Az alkalmazottak olyan adatokhoz is hozzáférnek, amelyekhez nem kellene
A nagyvállalatok, és ma már a kkv-k is számos olyan csúcstechnológiát képviselő védekezési mechanizmussal látják el az informatikai rendszereiket, amelyek erős védvonalként állnak ellen a külső behatolási kísérleteknek. Mégsem lehet azt mondani, hogy a cégek vezetői hátra dőlhetnének.

 

A trend ugyanis már jó ideje az a világban, így nálunk is, hogy frontális támadás helyett az adatokat a munkavállalók (önként vállalt vagy rákényszerített módon) bevonásával szerzik meg a kiberbűnözők, az információkkal visszaélő profi adathalászok. Döbbenetes tapasztalati tény, hogy a magyar vállalatok háromnegyedénél szintén fordult már elő kisebb vagy nagyobb adatszivárgás.

Az adatokhoz való illetéktelen hozzáférés a cégek figyelmetlenségének, az alkalmazottak szabályozatlan jogosultságainak kihasználásával. Ezeket természetesen senki sem teszi ki az ablakba, de a rendszeres felmérések, auditok ezt a helyzetet sajnos évről évre alátámasztják. Természetesen a piac nem maradt tétlen.

Nemzetközi színtéren az Európai Bankhatóság (EBA) az elsők közt foglalt állást és tett ajánlásokat ezen a téren. Már 2019-ben a legfontosabb elvégzendő biztonsági intézkedések körébe sorolta a jogosultságok rendszeres felülvizsgálatát a pénzügyi intézményeknél a belülről támogatott informatikai támadások rizikójának csökkentése érdekében.

Bárki hozzáférhet az adatokhoz

„Az EBA által kiadott előirányzatok túlmutatnak a pénzügyi szektoron. Magyarországon is számtalan gazdasági ágazatot jellemez a vállalati adathoz való hozzáférések rendezetlensége. Munkánk során láttunk példát arra, hogy adminisztratív feladatokat ellátó dolgozók nem csupán ráláttak az adott cég szenzitív pénzügyi adatbázisára, de onnan bármelyik percben információkat tölthettek volna le, ha úgy tartja az érdekük. Egyszerűen csak azért, mert a vállalatoknál – minél kisebbek annál jellemzőbb módon – még sokszor ma is a megszokások és a szabad munkafolyamat menedzsment logika alapján dől el az, hogy ki, mit láthat, használhat a belső hálózatokon.

 

Pontosan meghatározzák és időről időre felülvizsgálják, hogy személy szerint ki, mihez férhet hozzá, valamint akár azt is, hogy honnan tölthet le és milyen hordozón tárolhat bármilyen vállalati információt

 

Ez pedig nem eredményez mást, mint azt, hogy állandósul az adatszivárgás lehetősége, és ami még fájóbb a cégvezetőknek, hogy a hozzáférések alapján kiosztott licenszek tömkelege után kell díjat fizetniük, még akkor is, ha azt a jogosult kollégák közül sokan egyáltalán nem használják. Felesleges pénzégetés” – állapítja meg Mihály Tamás, a licenszköltség megtakarítását és az IT biztonság megerősítést kombináló megoldás, a TheFence megálmodója.


A szakember szerint a trendek, a szaporodó adatlopások, az egyre sikeresebb adathalász próbálkozások, zsarolóvírus támadások alapján leszűrhető konklúziók mind abba az irányba mutatnak, hogy korántsem elég ma már csak a tűzfalak mögé rejteni a vállalati dokumentumokat.


Akár felhőben, akár saját rendszereken tárolják a cégek az adataikat, csak akkor csökkenthetik igazán az őket fenyegető rizikót, ha pontosan meghatározzák és időről időre felülvizsgálják, hogy személy szerint ki, mihez férhet hozzá, valamint akár azt is, hogy honnan tölthet le és milyen hordozón tárolhat bármilyen vállalati információt. Mihály Tamás szerint ez az a gyökérprobléma, amelyet, ha nem kezelnek súlyának megfelelően a cégek, akkor előre kódolják a kisebb, vagy nagyobb adatvesztéseket, az információk illetéktelen kezekbe kerülését, ami ráadásul a pénzügyi kockázatokon túl, akár piaci versenyhátrányhoz is vezethet.

