Magyar cégek és az online biztonság esete: lenne még mit tanulni

Az internethasználatot teljesen alapvetőnek tekintjük a mindennapokban, és nincs ez másképp a munkahelyeken sem. Az elmúlt 2-3 évtizedben szép lassan mindent átköltöztettünk a világhálóra, amit csak lehetett. Ami korábban papír alapon működött, az most digitálisan.

Szoftvereket használunk a munkavégzéshez, az egymással való kommunikációhoz, a felhőbe mentjük az adatokat. Csak épp arról vagyunk hajlamosak megfeledkezni, hogy az internet nem csak a miénk, és nem ártana a biztonságra is ügyelni a hatékonyság és kényelem mellett.

“Az internet biztonságos, nem?”

Riasztó, hogy a magyar cégek tetemes hányadánál nincs semmilyen különösebb biztonsági intézkedés az online felületek használatához kapcsolódóan. Sokatmondó adat, hogy a kkv-k kevesebb, mint 30 százaléka rendelkezik bármilyen kiberbiztonsági policy-vel.  Számos cégvezetőben mintha fel sem merülne, hogy szükség van ilyesmire, vagy ha fel is merül, nem ért hozzá kellőképpen, a pénzt pedig sajnálja rá. Pedig az egész vállalkozás rámehet arra, ha ezt a kérdést elhanyagoljuk..

Most, hogy a koronavírus járvány kapcsán előtérbe került a home office, és minden eddiginél többen dolgoznak távmunkában, különösen fontos, hogy foglalkozzunk a kiberbiztonság témakörével. Ebben a helyzetben ugyanis még azok a folyamatok is online zajlanak, amiket eddig személyesen intéztünk, így még nagyobb támadási felületet kínálunk.

Bárki lehet kiberbűnözés célpontja

Ami miatt ezekre a biztonsági intézkedésekre szükség van (vagy lenne), az a kiberbűnözés. Ez a fogalom kétféle dolgot is jelenthet: az egyik, hogy informatikai rendszerek segítségével követnek el bűncselekményt, a másik pedig, hogy ezek kárára. A cégeket értelemszerűen a második kategória érintheti, és érinti is rendszeresen: a Panda Security 2019-es felmérése szerint a cégek mintegy 60 százalékát érte kibertámadás egyetlen év alatt, ami érintette a vállalat mindennapi működését is.

Azt hiszed, a te vállalkozásod megússza, mert “nem vagy annyira nagy hal”? Tévedsz: statisztikák szerint egyre jobban érintettek a kis- és középvállalkozások, már csak azért is, mert a kkv-k biztonsági rendszerei sokszor könnyen kijátszhatók – vagy szinte egyáltalán nem is léteznek. Jónéhányan ugyanis csak akkor szembesülnek azzal, mi (volna) a jelentősége egy jó védelmi rendszernek, vagy akár csak egy policy-nek, amikor már megtörtént a támadás, és a saját bőrükön tapasztalják a következményeket.

Mitől kell tartanod konkrétan?

Bizonyára hallottál olyan esetekről, amikor informatikus bűnözők feltörték egy-egy vállalat rendszerét, és rengeteg személyes adatot, illetve magának a cégnek is kulcsfontosságú adatait lopták el, esetleg az összes gépen minden elérhető adatot lekódoltak. Ezzel óriási károkat tudnak okozni, az egész céget tönkre tehetik, vagy éppen zsarolhatják velük a tulajdonost, váltságdíjat követelhetnek a megszerzett adatokért, vagy hogy feloldják a titkosítást.  

A dolgozók, ügyfelek, partnerek adataival pedig simán visszaélhetnek a bűnözők. Mivel manapság kiemelten fontos terület az adatvédelem, cégvezetőként ebből komoly gondjaid lehetnek személyesen neked is.

Egy egyszerű példával szemléltetjük a helyzetet: mennyire örülnél neki, ha egy forradalmi terméket terveznél piacra dobni, de hackerek feltörnék a rendszert, és nyilvánossá tennék a terveidet, vagy ezzel zsarolnának? Mennyire lennél boldog, ha a konkurencia tudomást szerezne a teljes marketingstratégiádról? És mekkora lenne az öröm, ha felelned kellene azért, mert több száz ember személyes adatait lopták el tőled, majd csúnyán visszaéltek vele? Mit tennél, ha a Garmin nevű ismert céghez hasonlóan tőled is 10 millió dollárt követelnének, hogy a titkosítást feloldva visszakapd a saját adataidat és eszközeidet?

