásolhatják az üzletmenetet, és ezt érthetően kell közölnie a vezetőséggel. A jó CISO-nak üzletemberként és tanácsadóként kell tevékenykednie, méghozzá egyszerre mindkettőként. Mert lehet a világ legjobb tanácsadója, ha elképzeléseit nem tudja eladni a vezetőségnek, hangsúlyozza Durbin.
