Index Vakbarát Hírportál

A kiberháborúban nincsenek civilek

2018. március 28., szerda 08:02

Tudtunkon kívül Bitcoint bányászik valaki a gépünkkel vagy a nevünkben nyúl a céges működésbe? A kiberbiztonsági kihívások úgy váltak mindennapjaink részévé, hogy szinte észre sem vettük. Úgy kezdődött, hogy megtanultuk: oda kell figyelnünk az online banki jelszavainkra, illetve frissen kell tartanunk a vírusirtóinkat. Ma már ez kevés a fenyegetések egészen váratlan helyekről is érkezhetnek.

Manapság könnyen előfordulhat, hogy tudtunkon kívül valaki más számára bányászik kriptovalutát a számítógépünk, vagy egyszer csak távolról átveszik az irányítást a gépünk felett, és csak váltságdíj fejében adják vissza a hozzáférést adatainkhoz. A cégek világában még nagyobb a tét és még komolyabb veszélyek leselkednek vezetőkre és alkalmazottakra egyaránt.

Nem csak a rendszer, az ember is meghackelhető

A szolgáltató szektor egyre több és egyre értékesebb adattal dolgozik. Évente egyre több hatalmas adatlopásról értesülhetünk a sajtóból, ezek pedig nem csak a cégek, hanem az ügyfelek számára is veszélyesek, hiszen a bűnözők visszaélhetnek személyes adatainkkal.

Ráadásul egy nagyvállalatnál, ahol sokan dolgoznak változatos felelősségi körökkel, ott bizony nem csak az informatikai rendszert lehet meghackelni, hanem az embereket is.

A beosztottak “hackelése” alatt ártó szándékú átverést értünk: egy külső beavatkozás valamilyen trükkel kicsalhatja az alkalmazottakból a hozzáférési jelszavakat, vagy értékes adatok átadására bírhatja rá őket.

Ez lehet egy telefonhívás, amiben valaki a főnökre hivatkozik, de lehet egy e-mail is, ami megtévesztően van megfogalmazva, esetleg egy weboldal, ami megszólalásig hasonlít arra a megbízható szolgáltatásra, aminek éppen szenzitív adatokat adunk meg: csak éppen nem az.

Ezeket a módszereket nevezik “phishing”-nek (a hasonló hangzású fishing kifejezés horgászatot jelent), mivel a támadó bedob egy virtuális horgot, és várja, hogy a célpont ráharapjon. Hackelés helyett egyszerűen elkéri a hozzáférés jogát, amit maga a felhasználó ad meg neki.

A “tűzfalak” és “vírusok” dominálta közbeszédben megszoktuk, hogy a fenyegetés kívülről érkezik. De ha a betörők lemásolják a kulcsainkat, akkor hiába van a legmodernebb zár az ajtónkra szerelve.

Ugyanígy, ha a hackerek megszerzik a jelszavainkat, akkor teljesen mindegy, hogy milyen erős a tűzfalunk: a farkas már bent van a bárányok között. És valószínűleg mi magunk engedtük be azt.

A bajok sokszor belülről fakadnak

Nem mellesleg, ha egy alkalmazott és a cég között bármilyen érdekellentét alakul ki, az egyre nagyobb informatikai kockázatot jelent a cég számára, az alkalmazott hozzáférési szintjeitől függően. A szakértők egyetértenek abban, hogy a belső incidensek sokkal nagyobb károkat tudnak okozni, mint amikor valakik kívülről törnek be a rendszerbe.

Ezek az incidensek pedig sokszor a cégek hanyagságából fakadnak, például

a cégtől távozó munkatársaknak gyakran megmarad az online accountja, vagyis már a konkurenciának dolgozva továbbra is hozzáfér bizalmas információkhoz, például letöltheti az árajánlatokat, olcsóbbat ajánlva az érintett ügyfeleknek.

Természetes, hogy ha visszaél valaki az ilyen hibákkal, az nem etikus, ugyanakkor, ha a cég maga nem gondoskodik arról, hogy az egykori kollégától megvonja digitális jogköreit, akkor igazából kit lehet hibáztatni? Az nem az egyén hibája, hogy megmarad a nyomában egy “zombi account”, és fennáll a lehetősége, hogy visszaél vele – még ha nem is törvényes ezt kihasználnia. Emellett ő maga is támadás áldozata lehet, az ő nevében is garázdálkodhatnak ismeretlenek a régi cége rendszerein.

