A VirusBuster összefoglalója 2010 második negyedévének IT-biztonsági trendjeiről - II.

|

Mi történt a második negyedévben az informatikai biztonság területén? Beszámolónkban a trend értékű híreket, adatokat igyekszünk sorra venni, majd a VirusBuster Kft. víruslaboratóriumának észlelései alapján áttekintést nyújtunk a 2010. április-június időszak leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól.

3. Felvenni a kesztyűt! Globális fenyegetés ellen csak globális fellépéssel lehet igazán hatékonyan tenni valamit. Össze kell fogniuk kormányzati, piaci, non-profit szereplőknek és polgároknak egyaránt ahhoz, hogy érzékelhető eredmény szülessen. A társadalom minden szintjén tudatosítani kell a veszélyt. Ennek szellemében brit, amerikai, kanadai, ausztrál és holland szervezetek 2010. június 1-jét a tömeges piaci csalás elleni harc világnapjává nyilvánították. A kezdeményezés útnak indítója a brit bűnüldöző hatóság, a SOCA (Serious Organised Crime Agency) volt, s hozzá más szigetországbeli, valamint külföldi partnerek csatlakoztak. Miért volt erre szükség? Egyedül Nagy-Britanniában évi 3,5 milliárd fontra becsülik a tömeges piaci csalás által okozott kárt. A szerelmi történetekkel, hamis lottóval, örökséggel, részvényekkel és még ezernyi más trükkel operáló csalók egyre kifinomultabb eszközöket alkalmaznak, s a korszerű technológiát nemzetközi szinten szervezetten bevetve igyekeznek túljárni az emberek eszén és kijátszani a törvényt. Az adathalászat mind komolyabban veszélyezteti a felhasználók személyi adatainak, belépési azonosítóinak biztonságát. Tavaly az Adathalászat-ellenes Munkacsoporthoz (Anti-Phishing Working Group, APWG) 410 ezer különböző adathalász üzenetről érkezett bejelentés, s a szakmai szervezet adatai szerint az adathalászok minden korábbinál több márkát, céget támadnak. A csalás elleni világnap szervezőinek célja természetesen az, hogy felhívják a figyelmet a növekvő veszélyre, s mozgósítsanak a bűnözőkkel szembeni fellépés érdekében. Álljon alább néhány jó tanács a SOCA-tól és partnereitől: • Aki már áldozatul esett a csalók trükkjeinek, ne hallgasson -- beszéljen róla! • Aki azt hiszi, őt nem érheti ilyen baj, gondolkodjék el még egyszer! • Ne feledjük: ha nem neveztünk be egy játékba, nem is nyerhettünk rajta! • Nyugodtan kérdezzünk! Akinek nincs vaj a füle mögött, nem fog sem erőszakoskodni, sem lelépni. • Sose nyúljunk rögtön -- különösen előre -- a zsebünkbe! • Jól fontoljuk meg, kinek adunk magunkról személyes jellegű információt! • Ha egy levélben helyesírási és nyelvtani hibákat látunk, legyünk különösen óvatosak, mert az ilyesmi gyakran csalásra utal. • Website-ot is lehet hamisítani, azt pedig bárki mondhatja, hogy egy közismert cégnél dolgozik. Mindig ellenőrizzük a cégadatok valódiságát! Ha a legkisebb kétségünk van, hívjuk fel a céget! Szükség van a szabályozás és a törvények újragondolására is. Talán példát statuál a brit igazságügyi minisztérium április óta hatályos rendelete, amelynek értelmében a szigetország adatvédelmi biztosi hivatala (Information Commissioner’s Office, ICO) a korábbi 5 ezer helyett 500 ezer fontig terjedő bírsággal sújthatja azokat a cégeket és önkormányzatokat, amelyektől személyi adatok jutnak illetéktelen kezekbe. Az ICO-nál kijelentették: az új, százszorosra növelt felső határt az olyan esetekre tartják fenn, mint a tavaly novemberi T-Mobile-történet. Akkor a mobilszolgáltató brit leányvállalata azért értesítette a hivatalt, mert egyes alkalmazottai az ügyfelek szerződésében szereplő adatokat adtak el ügynököknek, akik azután az információt a konkurenciánál értékesítették. Kiadták például a szerződések lejárati dátumát. Így a versenytárs szolgáltatók jó időben fel tudták hívni az érintetteket, hogy vonzó ajánlattal megpróbálják átcsábítani őket. Nagyobb súlyt fektetnek a digitális információ védelmére a megújuló európai biztonsági, igazság-, vámügyi, jogi és bűnüldözési szabályozásban. Idéntől ötéves programot indított az Európai Bizottság az unión belüli biztonsági, jogi, bűnüldözési, menekültügyi, bevándorlási, igazság- és vámügyi együttműködés, illetve szabályozás korszerűsítésére. A svéd elnökség idején felvázolt, Stockholmi Program néven ismert akcióterv mintegy 170 elképzelést tartalmaz. A dokumentumot nemrég részletesebben ismertették Strasbourgban. Mi a várható menetrend? Idén terjesztik elő az EU átfogó biztonsági stratégiájának tervezetét, amely számos témával foglalkozik a katasztrófavédelemtől a terrorizmus-elhárításig. Szerepel a tervek között egy európai légiutas-adatbázis felállítása is, amelyet a tagországok esetleg nemcsak egymással, hanem más országokkal is megosztanának. Az EU már ma is átadja az utaslistákat az Egyesült Államoknak, a tagállamok azonban nem osztják meg automatikusan egymással az adatokat. Ugyancsak 2010-re várható a számítógépes bűnözés elleni, valamint az unión kívülről érkező idénymunkások foglalkoztatásáról szóló jogszabály