A trend ugyanis már jó ideje az a világban, így nálunk is, hogy frontális támadás helyett az adatokat a munkavállalók (önként vállalt vagy rákényszerített módon) bevonásával szerzik meg a kiberbűnözők, az információkkal visszaélő profi adathalászok. Döbbenetes tapasztalati tény, hogy a magyar vállalatok háromnegyedénél szintén fordult már elő kisebb vagy nagyobb adatszivárgás.
Az adatokhoz való illetéktelen hozzáférés a cégek figyelmetlenségének, az alkalmazottak szabályozatlan jogosultságainak kihasználásával. Ezeket természetesen senki sem teszi ki az ablakba, de a rendszeres felmérések, auditok ezt a helyzetet sajnos évről évre alátámasztják. Természetesen a piac nem maradt tétlen.
Nemzetközi színtéren az Európai Bankhatóság (EBA) az elsők közt foglalt állást és tett ajánlásokat ezen a téren. Már 2019-ben a legfontosabb elvégzendő biztonsági intézkedések körébe sorolta a jogosultságok rendszeres felülvizsgálatát a pénzügyi intézményeknél a belülről támogatott informatikai támadások rizikójának csökkentése érdekében.
Bárki hozzáférhet az adatokhoz
„Az EBA által kiadott előirányzatok túlmutatnak a pénzügyi szektoron. Magyarországon is számtalan gazdasági ágazatot jellemez a vállalati adathoz való hozzáférések rendezetlensége. Munkánk során láttunk példát arra, hogy adminisztratív feladatokat ellátó dolgozók nem csupán ráláttak az adott cég szenzitív pénzügyi adatbázisára, de onnan bármelyik percben információkat tölthettek volna le, ha úgy tartja az érdekük. Egyszerűen csak azért, mert a vállalatoknál – minél kisebbek annál jellemzőbb módon – még sokszor ma is a megszokások és a szabad munkafolyamat menedzsment logika alapján dől el az, hogy ki, mit láthat, használhat a belső hálózatokon.
Pontosan meghatározzák és időről időre felülvizsgálják, hogy személy szerint ki, mihez férhet hozzá, valamint akár azt is, hogy honnan tölthet le és milyen hordozón tárolhat bármilyen vállalati információt
Ez pedig nem eredményez mást, mint azt, hogy állandósul az adatszivárgás lehetősége, és ami még fájóbb a cégvezetőknek, hogy a hozzáférések alapján kiosztott licenszek tömkelege után kell díjat fizetniük, még akkor is, ha azt a jogosult kollégák közül sokan egyáltalán nem használják. Felesleges pénzégetés” – állapítja meg Mihály Tamás, a licenszköltség megtakarítását és az IT biztonság megerősítést kombináló megoldás, a TheFence megálmodója.
A szakember szerint a trendek, a szaporodó adatlopások, az egyre sikeresebb adathalász próbálkozások, zsarolóvírus támadások alapján leszűrhető konklúziók mind abba az irányba mutatnak, hogy korántsem elég ma már csak a tűzfalak mögé rejteni a vállalati dokumentumokat.
Akár felhőben, akár saját rendszereken tárolják a cégek az adataikat, csak akkor csökkenthetik igazán az őket fenyegető rizikót, ha pontosan meghatározzák és időről időre felülvizsgálják, hogy személy szerint ki, mihez férhet hozzá, valamint akár azt is, hogy honnan tölthet le és milyen hordozón tárolhat bármilyen vállalati információt. Mihály Tamás szerint ez az a gyökérprobléma, amelyet, ha nem kezelnek súlyának megfelelően a cégek, akkor előre kódolják a kisebb, vagy nagyobb adatvesztéseket, az információk illetéktelen kezekbe kerülését, ami ráadásul a pénzügyi kockázatokon túl, akár piaci versenyhátrányhoz is vezethet.
