Az alkalmazottak olyan adatokhoz is hozzáférnek, amelyekhez nem kellene
A nagyvállalatok, és ma már a kkv-k is számos olyan csúcstechnológiát képviselő védekezési mechanizmussal látják el az informatikai rendszereiket, amelyek erős védvonalként állnak ellen a külső behatolási kísérleteknek. Mégsem lehet azt mondani, hogy a cégek vezetői hátra dőlhetnének.

 

A trend ugyanis már jó ideje az a világban, így nálunk is, hogy frontális támadás helyett az adatokat a munkavállalók (önként vállalt vagy rákényszerített módon) bevonásával szerzik meg a kiberbűnözők, az információkkal visszaélő profi adathalászok. Döbbenetes tapasztalati tény, hogy a magyar vállalatok háromnegyedénél szintén fordult már elő kisebb vagy nagyobb adatszivárgás.

Az adatokhoz való illetéktelen hozzáférés a cégek figyelmetlenségének, az alkalmazottak szabályozatlan jogosultságainak kihasználásával. Ezeket természetesen senki sem teszi ki az ablakba, de a rendszeres felmérések, auditok ezt a helyzetet sajnos évről évre alátámasztják. Természetesen a piac nem maradt tétlen.

Nemzetközi színtéren az Európai Bankhatóság (EBA) az elsők közt foglalt állást és tett ajánlásokat ezen a téren. Már 2019-ben a legfontosabb elvégzendő biztonsági intézkedések körébe sorolta a jogosultságok rendszeres felülvizsgálatát a pénzügyi intézményeknél a belülről támogatott informatikai támadások rizikójának csökkentése érdekében.

Bárki hozzáférhet az adatokhoz

„Az EBA által kiadott előirányzatok túlmutatnak a pénzügyi szektoron. Magyarországon is számtalan gazdasági ágazatot jellemez a vállalati adathoz való hozzáférések rendezetlensége. Munkánk során láttunk példát arra, hogy adminisztratív feladatokat ellátó dolgozók nem csupán ráláttak az adott cég szenzitív pénzügyi adatbázisára, de onnan bármelyik percben információkat tölthettek volna le, ha úgy tartja az érdekük. Egyszerűen csak azért, mert a vállalatoknál – minél kisebbek annál jellemzőbb módon – még sokszor ma is a megszokások és a szabad munkafolyamat menedzsment logika alapján dől el az, hogy ki, mit láthat, használhat a belső hálózatokon.

 

Pontosan meghatározzák és időről időre felülvizsgálják, hogy személy szerint ki, mihez férhet hozzá, valamint akár azt is, hogy honnan tölthet le és milyen hordozón tárolhat bármilyen vállalati információt

 

Ez pedig nem eredményez mást, mint azt, hogy állandósul az adatszivárgás lehetősége, és ami még fájóbb a cégvezetőknek, hogy a hozzáférések alapján kiosztott licenszek tömkelege után kell díjat fizetniük, még akkor is, ha azt a jogosult kollégák közül sokan egyáltalán nem használják. Felesleges pénzégetés” – állapítja meg Mihály Tamás, a licenszköltség megtakarítását és az IT biztonság megerősítést kombináló megoldás, a TheFence megálmodója.


A szakember szerint a trendek, a szaporodó adatlopások, az egyre sikeresebb adathalász próbálkozások, zsarolóvírus támadások alapján leszűrhető konklúziók mind abba az irányba mutatnak, hogy korántsem elég ma már csak a tűzfalak mögé rejteni a vállalati dokumentumokat.


Akár felhőben, akár saját rendszereken tárolják a cégek az adataikat, csak akkor csökkenthetik igazán az őket fenyegető rizikót, ha pontosan meghatározzák és időről időre felülvizsgálják, hogy személy szerint ki, mihez férhet hozzá, valamint akár azt is, hogy honnan tölthet le és milyen hordozón tárolhat bármilyen vállalati információt. Mihály Tamás szerint ez az a gyökérprobléma, amelyet, ha nem kezelnek súlyának megfelelően a cégek, akkor előre kódolják a kisebb, vagy nagyobb adatvesztéseket, az információk illetéktelen kezekbe kerülését, ami ráadásul a pénzügyi kockázatokon túl, akár piaci versenyhátrányhoz is vezethet.

 

Mihály Tamás, a TheFence megálmodója

 

A TheFence stratégája első lépésben azt javasolja a vállalatvezetőknek, informatikai vezetőknek, hogy a társosztályok (hr, pénzügy, jog stb.) és külső szakértő bevonásával, valamint megfelelő eszközökkel rendszeresen vizsgálják meg felhasználóikat és a jogosultsági szerepkörtartalmaikat. Ezzel együtt mérjék fel a reális kockázatokat és zárják ki, amennyire csak lehet azokat a hozzáféréseket és felhasználókat, amelyek egyrészt a kihasználatlanságuk miatt licensz szempontból csak viszik a pénzt, másrészt potenciálisan lehetőséget adnak bármilyen vállalati információ tudatlanságból fakadó, vagy rossz szándékú kiszivárgásának.

Magyar fejlesztés a kiberbűnözők ellen Amerikában is

A vállalati belső biztonság növelésére, a nem megfelelően kezelt hozzáférési jogosultságok kiszűrésére és az adatlopásra irányuló informatikai támadások megelőzésére szolgáló szoftver, a TheFence a tavalyi sikeres magyarországi és európai debütálás után idén februártól Amerikában is elérhetővé vált. A telepített (on-prem) és a felhőben is alkalmazható szolgáltatásokat kínáló, magyar szakemberek által megvalósított fejlesztés tengerentúli bevezetése mellett azért döntöttek a terméket piacra segítő XS Matrix vezetői, mert a felhőalapú IT-biztonsági megoldások üzleti adaptációja ott a legmagasabb szintű a világon, különösképpen a kockázatelemzés  és -kezelés területén.

