Ma a zsarolóvírusos és a DDoS támadások jelentik a vállalatok számára a legnagyobb kiberbiztonsági fenyegetettséget. Ezek a támadások sajnos örökzöld slágerként az előttünk álló időszakot is meghatározzák majd. A vállalatok felismerték, hogy az IT infrastruktúra és a vállalati adatvagyon érték, amit védeni kell, azonban sok esetben az IT biztonsági szakemberhiány mindezt megnehezíti. Csinos Tamás, a Clico Magyarország ügyvezető igazgatója szerint az informatikai vezetőnek( CIO) és az információbiztonsági vezetőnek (CISO) vállvetve, egyforma erőfeszítéssel kell figyelnie a szervezet IT biztonságára. A kiberbiztonsággal foglalkozó vállalatok felelőssége megmutatni a cégeknek, hogyan tudják bölcsen elkölteni a védekezésre szánt összegeket.
Milyen trendek határozzák meg kiberbiztonság területén az előttünk álló évet?
A két “örökzöld” trend, a zsarolóvírusos támadások és a DDoS támadások idén is meghatározzák a kiberbiztonság területét. Ezek a fenyegetettségek mostanra eléggé összetett támadási formává értek. A hagyományos támadási módszerekről elég rég óta beszél a szakma, szerencsére a vállalatokhoz is eljutott az üzenet, így már ismertek a védekezési technikák is. A szervezetek azt is tudják, hogy a vírusvédelem és a tűzfal önmagában nem elég a hatékony védelemhez, hajlandóak más technológiákba is invesztálni.
A másik elterjedt támadási forma, a szolgáltatásmegtagadás, vagyis a DDoS, gyakran a ransomware támadásokat felerősítve jelentkezik. A bűnözők egy alacsonyabb intenzitású DDoS támadással sebezik meg a vállalatot, majd jelzik, hogy a váltságdíj elmaradása esetén egy nagyobb lökéshullámmal teljesen ellehetetlenítik a szervezetet. Egyre több potenciális célpont – főleg az üzleti szereplő – ismeri fel, hogy az ilyen támadásokra is fel kell készülni. Szerencsére a magyar piacon is megjelentek az előremutató védekezési törekvések. A vállalatok egyre gyakrabban nem attól az infrastruktúra-szolgáltatótól vásárolnak védelmet, akinek az infrastruktúráján keresztül egyébként is érkezne a támadás, hanem egy független,felhő alapú biztonsági szolgáltatást vesznek igénybe.
Ezeket a trendeket a több, mint egy éve tartó orosz-ukrán konfliktus hogyan befolyásolja?
Sajnos azt kell mondani, hogy mindkét fél önkéntesek ezreit mozgósította sikeresen, akik egymás IT infrastruktúráját kóstolgatják és támadják. Nemcsak Oroszország vagy Ukrajna területéről érkeznek ezek az önkéntesek, hanem szinte a világ minden pontjáról “harcolnak”, egyik vagy másik oldalon. A háborúnak egyszer vége lesz. Nem tudjuk, hogy ebben a virtuális harcban megedzett és leszerelt katonák a harc végén mire és hogyan fogják képességeiket felhasználni? A fehér vagy a fekete oldalra állnak át? Ez plusz kockázatot jelent a vállalatok biztonsága szempontjából.
Az említett “sláger” támadások egyben a leggyakrabban előforduló fenyegetettségek is?
Minden más támadási technika és eszköz gyakorlatilag a zsarolóvírusos és a DDoS támadásokat készítik elő. Az általános hadászatból is ismert Cybersecurity Kill Chain szerint egy kibertámadásnak több fázisa van: első a felderítő üzemmód, ahol körbetapogatják a célpontot, majd bejutnak a rendszerekbe, kiépítik az oda-vissza menő kommunikációs kapcsolatokat, megtalálják az aranytelért, vagyis a védett vállalati adatokat, majd a command és controll központ felé kiadják ezeket adatokat. A különböző fázisokban különböző támadási technikákat használnak a kiberbűnözők, de minden incidens végső soron zsarolóvírusos támadásban vagy DDoS támadásban ér véget.
Például ahhoz, hogy bejussanak a rendszereinkbe sok esetben adathalász támadást indítanak a bűnözők. Zárójelben jegyzem meg, hogy a phising támadások ellen a magyar felhasználók a támadók nyelvi nehézségei miatt korábban védettek voltak, a rossz magyarsággal megírt levélnek kevesen dőltek be. Azonban ennek a kornak is vége van, a mostani adathalász támadásokban magyar szakemberek segítségével tökéletesen megfogalmazott adathalász levelek születnek.
