Hirdetés
. Hirdetés

Aknák a kritikus infrastruktúrákban

|

A kritikus infrastruktúrák esetén a beszállítók ellenőrzése sokszor nem felel meg a kívánalmaknak.

Hirdetés

A kritikus infrastruktúrák biztonsága egyre többször kerül a figyelem középpontjába. Ez persze nem csoda, hiszen amennyiben egy-egy ilyen rendszer károsodik, akkor annak nagyon komoly következményei lehetnek. Márpedig biztonsági incidensek, adatszivárgások sokszor jóval könnyebben bekövetkezhetnek, mint azt gondolnánk. Elég, ha csak a Wikileaks-re és a nyilvánosságra került, bizalmas dokumentumokra gondolunk.

 

 



Jon Oltsik, az Enterprise Strategy Group elemzője egy tanulmányt készített, amely egy meglehetősen kiterjedt felmérésre épül. A szakember által felügyelt kutatómunka során a kutatók 285 olyan szervezetet kérdeztek a biztonságról, amelyek kritikus infrastruktúrákat üzemeltetnek. A felmérés során különös hangsúlyt kaptak azok a kérdések, amelyek a beszállítókkal kapcsolatos védelmi teendőkkel voltak összefüggésbe hozhatók. Kiderült, hogy ezen a téren komoly hiányosságok figyelhetők meg.

A válaszadóknak mindössze a 26 százaléka nyilatkozott úgy, hogy pontosan tisztában van az ellátási láncok biztonságával, a kiterjesztett kockázatmenedzsment gyakorlatával, és a külső partnerek védelmi szempontból történő kezelésével. (Ezúttal beszállítók közé sorolandók az IT-eszközöket, szolgáltatásokat és üzleti alkalmazásokat biztosító partnerek is.) Ráadásul mindössze a 10 százalékuk követi azokat a kipróbált és bevált módszereket, amelyek révén megfelelő módon lehet auditálni a beszállítók biztonsági folyamatait. A legtöbb esetben az auditok véletlenszerűen történnek, és néha ezek eredménye nincs is hatással az IT-beszerzésekre.

Lazábban ellenőrzött szolgáltatók

A felmérés rávilágított arra, hogy a kritikus infrastruktúrákat üzemeltető szervezetek körében gyakran csak az IT-beszállítók kerülnek valamivel alaposabban szemrevételezésre, miközben a professzionális szolgáltatásokat nyújtó vállalatok felülvizsgálata háttérbe szorul. Jon Oltsik szerint ez további kockázatokat jelent. "Egy szolgáltatótól érkező személy logikai bombákat helyezhet el, szándékosan rossz konfigurációkat hagyhat maga után, USB-s adathordozókat csatlakoztathat, és kártékony programokat juttathat be az informatikai rendszerekbe" - mondta a szakember. Majd megemlítette, hogy például az ipari környezetekben fejtörést okozó Stuxnet féreg ilyen módon is bekerülhet egy infrastruktúrába.

"Ijesztő, hogy bizonyos kritikus infrastruktúrákat fenntartó szervezeteknek nincs koncepciójuk a beszállítói láncok biztonságának megteremtésére. Manapság a legtöbb hardver és szoftver fejlesztése az Egyesült Államokon kívül történik. Aggodalomra adhat okot, hogy az IT-termékekbe esetleg hátsó kapuk és különféle kártékony kódok lapulhatnak, amelyek rombolásokhoz, támadásokhoz vezethetnek. Eközben pedig a szervezetek a határvédelemre koncentrálnak, és még mindig csak alapvető biztonsági eszközöket használnak" - vélekedett Jeff Bardin, az XA Systems biztonsági stratégiájáért felelős vezetője.

Már eddig is sok volt a probléma

A felmérésben résztvevő szervezetek jelentős részének már el kellett könyvelnie károkat okozó támadásokat. A megkérdezettek 68 százaléka elismerte, hogy az elmúlt két évben következett be náluk biztonsági incidens. 13 százalékuk pedig a két év során több mint három jelentős támadással volt kénytelen szembenézni.

A hír testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.

 

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.