tervezete. Az elképzelések szerint szigorítanák az adatvédelmet és súlyosabb büntetéssel sújtanák azokat, akik visszaélnek mások személyi adataival. Még idén értékelő tanulmány készül az adatmegőrzésről, s felvázolják, hogyan lehetne korszerűsíteni az 1995-ös adatvédelmi kezdeményezést, amely a kormányzati és üzleti célra használt személyi adatok védelmét célozta. Jövőre azután következik az EU-ba beutazókat és onnan kilépőket nyilvántartó számítógépes rendszerre vonatkozó javaslat, majd 2012-ben az előterjesztés, amely bűncselekménnyé nyilvánítaná a személyi adatok eltulajdonítását. A Stockholmi Program utolsó évében, 2014-ben kerülne terítékre az egységes uniós menekültügyi rendszer felállítását szorgalmazó javaslat. Viviane Reding, az unió igazságügyi biztosa az EU adatvédelmi szabályainak átdolgozását szorgalmazta. Szerinte a szabályozást összhangba kell hozni az internetezők igényeivel, akiknek nagyobb beleszólást kell adni személyes adataik kezelésébe. Jóllehet -- mint mondta -- a személyes adatok védelmével kapcsolatos uniós előírások eddig "kiállták az idő próbáját", a közösségi portálok, az internetes mobilok és a célzott online reklám elterjedése miatt "súlypontváltásra" van szükség. Több eszközt kell a szörfösök kezébe adni, hogy eldönthessék, mit tesznek ki a netre, s lehetővé kell tenni, hogy kedvük szerint javíthassák, visszavonhassák vagy törölhessék ezt az információt -- jelentette ki az EU-biztos. Reding harmonizálni kívánja az uniós országok e-kereskedelmi jogát, el akarja törölni a kereskedelem útjában álló akadályokat, s azt szeretné, hogy a fogyasztók jobban megbízzanak az online adásvételben. Becslések szerint a nagy webes cégek által begyűjtött személyes jellegű információ hasznosításának piaca elérheti a 3 milliárd eurót -- a 2007-es adat nyolcszorosát. Ide kapcsolódik a hír, miszerint egy uniós adatvédelmi testület felszólította a Google-t, a Microsoftot és a Yahoo-t: tegyenek eleget az EU adatvédelmi irányelvében lefektetett előírásoknak. Nyílt levélben fordult a vezető keresőket üzemeltető három céghez az EU független adatvédelmi és személyiségi jogi tanácsadó testülete, az úgynevezett "29-es törvénycikk adatvédelmi munkabizottság" (Article 29 Data Protection Working Party, W29). Ebben leszögezik: jóllehet üdvözlik, hogy a trió tagjai igyekeztek összhangba hozni adatmegőrzési gyakorlatukat a törvénnyel, még van mit tenniük az ügyben. A W29-et az EU adatvédelmi irányelve (95/46/EC) 29-es törvénycikke alapján hozták létre, s munkájában az EU tagállamok adatvédelmi hatóságainak képviselői mellett az európai adatvédelmi felügyelő, valamint az Európai Bizottság vesz részt. Az ismert keresőgépekhez intézett levelében a testület kimondja: a cégek még mindig nem tesznek maradéktalanul eleget az adatvédelmi irányelvnek, amely szerint a felhasználók keresési adatait hat hónap elteltével beazonosíthatatlanná (anonimmé) kell tenni. Már 2007 óta sürgeti az EU, hogy a keresők üzemeltetői rövidítsék le a felhasználóhoz köthető adatok megőrzési idejét. Mindhárom cég tett lépéseket ebbe az irányba, de a törvény betűjének még nem tesznek eleget. "Az adatmegőrzési idő lerövidítésén kívül csökkenteni kell annak lehetőségét, hogy a keresési naplókban azonosíthassák a felhasználókat. Emellett külső ellenőrző (auditálási) folyamatot kell kialakítani. Ez utóbbi biztosíték a felhasználók számára, hogy [a keresőgépek] betartják adatvédelmi és személyiségi jogi ígéreteiket, s erre a célra független, külső auditáló szervezetet kell bevonni" -- áll a W29 levelében. A testület úgy nyilatkozott: az Egyesült Államok fogyasztóvédelmi hatóságát, az FTC-t is felkéri, hogy vizsgálja ki, nem sértette-e meg a három cég az amerikai adatmegőrzési jogszabályokat. Eközben persze az ipar sem marad adós kezdeményezésekkel. Internet Fraud Alert (Internetes Csalásriasztás) néven a Microsoft és a hozzá csatlakozó amerikai bűnüldözést támogató, szakmai és fogyasztóvédelmi szervezetek, elektronikus tranzakciókat lebonyolító cégek olyan rendszert indítottak be, amelynek keretében a kutatók biztonságosan és hatékonyan bejelenthetik, ha lopott online belépőkre -- online szolgáltatások igénybevételéhez szükséges felhasználónevekre, jelszavakra -- bukkannak. A Microsoft mellett a résztvevők ábécérendben: Accuity, American Bankers Association (Amerikai Bankárszövetség), APWG, Citizens Bank, eBay, Federal Trade Commission (FTC, kb. fogyasztóvédelmi felügyelet), National Consumers League (Országos Fogyasztói Liga), PayPal. Az Internet Fraud Alert a Microsoft technológiájára épül -- a megoldást a szoftveróriás külön erre a célra fejlesztette ki. A mechanizmusnak köszönhetően a bűnözők kezére került azonosítók azonnal eljutnak az érintett céghez -- pénzintézethez vagy más szervezethez, akik aztán riadóztathatják áldozatul esett ügyfeleiket.

0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.computertrends.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.