Kevés Magyarországon a kibertámadás vagy csak nem hallunk róluk?
Sajnos a hazai vállalatokat is egyforma intenzitással érik a kibertámadások, mint a külföldi cégeket. Azonban itthon nincs olyan jellegű szabályozás, amely egyértelműen kötelezővé tenné a vállalatoknak, hogy a támadásokat nyilvánosságra hozzák. Sok szabályozóhoz, még több hivatalhoz kell bejelenteniük a támadás, adatszivárgás tényét a szervezeteknek, de a fogyasztókkal, ügyfelekkel vagy partnerekkel mindezeket nem közlik. Senki sem éli meg vállalata büszke pillanataként azt a percet, mikor sikeres zsarolóvírusos támadások áldozataivá váltak.
Hogyan változna meg az IT biztonság, ha amerikai példára itthon is nyilvánosságra kellene hozni a kiberincidenseket?
Az biztos, hogy a kibervédelemmel foglalkozók munkáját nagyban segítené, ha a kiberincidenseket elszenvedett vállalatoknak kötelező lenne mindezt a nyilvánosságra hozni. Nagyon sok esetben küzdünk azzal, hogy a vállalatok nem ismerik fel, vagy csak későn, hogy szükségük van IT biztonságra, IT védelemre. A nyilvánosság abban is segítene, hogy több fiatal fordulna az IT biztonság területe felé és választaná ezt szakmájává. Szerintem az IT-nak globálisan az egyik legnagyobb kihívása az elkövetkező tíz évben, hogy nincs és nem is lesz megfelelő mennyiségű IT biztonsági szakember.
Van elegendő pénzük a vállalatoknak védekezni a kibertámadások ellen? A vállalatok azzal már tisztában vannak, milyen értéket jelent az IT és az adatok. Nincs olyan hazai vállalat itthon – vagy nagyon kevés – akinek ne lenne valamilyen szintű IT infrastruktúrája, az ácsnak vagy a burkolónak is van legalább egy weboldala vagy e-mail címe. A digitális eszközök olcsó és hatékony munkavégzést, kommunikációt tesznek lehetővé. A digitalizáció az üzletmenet része. A cégvezetők elgondolkodtak, milyen értéket teremtenek az IT eszközök és hogy ezek kiesése milyen mértékű kockázatot jelentenek a szervezetnek. Mérettől függetlenül, mindenhol foglalkoznak a témával, egy mikrovállalatot sem lepi meg, ha tűzfalra van szüksége.
Mindenképp üdvözlendő, hogy kezd valamilyen szintű tudatosság kialakulni IT biztonság kapcsán. Hogy ez milyen minőségű védelmi intézkedéseket hoz magával, mennyire mélyrehatóan, az cégméret meg vertikumfüggő. Más a kockázati szintje a burkolással foglalkozó cégnek és annak a pénzügyi szervezetnek, amelyik most jelentette be, hogy netbankot indít. Minden vállalatnak kockázatarányosan érdemes a kiberbiztonsággal foglalkoznia, a kockázatok mértékében kell erre a területre pénzt költenie.
Bölcsen költik el ezeket a rendelkezésre álló összegeket a cégek?
A Clico-hoz hasonló, kiberbiztonsági termékekkel foglalkozó cégek felelőssége is egyben, hogy bölcsen tudják ezeket a pénzeket elkölteni a szervezetek. Nemcsak termékekkel, hanem tapasztalattal is kereskedünk, ez nem titok. Noha disztribútorként nem állunk közvetlen kapcsolatban a végfelhasználókkal, nagyon sokszor beszélünk partnereink ügyfeleivel. Mint tanácsadó, fölmérjük az igényeket, beszélgetünk a fájdalmaikról, a problémáikról, a kockázataikról. Nagyon sok esetben – talán az esetek felében – azonban a kiválasztott megoldásról le kell beszéljük az ügyfelet. Megértjük, hogy erre a védelemre ténylegesen szükség van és ez egy rendkívül jó termék. Viszont azt is látjuk, hogy az ügyfél szervezete egyszerűen nem elég érett a kiválasztott technológiára és megoldásra, nincsenek meg azok a folyamatok és az az emberállomány, minőségben és mennyiségben egyaránt, ami ennek az eszközrendszernek az üzemeltetésére kellene. A bölcsességbe az is beletartozik, hogy a saját kapacitásait is fel tudja mérni az ügyfél. A mi feladatunk, kiberbiztonsággal foglalkozó cégként, minderre rávezetni őket.