„Miamiban nyitottuk meg az irodánkat, és innen kiindulva szeretnénk az USA mindkét partján terjeszkedni. Döntésünket az indokolta, hogy az ország előbbre jár Európánál a biztonsági tudatosság terén, ami számunkra lehetővé teszi azt, hogy a legkülönfélébb gazdasági ágazatokban működő vállalatok körében, élesben szerezzünk hasznos, releváns és friss piaci tapasztalatokat az informatikai biztonságot érintő kihívásokról. A felesleges, túlzott és kockázatos jogosultságokból fakadó veszélyeket felmérő szoftverünk, a TheFence Amerikában is unikális termék. Ennyire fókuszáltan a humán munkaerőt érintő kockázatok elemzésével ugyanis még itt sem foglalkoznak. Viszont ez az a terület, ami napról napra válik egyre fontosabbá a helyi kis- és középvállalatok, illetve a nagyvállalatok körében” – mondta Teasdale Harold, a TheFence amerikai szervezetének vezetője.

 

Teasdale Harold, a TheFence amerikai szervezetének vezetője

 

Hozzátette, hogy az év végéig 40 fős csapattá szeretnék bővíteni a tengerentúli és európai vállalkozásaikat, amelyek partnerei kívánnak lenni a szenzitív üzleti, illetve személyes információkat kezelő pénzügyi, energetikai, informatikai cégeknek, egészségügyi szolgáltatóknak és startupoknak egyaránt. A szakember felhívta a figyelmet, hogy az adathalászat továbbra is az aranykorát éli. Ezt az amerikai vállalatok éppúgy elszenvedik, mint a világ más részein működő cégek. A túlzott, a szükségtelen, illetve az összeférhetetlenséget jelentő jogosultságok pedig csak fokozzák a szervezetek sérülékenységét. Az ijesztő trendeket megerősíti a Gartner iparági előrejelzése, amely szerint 2023-ban a vállalati IT-rendszerekbe való betörések 75 százaléka már a hozzáférési jogosultságok nem megfelelő kezelése miatt fog bekövetkezni.

Egyszerűen azért, mert a vállalatok, szervezetek a megszokások, a bevett gyakorlatok alapján állapítják meg, hogy ki mit érhet el a céges adatbázisokban. Ezt a biztonsági rést pedig az egyre szofisztikáltabb módszerekkel dolgozó kiberbűnözők ki is használják. A legfrissebb, 2022 Data Breach Investigations Report mutatott rá arra, hogy a detektált támadások többsége (több mint 60%) a megtévesztő e-mailek, weboldalak használatával ért célba. Az esetek több mint 20 százalékában az ellopott azonosítók alkalmazásával, illetve személyiségfelvétel (pretexting) révén tudtak illetéktelenek a számukra hasznot hozó vállalati információkhoz hozzájutni.

 

A THEFENCE szoftveres megoldást megálmodó és piacra segítő IT-vállalat, az XS Matrix Security Solutions két székhelyen működik. Az egyesült államokbeli Miamiban és Budapesten találhatóak meg az irodáik. A céget két CISA/CISM minősítéssel és több mint 20-20 éves kiberbiztonsági tapasztalattal rendelkező szakember, Harold Teasdale és Mihály Tamás alapította 2016-ban. Az XS Matrix kezdetben a kockázatalapú hozzáférés-felügyelet technológia koncepcióján dolgozott, majd a hozzáférésekhez kapcsolódó kockázatok azonosítását végző szolgáltatást indított. A vállalat 2019-ben vezette be a hozzáférések automatikus felügyeletét kínáló AURA termékét, majd 2022-ben a THEFENCE-et. A szoftveralapú IT-biztonsági, a vállalati belső biztonság növelésére, a nem megfelelően kezelt hozzáférési jogosultságok kiszűrésére, illetve az adatlopásra irányuló informatikai támadások megelőzésére fejlesztett megoldásuk on-prem és felhőben is alkalmazható szolgáltatásokat kínál.
 
 

(Forrás: XS Matrix)

(Képek: Adobe Stock)

Az MI technológiára felkészültek előtt óriási lehetőségek állnak
A mesterséges intelligencia (MI) által érintett ágazatokban ugrásszerűen nőtt a termelékenység, az MI-t használó állások egyre nagyobb számban jelennek meg és akár 25%-os bérprémiumot kínálnak - derül ki a PwC Global AI Jobs Barometer felméréséből.
Több vármegye áramellátását irányító szoftver újul meg
Az E.ON Hungária vállalatcsoport felelős a teljes Dunántúl, valamint Budapest és Pest vármegye nagy részében a villamosenergia-hálózat üzemeltetéséért, azaz több mint 5 millió lakos villamosenergia-ellátásáért.
Szintet léphet a mikrohálózatok fejlesztése
Költséghatékony energiabeszerzés és -tárolás egyetlen megoldásban – ezt kínálja BESS, a Schneider Electric legújabb fejlesztése. A különleges berendezés újabb lökést adhat a mikrohálózatok kialakításának és támogatja az energiabiztonság megteremtését.
Szervotechnológia extrém teljesítőképességet igénylő alkalmazásokhoz
Az AM8300 sorozatú szervomotorok megjelenésével a Beckhoff termékpalettája beépített vízhűtéses modulrendszerű motorcsaláddal bővült.
Autonóm repülésre képes mesterséges méhraj
A Bionic Learning Network több mint 15 éve foglalkozik a repülés varázsával. A madarak szárnyalásának technikai megfejtése után (Festo SmartBird) a csapat számos más lény repülésének természetes alapelveit is kutatta és technológiai módszerekkel meg is valósította.