...eszébe megakadályozni, hogy magával vigye céges laptopját - tele üzleti adatokkal. Semmilyen belső biztonsági szabály nem gátolta meg azt sem, hogy egy másik magyar cég informatikai rendszerébe a parkolóban szétszórt pendrive-okkal törjenek be. A kíváncsi alkalmazottak gyanútlanul bedugták számítógépükbe a talált adattároló eszközöket - a rajtuk lévő kémprogrammal együtt. Növeli a trükk sikeresélyét, ha az USB-dugaszon titkosnak látszó fizetési listák vagy hasonlóan izgató információk kelletik magukat.

Az ilyen esetek jól példázzák, hogy az informatikai biztonság 80-90 százalékban az emberi tényezőn múlik - mondja Szigeti Szabolcs, a Budapesti Mûszaki és Gazdaságtudományi Egyetem Informatikai Központjának tudományos munkatársa. "Ha be akarnék törni egy cég informatikai rendszerébe, semmiképpen sem távoli behatolással próbálkoznék, hanem belső embert keresnék" - magyarázza Szigeti.

A távolról indított, automatizált támadásoknál (spamek, vírusok) komolyabb veszélyt jelent a felhasználók emberi gyengeségeit kihasználó támadás, nem is beszélve a céges adatok szándékos kiszivárogtatásáról, amely már az üzleti kémkedés kategóriájába tartozik. Ne tévesszen meg senkit - mondták a HVG-nek nyilatkozó szakértők -, hogy alig hallani vállalati biztonsági incidensekről, legföljebb a bankokat és ügyfeleiket veszélyeztető adathalász támadásokról. Nem arról van szó, hogy nincsenek ilyen esetek, hanem egyszerûen arról, hogy nem kerülnek nyilvánosságra.

Ritka kivétel a távoli behatolók csoportjába tartozó Richter Csaba esete, aki 2005-ben egy svéd börtönben kötött ki, miután többször bejutott az Ericsson számítógépes hálózatába. A magyar fiatalember hozzáfért sok érdekes és bizalmas céges adathoz (saját bevallása szerint például telefonszoftverek forráskódjához, a Gripen vadászrepülőgépek radarrendszerének rajzához, és rendszergazda-jogosultságot szerzett több rendszerben), majd a megszerzett információk birtokában üzletelni próbált a svéd vállalat központjával - ám a malmői randevún a svéd titkosszolgálat emberei várták.

A PricewaterhouseCoopers (PwC) könyvvizsgáló és tanácsadó cég által az ügyfelek megrendelésére elvégzett - nem számítógépes - behatolási tesztek azt mutatják, hogy a magyar cégeknél viszonylag könnyû kijátszani a fegyveres biztonsági őrt és a recepcióst - mondja Antal Lajos, a PwC IT-biztonsági részlegének vezetője. Elég lehet egy fontos embernek csomagot hozó futár vagy egy tárgyalásról elkéső ember meséje. "Gyakran kitûző nélkül is szabadon sétálgathat egy öltönyös idegen a cég épületében, akár leülhet a gépek mellé anélkül, hogy megszólítanák" - mutat rá a másik gyenge pontra Antal Lajos. A szakember tapasztalatai szerint Nagy-Britanniában valószínûleg megkérdeznének egy idegent, hogy mi járatban van, idehaza inkább azt gondolják, hogy biztosan fontos ember, esetleg valamilyen ellenőr.

A támadás érkezhet belülről is. Ha egy dolgozó hozzáférhet bizalmas üzleti információkhoz, pénzre van szüksége, és vevőt is talál, a lebukás veszélye pedig alacsony, akkor elképzelhető, hogy nem tud ellenállni a kísértésnek. "A becserkészni kívánt személyről nem nehéz alapos környezettanulmányt készíteni. Elég az internet: a vállalati honlapok és a közösségi oldalak (lásd Profilból címû cikkünket a 64. oldalon) sok mindent elárulnak egy emberről" - magyarázza Krasznay Csaba, a Kancellár.hu Kft. informatikai biztonsági tanácsadója.

