Hirdetés

Bosszútól a fióklopásig

|

Idén sem indulhat az év a várható IT-biztonsági trendek felvázolása nélkül. Nem lesznek nyugalmas hónapok.

Több mint ezer közép- és nagyvállalat IT-biztonsági szakembereinek bevonásával készített globális felmérést (Assessment of Identity and Access Management in 2018) a jelszó- és hozzáférés-menedzsment megoldásairól ismert One Identity megbízásából a Dimensional Research piackutató vállalat. A Balasys anyacégének felmérése azt vizsgálta, milyen folyamatokat, eszközöket használnak a vállalatok és állami intézmények a felhasználói hozzáférések kezelésére, milyen kihívásokkal, aggályokkal szembesülnek a területen.

Hirdetés

Amellett, hogy számos biztonsági szempontból kockázatot hordozó gyakorlatot tárt fel, a piackutatás arra is rámutat, hogy a szakemberek leginkább az elégedetlen vagy elbocsátott munkavállalóktól tartanak, akik anyagi haszonszerzés céljából vagy a bosszútól motiválva nagyobb kárt, hitelvesztést okozhatnak munkaadójuknak, mint bármilyen külső támadó.

A felmérés legmeglepőbb megállapításai közé tartozik, hogy a szervezetek egyharmada manuálisan kezeli, és egyszerű táblázatban tartja nyilván a rendszerüzemeltetéshez létrehozott, és ezáltal a legkritikusabb információkhoz is hozzáférést engedő kiemelt jogosultságok jelszavait. Húszból legalább egy vállalatnál egyáltalán nem tudják garantálni, hogy a munkavállaló összes jogosultságát megszüntetették, amikor elhagyja munkahelyét, vagy megváltozik a munkaköre. Érdekes tanulság az is, hogy egy egyszerű jelszó-visszaállítás több mint harminc perces feladatot jelent az informatikai osztályok 10 százalékánál. Mindez pedig elég sivár képet fest, ha azt is figyelembe vesszük, hogy ezek a szervezetek kritikus állami infrastruktúrákat üzemeltetnek, vagy több tízezer ember pénzügyi adatait kezelik.

Hirdetés

Kiemelt jogosultsággal
Biztonsági szempontból az informatikai rendszerek üzemeltetéséhez használt, s így az egyes rendszerekhez gyakorlatilag teljes hozzáférést engedő felhasználói fiókok jelentik a legnagyobb kockázatot. Azon túl, hogy a vállalatok 31 százaléka manuálisan kezeli ezeket a hozzáféréseket, minden 25. szervezetnél egyáltalán nem is létezik folyamat ezek menedzselésére. A vállalatok kétharmada ad ilyen jogosultságokat a munkavállalóin kívül külső partnerek és alvállalkozók számára. A válaszadók 75 százaléka elismeri, hogy megosztja munkatársaival ezeket a jogosultságokat, negyedük pedig ezt rendszeresen vagy állandó jelleggel teszi. Mindezzel pedig a biztonsági kockázatok csökkentéséért felelő szakemberek is tisztában vannak, mindössze 13 százalékuk érzi úgy, hogy a kiemelt jogosultságok kezelése biztos alapokon nyugszik szervezeténél.

A jelszó-visszaállítások 68 százaléka több mint öt percet vesz igénybe, az esetek közel 10 százalékában pedig az erre fordított idő a harminc percet is meghaladja, ami jelentősen akadályozza a munkavállalók tevékenységét. Új felhasználó beléptetése kapcsán a vállalatok 44 százalékánál több naptól több hétig terjedő folyamat is lehet, mire minden szükséges alkalmazás- és rendszerhozzáférést beállítanak. De ami ennél rosszabb hír, hogy az informatikai szervezetek harmadánál akár több hetet is igénybe vehet, mire a kilépő munkavállaló összes jogosultságát sikerül megszüntetni. Minden huszadik vállalatnál pedig nincs tudomásuk az illetékeseknek arról, hogy minden jogosultságot ténylegesen sikerült-e elvenni. Ebből kifolyólag nem véletlen, hogy a válaszadók mindössze 15 százaléka biztos teljesen abban, hogy nem érheti őket hozzáférés-kezelésből eredő incidens.

Házon belüli szivárgás
Az IT-biztonsági szakemberek közül a legtöbben (27 százalék) attól tartanak, hogy az elégedetlen munkavállalók megosztják az érzékeny vállalati információkat. A második helyen a hozzáférés-vezérléssel kapcsolatos folyamatok hiányosságaiból eredő adatvesztési incidensek (22 százalék), míg a harmadik helyen felhasználónév-jelszó párosok sötét webre feltöltése (18 százalék) áll. Ironikus módon a válaszadó biztonsági szakemberek több mint háromnegyede (77 százaléka) elismerte, hogy könnyű dolga lenne, ha ők szeretnének érzékeny információkat eltulajdonítani, 12 százalékuk pedig azt is bevallotta, hogy meg is tenné, ha csalódás érné, avagy elégedetlen lenne munkahelyi helyzetével.