Nos, ilyen és ehhez hasonló helyzeteket kockáztatsz akkor, amikor az online biztonság kérdését elhessegeted, vagy amikor nem akarsz rá költeni. Ha ugyanis Te magad nem értesz hozzá, rábízhatnád ezt valakire, aki igen. Ami persze pénzbe kerül, és sok vállalkozó szereti megspórolni ezeket a “járulékos költségeket”. Az IT-re sajnos a legtöbb cég költségként tekint, és nem befektetésként. A többség csak akkor látja, hogy mennyire éri meg erre áldozni, amikor áldozattá válik.

Óriási biztonsági bakik vannak mindenhol

Persze, hogyan is lehetne penge kiberbiztonsági rendszerek használatát várni a cégektől, amikor olyan alapvető dolgokra sem fordítanak figyelmet a céges adatok védelme érdekében, amiket még az átlag felhasználók is szem előtt tartanak? A cégek zöménél rendkívül banális biztonsági problémákat találhatunk,, amik nagyon könnyűvé teszik a támadást. Hihetetlen, de 2020-ban sok vállalatnál nincs rendszeres, független adatmentés sem!

A gond az, hogy rengeteg cégnél már az alapoktól hiányzik a biztonságra való törekvés. Az internet nagyon gyorsan szivárgott be a mindennapjainkba, vette át a céges folyamatokat, de valahogy kezdetektől fogva hiányzott a szándék arra, hogy a vállalkozásokat, cégeket megtanítsuk a biztonságos használatára is. Voltak erre törekvések, például az NMHH részéről is, de ezek nem voltak túl hosszú életűek, sem különösebben hatékonyak.

Még maguk a böngészők is igyekeznek azért felhívni a figyelmet arra, hogy ügyeljünk a biztonságra, de az átlag felhasználó ezeket az üzeneteket egyszerűen zavaró tényezőként érzékeli, és olvasás nélkül zárja be. Tudod, ezek azok a felugró ablakok, amik olyan idegesítőek, mert kitakarják a képernyőt, amikor olvasnál valamit. 

Holott ezek nemcsak kéretlen netes tartalmak, hanem éppenséggel a biztonságra is figyelmeztethetnek.  De sajnos már rutinból nem olvasod el, mert megszoktad, hogy az ilyen felugráló izékkel nem kell foglalkozni, nyugodtan leokézhatod, vagy kiikszelheted.

Nem tudjuk, mikor kell körülnézni

Az alapok olyannyira nincsenek meg, hogy rengeteg nethasználó azt sem tudja, mikor és mire kellene jobban odafigyelnie.

Gondolj bele: egy kisgyereknek a szülei az évek során lépésről lépésre tanítják meg, hogyan közlekedjen biztonságosan: nem megyünk csak úgy át az úton, szétnézünk minden kereszteződésnél, akármilyen tábla is van kirakva, figyeljük a gyalogos lámpa jelzéseit, a többi ember viselkedését. 

A gyerek pedig szép lassan megtanulja, hogy mire figyeljen ahhoz, hogy ne essen baja az utcán, lesz egy alap szabályrendszere arról, hogy az úton mit teszünk és mit nem. Képes lesz különbséget tenni aközött, hogy például egy játszótéren nyugodtan lehet rohangálni ésszerű keretek között, az úton pedig nem.

Ez az alap szabályrendszer hiányzik az internetezéssel, az adataid védelmével kapcsolatban. A többség nem tudja, hogy mit jelent a neten az alapvető biztonság, mert ez sajnos sehol nincs tanítva. A felhasználók zöme így remek prédát jelent a csalóknak.

Jelszavak kezelése                                                                                      

Már a hétköznapi nethasználó is hajlamos figyelni arra, hogy lehetőleg ne a születési dátuma legyen a jelszava az e-mail fiókjába, a Facebookra, Instára, mindenféle webshopos regisztrációhoz, az ügyfélkapun stb. És persze arra is, hogy senki se tudja a jelszavait, vagy legfeljebb egy szűk kör.

Mit látunk ezzel szemben a cégeknél? Rengeteg, közösen használt előfizetéshez, regisztrációhoz ugyanaz a jelszó tartozik, amit éveken át nem változtatnak meg. A munkatársak közben jönnek-mennek, cserélődnek, de sebaj, a jelszó marad. 

Így egy idő után boldog-boldogtalan tudja, beléphet, és hozzáfér bármihez. Ami azért  kellemetlen lehet, ha például a konkurenciához ment dolgozni egy régi kolléga, és mivel tudja a jelszót, gond nélkül juthat hozzá bármilyen infóhoz.

Arról nem is beszélve, hogy a jelszó számos esetben a cég neve, vagy a főnök neve, esetleg az alapítás dátumával kiegészítve.