A bizalmas üzleti adatokba sok vállalatnál az indokoltnál többen látnak bele. Ráadásul ma már nem kell terjedelmes dokumentumokat titokban fénymásolni és kicsempészni az épületből, elég egy zsebre dugott pendrive. Mégis - bár számítástechnikailag megoldható lenne - csupán néhány hazai cég tiltja, korlátozza vagy ellenőrzi az USB-dugaszok használatát. Pedig egyébként is a mobil eszközök jelentik manapság az egyik legnagyobb támadási felületet.

A laptopok, mobiltelefonok, PDA-k, okostelefonok, a hozzájuk tartozó memóriakártyák és hasonló eszközök számtalan vállalati adatot tartalmaznak, mégis ritkán gondolnak arra a cégek, hogy azokra is biztonsági szabályokat dolgozzanak ki - mondja Krasznay Csaba. A hordozható gépeket a dolgozók egyre inkább a sajátjukként kezelik. Bár a bennük tárolt információk a cég tulajdonát képezik, a vállalati számítástechnikai felelősökben a legtöbbször nem is tudatosul, hogy ezek az információk kikerültek a látókörükből.

Márpedig így nem tudják megóvni a céget attól, hogy egy elégedetlen vagy akár csak figyelmetlen dolgozó értékes adatokkal távozzon észrevétlenül. Ráadásul a hordozható gépeket könnyû elveszíteni vagy ellopni. Igaz, a tolvajok többnyire azért hajtanak a laptopokra, mobiltelefonokra, hogy pénzzé tegyék őket - a használt telefonokkal foglalkozó kereskedők kincseket találnak a hozzájuk kerülő darabok memóriájában -, de elképzelhető célzott lopás is. Üzleti út közben a szállodai szobában hagyott számítógép adattára akkor is szabad préda, ha magát a gépet nem lopják el, sőt - az Egyesült Államokból érkező hírek szerint - az is megeshet, hogy repülőtéri biztonsági ellenőrzés közben néznek bele a laptopon lévő adatokba.

Vannak amerikai cégek, amelyek már csak "üres" számítógéppel engedik utazni munkatársaikat; az üzleti adatokat a központban tárolják, és interneten lehet elérni őket. De arra is vigyázni kell, milyen úton: a mobil eszközök másik gyenge pontja a vezeték nélküli csatlakozás, ráadásul nem pusztán az internetkávézókban. "Elég egy laptoppal végigautózni az Andrássy úton, nyomban kiderül, milyen sok cég hálózatához lehet hozzáférni" - mondja Hirsch Gábor, a Cisco Magyarország üzletfejlesztési igazgatója. A drót nélküli kommunikáció titkosítása ma már standard, kiforrott technológiákon alapszik, a cégek gyakran mégsem nyúlnak hozzá a hálózati eszközök nem túl biztonságos alapbeállításaihoz.

A veszélyek ellenére sok cégvezető illúziókba ringatja magát. Amíg valaki el nem szólja magát - mutat rá a rövidlátásra Szigeti Szabolcs -, nem tulajdonítanak jelentőséget a megmagyarázhatatlanul szaporodó gyanús jeleknek: csökken a bevétel, vevők pártolnak el, egy versenytárs előbb rukkol elő nagyon hasonló termékkel, szolgáltatással, marketingkampánnyal.  


Bitbetyárkodás

"Nem eshetünk neki a rendszernek, mint egy valódi hacker. Mi csak az ügyféllel kötött szigorú és aprólékos szerződés alapján tesztelhetjük a hálózatokat, előre egyeztetve például azt is, mikor melyik szervert milyen hosszan támadjuk" - kezd az etikus betörés néven egyre több információtechnológiai cég által nyújtott szolgáltatás lényegének ismertetésébe Dolánszky György, a Kürt Zrt. információbiztonsági szakértője.

