Macska-egér harc folyik az eszköztárukat folyamatosan bővítő kibercsalók, valamint a támadásokat kivédeni igyekvő biztonsági szakemberek között. Számos vállalat fogcsikorgatva tervezi bele költségvetésébe a biztonsági kiadásokat, ami leginkább egy lakásbiztosításhoz vagy egy cascóhoz hasonlítható, vagyis épp az a jó, ha „felesleges” kiadásnak számít, mert az az jelenti, hogy nem történt lopás, csalás. Baj esetén azonban milyen jó, hogy van. A 2024-es ITBN-konferencia (Informatikai Biztonság Napja) fő témája a kiberbiztonság és az emberi erőforrást érintő mesterséges intelligencia (AI).
Az üzleti életben nyílt titok, hogy vészterhes időkben a cégek a kommunikációs és marketingbüdzsét húzzák meg először, 2020 elejétől pedig igencsak vészterhes idők járnak. Először a koronavírus-járvány, majd az orosz–ukrán háború kitörése által okozott energia-, inflációs, valamint általános megélhetési válsággal járó recesszió okán.
„Egy vállalatnál mérettől függetlenül érvényes, hogy válság idején bizonyos területekről forrást von el likviditása, fennmaradása érdekében. Ezek a döntések a racionalizálás elve mentén történnek, vannak olyan élethelyzetek, amikor valahonnan el kell venni például azért, hogy folyósításra kerüljenek az alkalmazotti bérek” – vázolta az Indexnek Csordás Szilárd. Az IT-biztonsági szakértő rámutatott: a marketingtevékenység eredményessége elhúzódó hatású egy vállalat életében, nagyjából fél-egy éves időtartamban mérhető. Ezáltal ha egy vállalat külső történésre gyorsan reagálva vág a marketingbüdzséből, annak hatásai nem azonnal jelentkeznek, a válság elmúltával, valamint a piaci helyzet visszarendeződésével párhuzamosan pedig ezek a kiadások visszaépíthetők a költségvetésbe.
A biztonságra szánt büdzsé esetében már más a helyzet. Költségvetés tervezésénél a biztonsági fejlesztésekre fáj legjobban költeni, hiszen ennek értéke, jelentősége sokszor nem látható, nem kézzelfogható, előre nem tudható. Ennek ellenére elengedhetetlen, hiszen a mai modern korban, ahol minden digitális, a kibercsalók néhány kattintással szabadítják meg a cégeket vagy épp az államigazgatási szektor szereplőit rendkívül érzékeny adatoktól, információktól, amiket váltságdíj kifizetése ellenében szolgáltatnak vissza – ha ugyan visszaadják, merthogy erre nézve semmiféle garancia nincs.
Számos vállalat baleset-, valamint ingatlanbiztosításként vagy cascóként tekint a biztonságra szánt kiadásokra. Folyamatosan fizetik, de a másik oldalról nem érzik hasznát. Ugyan mindkettő célja a kockázatok minimalizálása és a váratlan események következtében fellépő károk mérséklése, azért vannak különbségek is.
A biztonsági költéseknek van egy olyan nagyon fontos hozadéka, hogy baj esetén minimalizálja a költségeket. Előre nem tudható, de csak idő kérdése, mikor törnek be egy rendszerbe a kibercsalók.
De akkor hogyan lehet a vállalatok figyelmét felkelteni a biztonsági kiadásokra szánt összegek fontosságára? Mennyi idő alatt térül meg, sőt egyáltalán megtérül-e a biztonságra fordított összeg? Csordás Szilárd elmondta, cége válogatja, mennyire nyitott a biztonsági kérdések irányába. Volt már arra példa, hogy egy vállalat nem érezte fontosnak erre is költeni, ám amikor érzékeny adatokat tulajdonítottak el tőle, akkor a másoké helyett a saját kárán tanulta meg a leckét, és mégis szerette volna a biztonságot elősegítő csomagot. „Aki egyszer megégeti magát, nagyobb vásárlási szándékkal fordul a biztonsági szakemberek, cégek irányába” – jegyezte meg.
Azért elősegítő, mert a szakértő elmondása szerint százszázalékos garancia nincs a fegyverarzenáljukat folyamatosan csiszoló kiberbűnözőkkel szemben. Ezért a biztonsági szakemberek is folyamatosan bővítik tudásukat, tájékozódnak az adathalász-technikákról, és megpróbálják azokat kivédeni. Csordás Szilárd szerint a védekezés egyik kulcsa az idő, hogy a biztonsági szakember milyen gyorsan észleli a külső behatolást, és reagál azokra, minimalizálva, jó esetben teljesen elhárítva a veszélyt és az abból fakadó anyagi kárt.
Zsarolóvírusos támadás esetén általában már csak túsztárgyalásra van lehetőség a csalókkal annak érdekében, hogy minden meglovasított vagy zárolt adatot visszaszolgáltassanak az általuk meghatározott összegért cserébe. Bár a váltságdíj kifizetése rövid távon megoldásnak tűnhet, hosszú távon nem csökkenti a kockázatokat, és nem növeli a rendszer IT-biztonsági szintjét. A szakértők inkább az adatmentésre, a meglévő biztonsági eszközök finomhangolására és az alkalmazottak tudatos internethasználatra képzésére fordítanak energiát, mintsem a váltságdíj kifizetésére.