A követhetőség biztonságot ad

Az identity management az a szakterület, ami egy szervezet belső informatikai jogosultságkezelését vizsgálja és optimalizálja. Minden egyes szereplőnek, legyen az vezérigazgató vagy recepciós, saját digitális jogkörökkel kell rendelkeznie, ami az ő személyéhez kötődik, a tevékenységeit pedig naplóznia kell a rendszernek.

Mindig birtokában kell lennünk annak az információnak, hogy kicsoda és milyen tevékenységet végzett a rendszereinken, pontosan mikor, és ezt a hatalmas adattömeget áttekinthetővé kell tenni ahhoz, hogy lefüleljük a támadást.

 

Egy modern IDM rendszerben a kilépési folyamat részeként megvonnak minden jogosultságot és hozzáférést. Automatikusan, emberi beavatkozás nélkül, így fel sem merül ezeknek a kényes kérdéseknek a kezelése. Ilyen innovatív megoldást hazai cég is kínál, az IdMatrix teljes mértékben képes a digitális jogosultságot érintő folyamatok kezelésére, természetesen igazodva a felhasználói életciklushoz.

Azt is előre meg lehet határozni egy ilyen rendszerben, hogy egyidejűleg milyen jogosultságokkal rendelkezhet valaki.

Például abban az esetben, ha valaki érkeztethet egy számlát, akkor nem iktathatja és nem hagyhatja jóvá az utalást.

Amennyiben ugyanis ezek a jogok egy kézben vannak, akkor azzal akár véletlenül vagy szándékosan, de komoly károkat lehet okozni - nem példa nélküli, hogy valaki a cég pénzéből elutalgat magának, ha úgy érzi, minimális a lebukás esélye. Persze, ha a háromlépcsős jóváhagyás miatt azonnal megállna az élet, ha valaki elmenne szabadságra, akkor azért be lehet építeni a jogok elkülönítésének feloldását, de ezt a helyzetet a rendszer érzékeli, naplózza, és jelzi, hogy nincsenek szerencsés állapotban a jogkörök.

Az IDM-szolgáltatók azt is felderítik, ha valaki utólag belenyúl a céges rendszerbe, és olyan jogosultságot ad magának, ami visszaélésre nyújt lehetőséget. Megtörtént eset, hogy egy rendszergazda utólag adott magának jogot arra, hogy olvassa a vezérigazgató e-mailjeit. Csak véletlenül derült ki, hogy mi történt, amikor egy levélíró visszajelzést kapott arról, hogy az igazgató olvasta az e-mailjét, majd amikor felhívta, akkor azt a választ kapta, hogy még nem nyitotta meg a levelet. Ő valóban nem - de a rendszergazda már elolvasta helyette. Az IDM rendszer üzemeltetői időnként összevetik az általuk ajánlott alap jogosultságokat a cég aktuális beállításaival, és ha eltérést észlelnek, akkor jelzik az ügyfélcégnek.

A jogosultságokat intelligensen tudják már kötni külső feltételekhez és csatolt alkalmazásokhoz is: például, ha egy bizonyos funkciót csak akkor használhat egy kolléga, ha már teljesítette a vonatkozó e-learning kurzust, akkor hiába ad neki jogot a felettese, addig nem fogja tudni használni azt, amíg nincs meg a minősítése.

Az emberi faktor nem küszöbölhető ki

Mindez mit sem ér, ha a vállalati protokolljainkat nem tartják be a kollégák, vagy ha szeretnék betartani, de valaki visszaél a felkészületlenségükkel.

A kiberbiztonsági szakemberek a “szükséges minimum elvének” nevezik azt, hogy mindenki csak annyi digitális joggal rendelkezzen, amennyire a munkájához feltétlenül szüksége van.

Például egy felhasználónak nem biztos, hogy szükséges admin joggal rendelkeznie a saját gépéhez: így nem is tudja véletlenül letitkosítani azt.

A rendszergazdák számára is azt javasolják a szakemberek, hogy külön accounton végezzék a rendszermenedzsment tevékenységet és egy másikon minden mást, például a levezetést. Nem nehéz elképzelni, hogy amennyiben egy rendszergazda jogkört ér valamilyen fertőzés, az tudja a legnagyobb pusztítást végezni.

Mint sok más esetben, az előre gondolkodás és a fegyelmezett végrehajtás itt is váratlan előnyökkel járhat. Egy jól felépített és karbantartott jogosultság-kezelői szisztéma a napi céges működést is hatékonyabbá teheti.

Ahogy a régi mondás tartja, ha békét akarsz, készülj a háborúra.

BRAND & CONTENT Brand & Content

A cikket a Brand & Content készítette a Innomatrix megbízásából, nem az Index szerkesztősége. Arról, hogy mi is az a támogatói tartalom, itt olvashat részletesebben.

Rovatok