A nemzetközi piacon bravúros adatmentései révén ismert magyar cég "fehér hackerei" legutóbb a Zain telekommunikációs csoport kuvaiti leányvállalatánál folytattak behatolási tesztként is emlegetett biztonsági átvilágítást. A titoktartási megállapodás miatt a feltárt biztonsági rések közül legfeljebb az olyan - a kürtös hackerbrigád vezetője szerint világszerte általános - bakik publikusak, mint az, hogy az ügyfélszolgálati iroda belső wifi-hálózatához egy szimpla "guest" (vendég) jelszóval bárki hozzáférhetett. 

A magát a "Jobb, ha mi törjük fel!" szlogennel reklámozó, a budapesti Mûegyetem Információtechnológiai Innovációs és Tudásközpontjának égisze alatt mûködő etikushacker-csoport munkatársa, Pánczél Zoltán szerint az informatikai hálózatok vajmi kevéssé biztonságosak. Mint mondja, "még az informatikusok is szinte csak a mûködésre, a gördülékeny üzletmenetre ügyelnek". Nem elég megvenni a tûzfalakat, a víruselhárító és behatolásdetektáló szoftvereket. "Az illegális akciókat az automatizmusokon alapuló eszközökkel aligha lehet megakadályozni, szükség van az adatokat elemző emberekre is, de külön biztonsági brigádra csak a legritkább esetben van keret" - így Dolánszky. 

Pedig a konkurencia számítógépes rendszereinek meglékelése napjainkra az ipari kémkedés egyik csodafegyverévé nőtte ki magát. "Egyik ügyfelünk mindaddig biztonságban érezte magát, amíg mi nem prezentáltuk számára a személyes levelezését és a felső vezetők bizalmasan kezelt bérlistáját" - említi Kmetty József, a Kürt Zrt. vezérigazgatója.  A tesztelés csínját-bínját azonban bajos az iskolapadban elsajátítani. A legjobbak tényleg azok, akik sportból, saját képességeik bizonyítására már próbálkoztak besurranással, és állítottak már át nyitóoldalt, vették át az irányítást idegen gépeken - mondja Pánczél. Szerinte azonban az IT-biztonsággal foglalkozó cégek java még ódzkodik a bitbetyárból lett pandúrok alkalmazásától.  

Virágzó adatkereskedelem  Nagyjából 300 forintba kerülnek a feketepiacon az átlagpolgár személyes adatai (neve, címe, telefonszáma) Magyarországon, egy kicsit kevesebbe, mint a világpiacon, ahol szintén virágzik a bizalmas ügyféladatok kereskedelme. A cégeknél biztonságban hitt személyes adatai kiszivárgását bárki a bőrén érezheti, aki direktmarketing-telefonokat kap olyan helyekről, amelyekkel nem is vette fel a kapcsolatot. Tavaly egy spamként körbejáró elektronikus levélben mintegy 70 ezer magyar e-mail címet hirdettek eladásra.

Az amerikai Symantec internetbiztonsági cég tavalyi kutatása szerint egy banki hozzáférés 400 dollárba kerül, egy e-mail-jelszó 350, egy társadalombiztosítási szám 7, egy bankkártyaszám pedig 5 dollárba. Név, cím és telefonszám másfél dollárt kóstál.  A hálózati eszközöket gyártó amerikai Cisco cég februári biztonsági jelentése szerint világszerte mintegy 60 millió ember személyes adatait hozták nyilvánosságra a megelőző 13 hónapban. Azóta a legfrissebb, hogy április elején Nagy-Britanniában a HSBC bankcsoport futára nyomtalanul elveszített egy lemezt, amely 370 ezer ügyfél nevét, születési idejét és életbiztosítási adatait tartalmazta.

Az eset a londoni BBC szerint csak a legutóbbi példája a nagy szervezetek hanyagságának, hiszen havonta történnek hasonlók. A brit adó- és vámhivatal (HMRC) tavaly novemberben 25 millió állampolgár adóhatósági adatait tartalmazó lemezeket veszített el. A Cisco szerint az adatvesztésekkel kapcsolatos kármentés, valamint a kiesett munkaórák összértéke tavaly világszerte körülbelül 20 milliárd dollárra rúgott. 

(Forrás: www.hvg.hu)