Ezt korábban említettem, de hangsúlyoznom kell: a kiberbiztonsági beruházások fogaskerekei között a szakemberhiány az egyik ék. Imádunk új védelmi eszközöket eladni, hiszen ebből élünk. Azonban, ha azt látjuk, az ügyfél HR oldalon nincs a beruházás üzemeltetésére felkészülve, akkor inkább nemet mondunk. Megfelelő szakértelem hiányában sikertelenségre ítélt a projekt. Nem szeretnénk az a szállító lenni a piacon, aki ehhez nevét adja. Vannak, akik emiatt megsértődnek, de előbb-utóbb beismerik és elfogadják az általunk kínált megoldást. A kiberbiztonság területén fellépő szakemberhiány sok területet érint. Például itthon talán a pénzügyi szektor a legszabályozottabb IT biztonság szempontjából, eszközök tekintetében ők vannak a legjobban ellátva. De őket is ugyanúgy sújtja a szakemberhiány, ami a biztonságtudatosságot is komolyan befolyásolja.
A biztonságtudatosság kiépítése is HR kérdés, ezen a területen, hogy állnak a vállalatok és a cégvezetők?
Azt tapasztaljuk, iparágfüggő, hogy a vállalatok hogyan is viszonyulnak a biztonságtudatossághoz. Vannak olyan iparágak, ahol a vállalatvezetők szerintem elég biztonságtudatosak, pontosan és jól becsülik, vagy becsültetik fel saját kockázataikat. Hogy utána mennyire tudnak védelmi intézkedéseket költeni, vagy hogy ezeknek a kockázatbecsléseknek milyen védelmi megoldás szintű megvalósulásai van, ez megint egy másik történet. Mindezt a technológia szállítója tudja pozitív irányba befolyásolni.
A vezetők szintjén a biztonságtudatosság már megvan. Azt látjuk, sok helyen a CISO-t kiveszik a CIO alól és az informatikai vezetővel egyenrangú félként a legfelsőbb vezetőnek közvetlenül jelent. Az IT biztonság kérdésköre van annyira fontos, hogy valamilyen szinten az informatikát is felügyelje. Nem tartom jónak, ha a CIO és CISO között alá- és fölérendeltségi viszony van. Ideális esetben ez a két vezető egyenrangú fél, hiszen a két területnek vállvetve, egyforma erőfeszítéssel kell dolgoznia a vállalat IT biztonságán.
Miután a vezetők szintjén már létezik biztonságtudatosság, az alkalmazottak szintjét kell erősíteni. Ezzel ugyancsak kockázatarányosan kell foglalkozniuk a vállalatoknak. Ennek egyik összetevője a vezetők példamutatása, de rengeteg új megoldás és technológia létezik, melyek teszteléssel, oktatással vagy játékosan növelik a kollégák biztonságtudatosságát. A HR-nek a CISO-nak együtt kell kidolgoznia az alkalmazottak számára leghatékonyabb programokat.
Aranyszabály nem létezik, de hogyan védekezzenek a vállalatok a kibertérben?
– Erős rezilienciát kell kiépíteni kiberbiztonság területén, amit a kockázatarányos védelmi technológia és biztonságtudatosság szinten tartásával érhetünk el. Elképzelhető, hogy letapogatják a támadók rendszerünket, megnézik, hogy milyen megoldásaink vannak. Azonban amikor látják, hogy milyen kiberbiztonsági rezilienciát építettünk ki, akkor könnyen elképzelhető, hogy a kisebb erőfeszítéssel bevehető célpontok felé fordulnak.
IT rendszereink legyenek naprakészek, a folyamatokat az IT biztonságot szem előtt tartva építsük ki, legyen tisztában a szervezet azzal, hogy pontosan hogyan is kell a támadások ellen védekezni. Lehetőség szerint használjon a vállalat olyan új technológiájú védelmi rendszereket, melyek a modern támadási formákra föl vannak készülve. A 15 évvel ezelőtt kitalált védekező eszközöket érdemes lecserélni az azóta többszörösen átalakult és megújult rendszerekkel, melyek sokkal hatékonyabban veszik fel a harcot az ismeretlen fenyegetettségekkel szemben is. A már említett biztonságtudatosságra is érdemes időt és pénz szánni, hiszen, ha csak egy adathalász levélre nem kattint az alkalmazott, máris megtérül a befektetés.
A blogbejegyzés az IT Business cikkének átdolgozott változata.