3 perces olvasási idő 27 febr. 2020
ey-kep-programozo-dolgozik-az-irodaban-uzleti-tanacsadas-ey-20200209.jpg

Tízből kilenc kibertámadás betalál

Szerző

Zala Mihály

EY Magyarország, IT- és technológiai tanácsadásért felelős vezető, Associate Partner

Technológiai tanácsadás, ismert kiberbiztonsági szakértő. Kódfejtő. Kétgyermekes apa. Tenisz és foci-rajongó. 100 kilométer futás, minden hónapban, ha esik, ha fúj.

3 perces olvasási idő 27 febr. 2020

Különféle alkalmazások feltörésétől, a script kiddyken át, a zsarolóprogramokig és a kiberháborúkig pár évtized alatt jutott el az emberiség

Minthogy alapvetően számlapénzen élünk, amelyet informatikai rendszereken tárolnak, kézenfekvő, hogy pénzintézetek és azok ökoszisztémájához tartozó szolgáltatók, kiemelt felhasználók legyenek az elsődleges célpontok. Még jól emlékszünk az Anonymushoz hasonló, politikai hátterű engedetlenségi mozgalmakra, a sértődött munkavállalók adatszivárogtatásaira. De ma már Magyarországról is tudunk példát mondani arra, hogy – például banki – versenytársak egymás IT-infrastruktúráját támadják a piacvezető szerep megszerzése érdekében.

Egyes bűnözői körök az elmúlt két évtizedben úgy megerősödtek, hogy gyakorlatilag bármilyen támadási formát képesek kivitelezni. Ilyen bandákat használnak egyes kormányok arra, hogy – politikai védelem fejében – kibertámadásokat hajtassanak végre kiszemelt célpontok, külföldi intézmények és vállalatok ellen. Ilyen akció volt az észt bankrendszer orosz le-DOS-olása. Észak-Korea esete más: ott egyenruhások állnak a pénzszerző célú kiberakciók mögött.

Új elem a fegyvertárban a mesterséges intelligencia; az AI használatának ékes példája volt nemrégiben, amikor manipulált hang segítségével csaltak ki nagyobb összeget egy németországi vállalatvezetőtől. (A pénz egyébként Magyarországon landolt, innen utalták tovább dél-amerikai számlákra.)

Felmerült az a kérdés, hogy érvényes-e még az arányos ráfordítás, a “csak annyit költsünk védelemre, amennyit az adatain érnek” elv. Egyértelműen kijelenthető, hogy ez az elv már nem érvényes.
Zala Mihály
EY Magyarország, IT- és technológiai tanácsadásért felelős vezető, Associate Partner

Például egy szoftverfejlesztéssel foglalkozó cégnél, ahol a cég értékének jelentős részét a fejlesztett forráskódok jelentik, az árbevétel legalább 20 százalékát kellene integrált védelemimegoldásokra fordítani, bár felméréseink szerint többnyire a 2, sőt esetekben a 0,2 százalékot sem éri el ez az összeg. A fejlesztés, a fejlesztési know-how tárolása, a beszállítók, az ügyfelek ellenőrzése – ezekben millió olyan apró részlet van, amelybe be kell építeni a biztonságot. Egy elszigetelt kiberbiztonsági csapattal nem lesz működőképes a szervezet védelme: a vállalat teljes menedzsmentjének és minden alkalmazottjának – egészen a recepciósig – biztonságtudatosan kell működnie. Minél nagyobb egy vállalat, annál jobban oda kell figyelnie a potenciális veszteségekre, ezért a nagyobb magyar vállalatok túlnyomó többségénél ma már van külön informatikai és információbiztonsági vezető is, ami elválik az általános biztonsági vezetői szerepkörtől.

A francia rendőrség nemrégiben offenzív módszert alkalmazott, amikor lenyomozta a támadók kommandszerverét, és a zsarolóvírust deaktiváló kódot küldött sokszázezer fertőzött számítógépre. Az offenzív védelem alaklamzása Magyarországon is fejlődött. Történetesen zsarolóvírusban a magyar kiberbűnözők is jók, hiszen a sötét webről könnyű azokat összeklikkelgetni. Ilyen offenzív jellegű válaszra azonban csak hatóságok adhatnak felhatalmazást; Magyarországon még nem tartunk itt. A jelenleg kialakult és a kialakulóban lévő számítógépes kockázatokra nagy hangsúylt kell fekteteni, emllett a megelőzés főbb lépései is elengedhetetlenek.

Az adathalászat alapú támadások továbbra is ott vannak az élbolyban, és rögtön hozzáteszem, nem csak rossz magyarsággal írt levelekről van szó. Egy jó adathalász támadás – ilyen szimulált teszteket megrendelésre mi is szoktunk végezni – tízből kilenc esetben sikerrel jár.

Mi van akkor, ha kiemelt felhasználót sikerül a támadóknak kompromittálni, vagy az igazi feladóéval azonos mail-címről érkező céges levelet készítenek? Nagy kockázatot hordoznak a külső beszállítók, az irodatechnikai szereket cserélő partnerek vagy az önkiszolgáló alkalmazottak, akik a napi rutinfeladataik közé ékelt feladat elvégzésével, támadó kód elfuttatásával hátsó ajtót nyitnak a támadóknak.

Ismertek olyan esetek is, amikor a fejlesztő céget vagy alvállalkozóját ért támadáson keresztül kerülnek piacra sebezhetőséget tartalmazó szoftverek és hardverek.Ami a védekezés lehetőségeit illeti, a támadók kiterjedt eszköztárával és tudásbeli fölényével csak egy integrált megközelítés, másként fogalmazva egy Kiberbiztonság alapú vállalati ökoszisztéma veheti fel a versenyt, ahol a vállalat felépítése, belső vállalati kultúrája, üzleti stratégiája, beszállítókkal szemben alkalmazott biztonsági elvárásai, kockázat alapú védelmi rendszere kivétel nélkül tartalmazza a kiberbiztonság alapelveit. Sok mindent megtanultunk, de az új ötletek futószalagon érkeznek.

„Fontos kérdés: Magyarország vajon mennyire van a célkeresztben?”

Pénzügyi szempontból a magyar piac kerekítési hibának mondható világviszonylatban, ugródeszkának azonban geopolitikai okokból kitűnő. Az EU és a NATO tagjaként jó ugrópontok vagyunk, ráadásul kibervédelemből nem tartozunk a legfelkészültebbek közé, bár a leggyengébbek közé sem. Egy-egy piaci szereplő vagy állami szervezet dinamikus honlapját ért túlterheléses támadás ma már nem újsághír, a látható károknál azonban sokkal sötétebb szándékok is lehetnek mögötte.

Összefoglalás

Közép- és nagyvállalatoknak segít azonosítani a legfontosabb kockázatokat, megtervezni kezelésük keretrendszerét az EY IT-biztonsági tanácsadó csapata.

A cikkről

Szerző

Zala Mihály

EY Magyarország, IT- és technológiai tanácsadásért felelős vezető, Associate Partner

Technológiai tanácsadás, ismert kiberbiztonsági szakértő. Kódfejtő. Kétgyermekes apa. Tenisz és foci-rajongó. 100 kilométer futás, minden hónapban, ha esik, ha fúj.