 

Mihály Tamás, a TheFence megálmodója

 

A TheFence stratégája első lépésben azt javasolja a vállalatvezetőknek, informatikai vezetőknek, hogy a társosztályok (hr, pénzügy, jog stb.) és külső szakértő bevonásával, valamint megfelelő eszközökkel rendszeresen vizsgálják meg felhasználóikat és a jogosultsági szerepkörtartalmaikat. Ezzel együtt mérjék fel a reális kockázatokat és zárják ki, amennyire csak lehet azokat a hozzáféréseket és felhasználókat, amelyek egyrészt a kihasználatlanságuk miatt licensz szempontból csak viszik a pénzt, másrészt potenciálisan lehetőséget adnak bármilyen vállalati információ tudatlanságból fakadó, vagy rossz szándékú kiszivárgásának.

Magyar fejlesztés a kiberbűnözők ellen Amerikában is

A vállalati belső biztonság növelésére, a nem megfelelően kezelt hozzáférési jogosultságok kiszűrésére és az adatlopásra irányuló informatikai támadások megelőzésére szolgáló szoftver, a TheFence a tavalyi sikeres magyarországi és európai debütálás után idén februártól Amerikában is elérhetővé vált. A telepített (on-prem) és a felhőben is alkalmazható szolgáltatásokat kínáló, magyar szakemberek által megvalósított fejlesztés tengerentúli bevezetése mellett azért döntöttek a terméket piacra segítő XS Matrix vezetői, mert a felhőalapú IT-biztonsági megoldások üzleti adaptációja ott a legmagasabb szintű a világon, különösképpen a kockázatelemzés  és -kezelés területén.

„Miamiban nyitottuk meg az irodánkat, és innen kiindulva szeretnénk az USA mindkét partján terjeszkedni. Döntésünket az indokolta, hogy az ország előbbre jár Európánál a biztonsági tudatosság terén, ami számunkra lehetővé teszi azt, hogy a legkülönfélébb gazdasági ágazatokban működő vállalatok körében, élesben szerezzünk hasznos, releváns és friss piaci tapasztalatokat az informatikai biztonságot érintő kihívásokról. A felesleges, túlzott és kockázatos jogosultságokból fakadó veszélyeket felmérő szoftverünk, a TheFence Amerikában is unikális termék. Ennyire fókuszáltan a humán munkaerőt érintő kockázatok elemzésével ugyanis még itt sem foglalkoznak. Viszont ez az a terület, ami napról napra válik egyre fontosabbá a helyi kis- és középvállalatok, illetve a nagyvállalatok körében” – mondta Teasdale Harold, a TheFence amerikai szervezetének vezetője.

 

Teasdale Harold, a TheFence amerikai szervezetének vezetője

 

Hozzátette, hogy az év végéig 40 fős csapattá szeretnék bővíteni a tengerentúli és európai vállalkozásaikat, amelyek partnerei kívánnak lenni a szenzitív üzleti, illetve személyes információkat kezelő pénzügyi, energetikai, informatikai cégeknek, egészségügyi szolgáltatóknak és startupoknak egyaránt. A szakember felhívta a figyelmet, hogy az adathalászat továbbra is az aranykorát éli. Ezt az amerikai vállalatok éppúgy elszenvedik, mint a világ más részein működő cégek. A túlzott, a szükségtelen, illetve az összeférhetetlenséget jelentő jogosultságok pedig csak fokozzák a szervezetek sérülékenységét. Az ijesztő trendeket megerősíti a Gartner iparági előrejelzése, amely szerint 2023-ban a vállalati IT-rendszerekbe való betörések 75 százaléka már a hozzáférési jogosultságok nem megfelelő kezelése miatt fog bekövetkezni.