Hirdetés

A felhasználók hozzáférési adatainak ellopása a legegyszerűbb módja annak, hogy a támadók bejussanak egy szervezet informatikai hálózatába. Az ebből a szempontból leginkább preferált fiókok a kiemelt jogosultságokkal rendelkező (adminisztratív) felhasználói fiókok, amelyek gyakorlatilag korlátlan hozzáférést biztosítanak a vállalat teljes IT-infrastruktúrájához, ideértve a leginkább kritikus és szenzitív rendszereket és adatokat. Minél több felhasználói fiók áll a támadók rendelkezésére, annál több kárt képesek okozni, beleértve az adatlopást, kiszivárogtatást, károkozást és a márka iránti bizalom, jó hírnév csorbítását. A hatékony IAM (Identity and Access Management) és PAM (Privileged Access Management) minden szervezet biztonsági stratégiájában kritikus elemnek számít, ami nagymértékben képes hozzájárulni a kockázatok csökkentéséhez.

Növekvő veszteségek
Solymos Ákos, a QUADRON Kibervédelmi Kft. szakértője szerint idén szerte a világban egyre több adathalász támadásra és információvédelmi pánikra lehet számítani, nem kis részben a mesterséges intelligencia terjedése miatt. Magyarország azonban - bár a biztonsági technológiák terén ugyanaz a kínálat - más kihívásokkal néz szembe. Sokkal alapvetőbb hiányosságok vannak a szervezeteknél, minthogy a mesterséges intelligencia okozzon gondot. Bár egyre több szektor számára kötelező foglalkozni az információvédelemmel és a GDPR is egyre ismertebb kifejezés, az információvédelmi érettség még mindig nagyon alacsony fokon van hazánkban - vélekedik a szakember.

Jóslatai szerint egyre több magyar cég és állami szervezet nevében indítanak adathalász támadást, és nőni fog a nem állami szervezetek és ipari irányítási (SCADA) rendszerek elleni célzott támadások száma is. Kifinomultabb, jobb magyarsággal és meggyőzőbb szöveggel fognak érkezni az adathalászó vagy kártevőt terjesztő levelek, így egyre több állampolgár adatait lopják el, illetve egyre több embernek lesz konkrét anyagi kára a zsarolóvírusok és az ellopott bankkártya-adatok felhasználása miatt. A nem állami szervezetek sem ússzák meg, nekik leállásokat, szolgáltatáskieséseket és adatvédelmi incidenseket kell majd hírül adniuk.

Hirdetés

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) lezárja első vizsgálatait, megszületnek az első bírságok, ezért a szervezetek ismét pánikolni fognak, ismét előtérbe kerül az információvédelem. Ezzel azonban elkéstek: mivel az alapszintű információvédelmi irányítási rendszer kiépítése is körülbelül 1-3 év, ezért ez idő alatt kockázatnak lesz kitéve minden érintett szervezet és annak ügyfelei is.

Idén júliusban indul az azonnali fizetés rendszere Magyarországon, és ezt a csalók is meg fogják lovagolni. A pénzintézetek hiába igyekeznek mindent megtenni a csalások kiszűrésére, kezdetben komoly nehézségekbe fognak ütközni. Hirtelen megnő majd a banki ügyfelek elleni adathalász támadások, illetve az ügyfelek mobileszközeire, számítógépeire feltelepülő, banki bejelentkezési adatokat ellopó trójai programok okozta fertőzések száma.

Mindemellett az elmúlt egy-két év világcégeket érintő, milliárdos darabszámú adatlopási incidensei is visszahatnak a magyar felhasználókra. Egyre több olyan zsarolási kampány lesz, amelyben magyar felhasználók ellopott adataival, például kiszivárgott jelszavakkal, ellopott felhasználói és PayPal-fiókokkal élnek vissza.

Vállalatok közötti olló
Solymos Ákos szerint nyílik az olló a kis- és nagyvállalatok kibervédelmi felkészültsége között. A nagy cégek saját SOC-ot, vagyis biztonsági műveleti központot építenek, illetve kiszervezik biztonsági tevékenységeiket, a kisvállalkozások pedig igyekeznek legalább egy olcsó vagy ingyenes naplógyűjtő és -elemző rendszert (SIEM) üzembe állítani. Ám kénytelenek lesznek szembenézni azzal, hogy egy szem rendszergazdájuk nem mindenható, és a naplók írása olvasás nélkül semmivel sem emeli a biztonsági szintet.

Várhatóan egyre többet költenek idén a cégek és a szervezetek információvédelmi, biztonsági oktatásra, mert belátják, hogy ez a legolcsóbb és leghatékonyabb védelmi intézkedés. Az információbiztonsági rendszerek nem helyettesítik az emberi tudást és óvatosságot. Bár vannak ezzel ellentétes törekvések is, az emberi tényező mindig emberi tényező marad. Emellett tovább nő a kiszervezett információbiztonsági vezetők iránti igény: az állami szektort törvény kötelezi bizonyos információvédelmi kontrollok megvalósítására, de a tapasztalatok alapján nem tudnak versenyképes juttatást biztosítani a szakértőknek. Lesz azonban lehetőségük igénybe venni külsős tanácsadó cégek ilyen szolgáltatásait, ami komoly segítség, hiszen ilyenkor nemcsak egy szakértő, hanem az egész cég tudását igénybe vehetik.

Hirdetés
Hirdetés
X

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.