A cégek azt látják, hogy olyan területre kell forrást allokálni, aminek megtérülési oldala nem, csak a kiadási oldala látszik. Több ügyfelet érnek el ezáltal, több terméket tudnak értékesíteni? Nem. Ezért nehéz meggyőzni egy ügyvezetőt, hogy miért fontos a megfelelő információbiztonság fejlesztése, azonban kétségtelen, hogy hosszú távon használ az üzletnek
– hangsúlyozta a szakértő.
Tekintve, hogy a biztonság felértékelődött a virtuális világban, számos IT-cég nyújt védelmi szolgáltatást, így a piaci verseny által elkerülhető a túlárazás. „A kibercsalásokkal kapcsolatban folyamatos az edukáció, például a média által is, amely előszeretettel beszámol az ilyen esetekről. Emlékezhetünk többek között a Kréta-rendszer vagy a Külügyminisztérium elleni támadásról, ezáltal a közvélemény, a vállalatok képet kapnak arról, hogy valós és komoly károkat okozni képes jelenséggel állnak szemben” – mutatott rá a szakember.
Sok esetben egy vállalatnak nincs is szüksége arra, hogy új biztonsági infrastruktúrába ruházzon be, elég a meglévőt hatásossá finomhangolni. Természetesen ez is költséggel jár, ebben az esetben azonban „csak” a szakértő bérköltsége van terítéken.
A kibercsalók jelentős része „profitorientált” vállalkozás. Digitális értékeket tulajdonítanak el, hogy visszaszolgáltatásukért cserébe vagy értékesítésük révén pénzhez jussanak. A támadási módszerek között tudhatjuk a zsarolóvírusokat, amikor nem lopják el, „csak” zárolják az adatokat, a feloldás pedig pénzmozgás ellenében valósulhat meg. A csalók felmérik a megtámadni kívánt célpont mérlegfőösszegét, és gyakorlatilag testreszabott váltságdíjajánlattal állnak elő.
Magánszemélyek elleni támadás is gyakori, egy felhőben tárolt családi fotóalbum vagy egy sok követővel rendelkező influenszer közösségimédia-fiókja éppúgy célpont lehet, mint egy kórház betegadatai vagy egy vállalat üzleti vagy piaci szempontból érzékeny adatai. „Egy magánszemély legnagyobb digitális értéke az e-mail-fiókja. Elég, ha mindenki végigveszi, hány webáruházból vásárolt e-mail-fiók segítségével. Ez igencsak kiszélesíti a támadások lehetőségét, elég egy rossz kattintás, és odalehetnek az adatai” – mondta Csordás Szilárd.
Gyakorlatilag mára már az egész életünket átszövi, így nem meglepő, hogy mind a kiberbűnözők, mind a másik oldalon a biztonsági cégek, szakemberek is használják a mesterséges intelligenciát (AI).
„Bár az AI-t alapvetően az életünk segítésére, megkönnyítésére alkották meg, a világtörténelemben számos példa mutatkozik arra nézve, ha egy technológia rossz kezekbe kerül, annak pusztító hatása lehet” – mutatott rá Csordás Szilárd konkrét példákkal élve:
Az AI-szoftverek mögött olyan techóriások állnak, mint például az OpenAI, a Microsoft vagy a Google, amelyek kordában tartják a mesterséges intelligenciát. A dark weben azonban elérhető a „sötét oldal” AI-ja, amely elől elhordták a korlátokat, nem programoztak bele morális vagy jogi korlátokat, ami komoly veszélyeket rejthet magában.
Kiből lehet IT-biztonsági szakember? – tettük fel a kérdést Csordás Szilárdnak, aki elmondta, előny a „számítógépes” beállítottság, továbbá a nyitottság, érdeklődő attitűd, előképzettség azonban nem feltétel. Számos tananyag érhető el ingyen, online formában, így bárki képezheti magát.
„A mi szakmánk élethosszig tartó tanulást kíván. A hekkerek, kibercsalók folyamatosan újabb technikákkal igyekeznek adatot, pénzt eltulajdonítani a digitális világ minden szereplőjétől, amivel a biztonsági szakembereknek tartaniuk kell a lépést” – mondta, hozzátéve, számos középiskolában, egyetemen elérhető a területre irányuló szakirányú képesítés, azonban ez sem előfeltétele annak, hogy valakiből IT-biztonsági szakértő legyen.
Ezt a témát járja körül különféle szakmai területek és kérdések mentén 2024 szeptemberében az ITBN-konferencia, az Informatikai Biztonság Napja CONF-EXPO. Itt szó esik majd többek közt az informatikai biztonság kérdéséről, illetve az AI terjedéséről, fejlődéséről, munka világára és teljes társadalmunkra vetített hatásairól.
Ez a támogatott szerkesztőségi tartalom az ITBN közreműködésével jött létre.
(Borítókép: Kolumbán Kitti / Index)