Egyszerűen azért, mert a vállalatok, szervezetek a megszokások, a bevett gyakorlatok alapján állapítják meg, hogy ki mit érhet el a céges adatbázisokban. Ezt a biztonsági rést pedig az egyre szofisztikáltabb módszerekkel dolgozó kiberbűnözők ki is használják. A legfrissebb, 2022 Data Breach Investigations Report mutatott rá arra, hogy a detektált támadások többsége (több mint 60%) a megtévesztő e-mailek, weboldalak használatával ért célba. Az esetek több mint 20 százalékában az ellopott azonosítók alkalmazásával, illetve személyiségfelvétel (pretexting) révén tudtak illetéktelenek a számukra hasznot hozó vállalati információkhoz hozzájutni.

 

A THEFENCE szoftveres megoldást megálmodó és piacra segítő IT-vállalat, az XS Matrix Security Solutions két székhelyen működik. Az egyesült államokbeli Miamiban és Budapesten találhatóak meg az irodáik. A céget két CISA/CISM minősítéssel és több mint 20-20 éves kiberbiztonsági tapasztalattal rendelkező szakember, Harold Teasdale és Mihály Tamás alapította 2016-ban. Az XS Matrix kezdetben a kockázatalapú hozzáférés-felügyelet technológia koncepcióján dolgozott, majd a hozzáférésekhez kapcsolódó kockázatok azonosítását végző szolgáltatást indított. A vállalat 2019-ben vezette be a hozzáférések automatikus felügyeletét kínáló AURA termékét, majd 2022-ben a THEFENCE-et. A szoftveralapú IT-biztonsági, a vállalati belső biztonság növelésére, a nem megfelelően kezelt hozzáférési jogosultságok kiszűrésére, illetve az adatlopásra irányuló informatikai támadások megelőzésére fejlesztett megoldásuk on-prem és felhőben is alkalmazható szolgáltatásokat kínál.
 
 

(Forrás: XS Matrix)

(Képek: Adobe Stock)

A kvantumtechnológia alapjaiban változtatja meg jövőnket
"A kvantumszámítógépek az anyagtudományban is hatalmas előrelépést jelentenek. Segítségükkel olyan különleges anyagokat fejleszthetünk ki, amelyekre a hagyományos számítógépekkel soha nem lenne lehetőségünk” – mondta Dr. Thomas Strohm, a Bosch Research kvantumtechnológiákért felelős vezető szakértője.
Csomagok és teherszállítók hatékony detektálása a logisztikában
A Pepperl+Fuchs több mint három évtizede fejleszt és gyárt megbízható RFID rendszereket ipari alkalmazásokhoz. Az üzemi automatizálásban ezeket a rendszereket elsősorban PLC-kkel üzemeltetik a biztonságos folyamatok és a gyártás átláthatósága érdekében.
A CSRD feladja a leckét a vállalatoknak
Bár a cégek többsége bizakodó azzal kapcsolatban, hogy felkészült lesz az EU kötelező vállalati fenntarthatósági jelentéstételről szóló irányelve, a CSRD-követelmények teljesítésére, sokan még nem igazán tudják, hogyan - derül ki a PwC első alkalommal elkészített Global CSRD Survey kutatásából.
Hogyan viselkedhet egy fém felülete kétféleképpen?
Különleges tulajdonságaik miatt számos alkalmazásban fontos szerepet játszik a fémfelülethez kötött fény (plazmon). Magyar kutatók most egy olyan eszköz működését demonstrálták, amely ezen felületi plazmonok segítségével ultraérzékeny szenzorként és jelmoduláló eszközként is alkalmazható.
Energiahatékony motor- és invertercsomag elektromos buszokhoz
Az új csomag, amely magában foglalja az első, buszokhoz készült háromszintű invertert is, megnövelt élettartamot és jelentős hatékonyságnövekedést eredményez, hiszen a korábbi, kétszintű inverterekhez képest akár 12%-kal kevesebb motorikus veszteséget generál a szokványos menetciklusok során.