Közép- és nagyvállalatoknak segít azonosítani a legfontosabb kockázatokat, megtervezni kezelésük keretrendszerét az EY IT-biztonsági tanácsadó csapata. Zala Mihály, a kiberbiztonsági tanácsadási üzletág igazgatója volt a beszélgetőpartnerünk.
Computerworld: Hogyan változtak a támadási trendek, és melyek az aktuálisan legjellemzőbb támadási formák?
Zala Mihály: Minthogy alapvetően számlapénzen élünk, amelyet informatikai rendszereken tárolnak, kézenfekvő, hogy pénzintézetek és azok ökoszisztémájához tartozó szolgáltatók, kiemelt felhasználók legyenek az elsődleges célpontok. Még jól emlékszünk az Anonymushoz hasonló, politikai hátterű engedetlenségi mozgalmakra, sértődött munkavállalók adatszivárogtatásaira. De ma már Magyarországról is tudunk példát mondani arra, hogy - mondjuk, banki - versenytársak egymás IT-infrastruktúráját támadják a piacvezető szerep megszerzése érdekében. Egyes bűnözői körök az elmúlt két évtizedben úgy megerősödtek, hogy gyakorlatilag bármilyen támadási formát képesek kivitelezni. Ilyen bandákat használnak egyes kormányok arra, hogy politikai védelem fejében kibertámadásokat hajtassanak végre kiszemelt célpontok, külföldi intézmények és vállalatok ellen. Ilyen akció volt az észt bankrendszer orosz le-DOS-olása. Észak-Korea esete más: ott egyenruhások állnak a pénzszerző célú kiberakciók mögött.
Új elem a fegyvertárban a mesterséges intelligencia; az AI használatának ékes példája volt nemrégiben, amikor manipulált hang segítségével csaltak ki nagyobb összeget egy németországi vállalatvezetőtől. (A pénz egyébként Magyarországon landolt, innen utalták tovább dél-amerikai számlákra.)
Zala Mihály, az EY kiberbiztonsági tanácsadó üzletágának igazgatója
CW: Érvényes-e még az arányos ráfordítás, a "csak annyit költsünk védelemre, amennyit az adataink érnek" elve?
ZM: Egyértelműen kijelenthető, hogy ez az elv már nem érvényes. Például egy szoftverfejlesztéssel foglalkozó cégnél, ahol a cég értékének jelentős részét a fejlesztett forráskódok jelentik, az árbevétel legalább 20 százalékát kellene integrált védelemi megoldásokra fordítani, bár felméréseink szerint többnyire a 2, sőt egyes esetekben a 0,2 százalékot sem éri el ez az összeg. A fejlesztés, a fejlesztési know-how tárolása, a beszállítók, az ügyfelek ellenőrzése - ezekben millió olyan apró részlet van, amelybe be kell építeni a biztonságot. Egy elszigetelt kiberbiztonsági csapattal nem lesz működőképes a szervezet védelme: a vállalat teljes menedzsmentjének és minden alkalmazottjának - egészen a recepciósig - biztonságtudatosan kell működnie. Minél nagyobb egy vállalat, annál jobban oda kell figyelnie a potenciális veszteségekre, ezért a nagyobb magyar vállalatok túlnyomó többségénél ma már van külön informatikai és információbiztonsági vezető is, amely elválik az általános biztonsági vezetői szerepkörtől.
CW: Melyek a jelenlegi és a kialakulóban lévő számítógépes kockázatok, és mik a megelőzés főbb lépései?
ZM: Az adathalászat-alapú támadások továbbra is ott vannak az élbolyban, és rögtön hozzáteszem, nem csak rossz magyarsággal írt levelekről van szó. Egy jó adathalász támadás - ilyen szimulált teszteket megrendelésre mi is szoktunk végezni - tízből kilenc esetben sikerrel jár. Mi van akkor, ha kiemelt felhasználót sikerül a támadóknak kompromittálniuk, vagy az igazi feladóéval azonos mail-címről érkező céges levelet készítenek? Nagy kockázatot hordoznak a külső beszállítók, az irodatechnikai szereket cserélő partnerek vagy az önkiszolgáló alkalmazottak, akik a napi rutinfeladataik közé ékelt feladat elvégzésével, támadó kód lefuttatásával hátsó ajtót nyitnak a támadóknak.
Ismertek olyan esetek is, amikor a fejlesztő céget vagy alvállalkozóját ért támadáson keresztül kerülnek piacra sebezhetőséget tartalmazó szoftverek és hardverek.
Ami a védekezés lehetőségeit illeti, a támadók kiterjedt eszköztárával és tudásbeli fölényével csak egy integrált megközelítés, másként fogalmazva egy kiberbiztonság-alapú vállalati ökoszisztéma veheti fel a versenyt, ahol a vállalat felépítése, belső vállalati kultúrája, üzleti stratégiája, beszállítókkal szemben alkalmazott biztonsági elvárásai, kockázatalapú védelmi rendszere kivétel nélkül tartalmazza a kiberbiztonság alapelveit. Sok mindent megtanultunk, de az új ötletek futószalagon érkeznek.
CW: Magyarország mennyire van célkeresztben?
ZM: Pénzügyi szempontból a magyar piac kerekítési hibának mondható világviszonylatban, ugródeszkának azonban geopolitikai okokból kitűnő. Az EU és a NATO tagjaként jó ugrópontok vagyunk, ráadásul kibervédelemből nem tartozunk a legfelkészültebbek, bár a leggyengébbek közé sem. Egy-egy piaci szereplő vagy állami szervezet dinamikus honlapját ért túlterheléses támadás ma már nem újsághír, a látható károknál azonban sokkal sötétebb szándékok is lehetnek mögötte.