Igen, persze, világos, hogy miért egyszerűbb egy könnyű jelszót használni éveken át, amit a cégen belül mindenki meg tud jegyezni, csak az a baj, hogy ezzel gyakorlatilag tálcán kínálja magát a cég a kiberbűnözőknek, mert ha egy jelszót megszereznek, mindjárt egy sor szoftverhez, szolgáltatáshoz, fiókhoz, szerverhez férnek hozzá vele.

Nyílt wifi az irodában

Nyílt wifin keresztül bárki csatlakozhat a hálózatodra. Ez ilyen egyszerű. Olyan is, akinek nem feltétlenül csak annyi a célja, hogy ingyenéljen egy kicsit, lopja a szomszédtól a sávszélt, és a Te kontódra netezzen. 

Hozzáférhetnek a beszélgetéseidhez, az adatforgalmadhoz. Érts ezalatt minden olyan adatot,  amit weboldalon keresztül adsz meg. Például bankkártyaadatokat, netbank hozzáférést – ez talán érzékelteti a helyzet súlyát. A céges számlák adatai, a cég kapcsolatai, a folyamatban lévő ügyei, minden rossz kezekbe kerülhet.

Bármilyen vírus kerülhet így az irodai gépekre – akár kémvírusok is, amik szintén alkalmasak arra, hogy minden létező információt összeszedjenek a cégről. Vagy olyanok, amik egyszerűen csak mindent letörölnek a belső gépekről, lehetetlenné téve ezzel a munkát.

A céges adatok semennyire nincsenek biztonságban, ha nyílt wifi van az irodában. Biztos egyszerűbb, hogy nem kell minden dolgozónak megadni a jelszót, minden alkalommal előkeresni, ha új kolléga érkezik, meg a rendszergazdát hívni, ha épp elfelejtettük, de azért ez nem akkora macera, hogy megérje ezt kockáztatni.

Egyébként legalább ekkora gond az is, ha a céges laptoppal kapcsolódik valaki nyílt hálózathoz, mert éppen beugrik ebédelni egy plázába, közben pedig elintéz néhány e-mailt is. Ugyanolyan könnyű prédává válik minden adat, ami a gépen van, mintha az irodába lenne védetlen wifi.

Mehet minden a felhőbe!

A felhőben tárolni az adatokat nem rossz ötlet, hiszen így bárhol, bármikor tudsz velük dolgozni. De az nagyon nem jó ötlet, ha Te magánszemélyként regisztrálsz a Drive-ra, és oda pakolsz céges információkat, dokumentumokat, adatokat. Márpedig rengetegen pontosan ezt teszik, nem figyelve például arra, hogy a már felmondott/kirúgott alkalmazottaknak is megmaradt a hozzáférésük.

Persze, tőlük el lehetne venni, de sokszor ez nem jut senkinek az eszébe ezekben a helyzetekben. Láttunk már példát arra, amikor évekkel később jött rá egy cégnél az ügyvezető, hogy az elmúlt években elment kollégák azóta is láthatnak mindent, amit a Drive-ra pakolnak a cég dolgozói. Nem túl valószínű, hogy bármelyiküket is érdekelték a cég dolgai, de ebben senki nem lehet biztos.

Alapvető lenne, hogy ha valaki távozik a vállalattól, akkor minden hozzáférését meg kell szüntetni minden felülethez, a jelszavakat meg kell változtatni. De nagyon sok esetben ezek fölött egyszerűen elsiklanak a távozáskor. Így pedig csak a szerencsén múlik, ha nem történik semmi.

A felhő amúgy jó megoldás, de komolyan védett, céges adatbázisok formájában, nem pedig saját magunk által kreált, random fiókokban. Hozzátennénk, az sem árt, ha esetleg vannak helyreállítási tervek, ha valamilyen probléma lenne, urambocsá’ biztonsági mentések, hogy ne egy helyen tárolj mindent, ami életbevágó fontosságú a céged működése szempontjából – persze ezek is megfelelő védelemmel ellátva.

Volt már rá példa, hogy egy cég azért keresett meg, mert frissítés közben az ezeréves gépük feladta a harcot. Később a rendszert újratelepítették, de adatok persze nem voltak rajta, biztonsági mentés pedig természetesen nincs. Jött a kétségbeesett kérdés, hogy mit lehet tenni. Nos, leginkább semmit – ezekre a helyzetekre előre kell gondolni, és megelőzni. Utólag már késő a biztonságon aggódni.