Mihály Tamás, a TheFence megálmodója
A TheFence stratégája első lépésben azt javasolja a vállalatvezetőknek, informatikai vezetőknek, hogy a társosztályok (hr, pénzügy, jog stb.) és külső szakértő bevonásával, valamint megfelelő eszközökkel rendszeresen vizsgálják meg felhasználóikat és a jogosultsági szerepkörtartalmaikat. Ezzel együtt mérjék fel a reális kockázatokat és zárják ki, amennyire csak lehet azokat a hozzáféréseket és felhasználókat, amelyek egyrészt a kihasználatlanságuk miatt licensz szempontból csak viszik a pénzt, másrészt potenciálisan lehetőséget adnak bármilyen vállalati információ tudatlanságból fakadó, vagy rossz szándékú kiszivárgásának.
Magyar fejlesztés a kiberbűnözők ellen Amerikában is
A vállalati belső biztonság növelésére, a nem megfelelően kezelt hozzáférési jogosultságok kiszűrésére és az adatlopásra irányuló informatikai támadások megelőzésére szolgáló szoftver, a TheFence a tavalyi sikeres magyarországi és európai debütálás után idén februártól Amerikában is elérhetővé vált. A telepített (on-prem) és a felhőben is alkalmazható szolgáltatásokat kínáló, magyar szakemberek által megvalósított fejlesztés tengerentúli bevezetése mellett azért döntöttek a terméket piacra segítő XS Matrix vezetői, mert a felhőalapú IT-biztonsági megoldások üzleti adaptációja ott a legmagasabb szintű a világon, különösképpen a kockázatelemzés és -kezelés területén.
„Miamiban nyitottuk meg az irodánkat, és innen kiindulva szeretnénk az USA mindkét partján terjeszkedni. Döntésünket az indokolta, hogy az ország előbbre jár Európánál a biztonsági tudatosság terén, ami számunkra lehetővé teszi azt, hogy a legkülönfélébb gazdasági ágazatokban működő vállalatok körében, élesben szerezzünk hasznos, releváns és friss piaci tapasztalatokat az informatikai biztonságot érintő kihívásokról. A felesleges, túlzott és kockázatos jogosultságokból fakadó veszélyeket felmérő szoftverünk, a TheFence Amerikában is unikális termék. Ennyire fókuszáltan a humán munkaerőt érintő kockázatok elemzésével ugyanis még itt sem foglalkoznak. Viszont ez az a terület, ami napról napra válik egyre fontosabbá a helyi kis- és középvállalatok, illetve a nagyvállalatok körében” – mondta Teasdale Harold, a TheFence amerikai szervezetének vezetője.
Teasdale Harold, a TheFence amerikai szervezetének vezetője
Hozzátette, hogy az év végéig 40 fős csapattá szeretnék bővíteni a tengerentúli és európai vállalkozásaikat, amelyek partnerei kívánnak lenni a szenzitív üzleti, illetve személyes információkat kezelő pénzügyi, energetikai, informatikai cégeknek, egészségügyi szolgáltatóknak és startupoknak egyaránt. A szakember felhívta a figyelmet, hogy az adathalászat továbbra is az aranykorát éli. Ezt az amerikai vállalatok éppúgy elszenvedik, mint a világ más részein működő cégek. A túlzott, a szükségtelen, illetve az összeférhetetlenséget jelentő jogosultságok pedig csak fokozzák a szervezetek sérülékenységét. Az ijesztő trendeket megerősíti a Gartner iparági előrejelzése, amely szerint 2023-ban a vállalati IT-rendszerekbe való betörések 75 százaléka már a hozzáférési jogosultságok nem megfelelő kezelése miatt fog bekövetkezni.
Egyszerűen azért, mert a vállalatok, szervezetek a megszokások, a bevett gyakorlatok alapján állapítják meg, hogy ki mit érhet el a céges adatbázisokban. Ezt a biztonsági rést pedig az egyre szofisztikáltabb módszerekkel dolgozó kiberbűnözők ki is használják. A legfrissebb, 2022 Data Breach Investigations Report mutatott rá arra, hogy a detektált támadások többsége (több mint 60%) a megtévesztő e-mailek, weboldalak használatával ért célba. Az esetek több mint 20 százalékában az ellopott azonosítók alkalmazásával, illetve személyiségfelvétel (pretexting) révén tudtak illetéktelenek a számukra hasznot hozó vállalati információkhoz hozzájutni.
(Forrás: XS Matrix)
(Képek: Adobe Stock)