Ezeréves operációs rendszerek

Emlékszel még a Windows XP-re? Nagyon menő volt, amikor kijött, a leginkább felhasználóbarát rendszer, amit addig láttunk. Aztán leváltotta a Windows 7, 8, mostanra pedig a Windows 10-et fogyasztjuk. Az XP már 18 éves történet, és cirka 6 éve frissítés sem készül hozzá.

Hogy jön ez ide? Úgy, hogy a magyar cégek 32 százalékánál még mindig van olyan céges gép, amin Windows XP fut! Windows 7-ből még több van.

Ez azért gond, mert a frissítésekkel biztonsági újítások is jönnek a gépekre, amit így nem kapnak meg a céges számítógépek. Időközben viszont ezek védelme már elavulttá vált, az IT bűnözők nevetve törnek át rajtuk, hiszen a technológia az eltelt években már rég továbbfejlődött. Nemcsak a Microsofté, a hackereké is.

Továbbá, az összes szoftver régi és elavult, ami ezeken a gépeken van, hiszen az újak egyszerűen nem futnak rajtuk, így azok is meglehetősen védtelenek. Egyúttal ez magyarázat arra is, hogy miért használnak számos helyen ezeréves programokat, mikor vannak újak és jobbak.

Hogy miért van ez így, nem nehéz kitalálni: a pénz miatt. Az új operációs rendszerhez valószínűleg le kéne cserélni a céges gépeket, hiszen az új Windows nem fut le egy 10-15 éves masinán. Az operációs rendszer sincs ingyen, ahogy az új szoftverek sem, így egy ilyen akció igen komoly kihívást jelenthet egy vállalkozásnak anyagi értelemben. Ezért aztán halogatják amíg lehet, csakhogy közben egyre könnyebb prédává válnak az online térben.

Nem olcsó, de elengedhetetlen a védelem

Aki annyira nem jártas az IT területén, az valószínűleg már ebben a cikkben is talált olyat, amiről maga sem tudta, hogy probléma lehet, vagy nem foglalkozott vele. Sokszor éppen az információk hiányából adódnak az ezekhez hasonló biztonsági problémák: egyszerűen fel sem merül, hogy gond lehet.

Ezért lenne célszerű hozzáértő kezekbe adni a céges online biztonsági rendszerek kialakítását, hogy minden vállalkozás biztonságban tudhassa az adatait. Itt is képbe kerül azonban a finanszírozási probléma, hiszen nem filléres tétel egy mindenre kiterjedő biztonsági ellenőrzés, illetve a talált problémák orvoslása.

Ugyanakkor a cég jövője múlhat azon, hogy sikerül-e még azelőtt megtalálni a rést a pajzson, hogy a kiberbűnözők feltűnnének. Nincs olyan cég, amelyet nem fenyeget ez a veszély, nincs túl kis hal. A tét pedig nagyon nagy, ezért muszáj, hogy beleférjen a költségvetésbe az online biztonság fejlesztése. Ez nem egy plusz, nem egy extra, hanem egy alapvető fontosságú, szükséges dolog.

Nem fog visszafordulni az online költözés

Ennek az egésznek még nagyobb jelentősége van most, amikor néhány hónappal ezelőtt a koronavírus járvány egyik pillanatról a másikra kényszerítette online munkavégzésre a cégek jelentős részét. Ha hinni lehet a kutatóknak, ez nem egyszeri eset volt, már őszre várják a második hullámot, ami csak tovább erősíti majd a digitális munkavégzés szerepét, és ezzel együtt a hétköznapi biztonságét is.

Ha biztonsági szempontból felkészületlen voltál az online munkavégzésre (ne vádold magad – a cégek 61 százaléka ugyanígy volt ezzel), és csak a tűzoltásra volt időd márciusban, mikor hirtelen kellett átállni home office-ra, korrigáld ezt a hibát most, a várható második hullám előtt – azért is, mert nem a home office miatt van szükséged a legalapvetőbb biztonsági intézkedésekre és policy-re, anélkül épp olyan nagy lenne a kockázat, ha a rendszereid védtelenek.

Most még van időd megkeresni a biztonsági problémákat és kijavítani őket, hogy ha újra nagyobb szerepet kap az online terület, nyugodt lehess afelől, hogy megtettél mindent az IT-bűnözők elleni védelem érdekében.

Jó, ha tudod, hogy több mint hatszorosára nőtt a kiberbűnözések száma az elmúlt hónapokban – a bűnözők is tudják, hogy most minden eddiginél többen kényszerültek a netre, azaz szélesebbek a lehetőségeik. Előzd meg, hogy a Te céged is áldozattá váljon!

Olvasd el ezeket is:

Kommenteld meg jól:

0 hozzászólás

Egy hozzászólás elküldése

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..