Már évek óta a zsarolóvírusos és a DDoS-támadások jelentik a vállalatok számára a legnagyobb kiberbiztonsági fenyegetést: Ezek a fajta támadások örökzöld slágerként az előttünk álló időszakot is meghatározzák majd.
A vállalatok felismerték, hogy az IT infrastruktúra és a vállalati adatvagyon fontos, védendő érték, azonban az IT biztonsági szakemberhiány mindezt gyakran megnehezíti. Csinos Tamás, a CLICO Magyarország country managere szerint a CIO-nak és a CISO-nak vállvetve, egyforma erőfeszítéssel kell figyelnie a szervezet IT biztonságára. A kiberbiztonsággal foglalkozó vállalatok felelőssége megmutatni a cégeknek, hogyan tudják bölcsen elkölteni a védekezésre szánt összegeket.
– Milyen trendek határozzák meg kiberbiztonság területén az előttünk álló évet?
– A két örökzöld trend, a zsarolóvírusos támadások és a DDoS-támadások idén is meghatározzák a kiberbiztonság területét. Ezek a fenyegetések mostanra eléggé összetett támadási formává értek. A hagyományos támadási módszerekről elég régóta beszél a szakma. Szerencsére a vállalatokhoz is eljutott az üzenet, így már ismertek a védekezési technikák is. A szervezetek azt is tudják, hogy a vírusvédelem és a tűzfal önmagában nem elég a hatékony védelemhez, hajlandóak más technológiákba is invesztálni.
A másik örökzöld támadási forma, a szolgáltatások ellehetetlenítése, megtagadása, vagyis a DDoS, gyakran a ransomware-támadásokat felerősítve jelentkezik. A bűnözők egy alacsonyabb intenzitású DDoS-támadással sebzik meg a vállalatot, majd jelzik, hogy a váltságdíj elmaradása esetén egy nagyobb lökéshullámmal teljesen ellehetetlenítik a szervezetet. Egyre több potenciális célpont, főleg az üzleti szférából, ismeri fel, hogy az ilyen támadásokra is fel kell készülni. Szerencsére a magyar piacon is megjelentek az előremutató védekezési törekvések. A vállalatok egyre gyakrabban nem attól az infrastruktúra-szolgáltatótól vásárolnak védelmet, amelynek az infrastruktúráján keresztül egyébként is érkezne a támadás, hanem egy független, felhő alapú biztonsági szolgáltatást vesznek igénybe.
– Hogyan befolyásolja ezeket a trendeket az orosz-ukrán konfliktus?
– Sajnos, azt kell mondani, hogy mindkét fél önkéntesek ezreit mozgósította sikeresen, akik egymás IT infrastruktúráját kóstolgatják és támadják. Nemcsak Oroszország vagy Ukrajna területéről érkeznek ezek az önkéntesek, hanem szinte a világ minden pontjáról harcolnak egyik, vagy másik oldalon. A háborúnak egyszer vége lesz. Nem tudjuk, hogy ebben a virtuális harcban megedzett és leszerelt „katonák” a harc végén mire és hogyan fogják képességeiket felhasználni. A fehér vagy a fekete oldalra állnak át? Egy ilyen tömeg megjelenése a kiberbűnözői oldalon plusz kockázatot jelenthet a vállalatok biztonsága szempontjából is.
– Az említett slágertámadások egyben a leggyakrabban előforduló fenyegetettségek is?
– Majdnem minden más támadási technika és eszköz gyakorlatilag a zsarolóvírusos és a DDoS-támadásokat készíti elő. Az általános hadászatból is ismert Kill Chain szerint egy kibertámadásnak is több fázisa van: az első a felderítő üzemmód, ahol körbetapogatják a célpontot, majd bejutnak a rendszerekbe, kiépítik az oda-vissza menő kommunikációs kapcsolatokat, megtalálják az aranytelért, vagyis a védett vállalati adatokat, majd a command és control központ felé kilopják ezeket adatokat. A különböző fázisokban különböző támadási technikákat használnak a kiberbűnözők. Majdnem minden incidens végső soron zsarolóvírusos támadásban vagy DDoS támadásban ér véget, hiszen a bűnözők ezekkel tudnak pénzt keresni.
Például ahhoz, hogy bejussanak a rendszereinkbe, sok esetben adathalász támadást indítanak a támadók. Zárójelben jegyzem meg, hogy a adathalász-támadások ellen a magyar felhasználók a támadók nyelvi nehézségei miatt korábban védettek voltak, a rossz magyarsággal megírt levélnek kevesen dőltek be. Azonban ennek a kornak is vége, a mostani adathalász-támadásokban magyar anyanyelvűek segítségével tökéletesen megfogalmazott csalilevelek születnek.
– Kevés Magyarországon a kibertámadás vagy csak nem hallunk róluk?
– Sajnos, a hazai vállalatokat is ugyanolyan intenzitással érik a kibertámadások, mint a külföldi cégeket. Azonban itthon nincs olyan jellegű szabályozás, ami egyértelműen kötelezővé tenné a vállalatoknak, hogy a támadásokat nyilvánosságra hozzák. Sok szabályozó testülethez, még több hivatalhoz kell bejelenteniük a támadás, adatszivárgás tényét a szervezeteknek, de a fogyasztókkal, ügyfelekkel vagy partnerekkel mindezeket nem közlik. Senki sem éli meg vállalata büszke pillanataként azt a percet, mikor sikeres zsarolóvírusos támadások áldozataivá váltak.
– Hogyan változna meg az IT biztonság, ha amerikai példára itthon is nyilvánosságra kellene hozni a támadások tényét?
– Az biztos, hogy ez a kibervédelemmel foglalkozók munkáját nagyban segítené.Gyakran küzdünk azzal, hogy a vállalatok nem, vagy csak későn ismerik fel, hogy szükségük van IT biztonságra, IT védelemre. A nyilvánosság abban is segítene, hogy több fiatal fordulna az IT biztonság területe felé, és választaná ezt szakmájává. Szerintem az IT-nek globálisan is az egyik legnagyobb kihívása az elkövetkező tíz évben, hogy nincs és nem is lesz megfelelő mennyiségű IT biztonsági szakember.
– Van elegendő pénzük a vállalatoknak a kibertámadások elleni védekezésre?
– Azzal már tisztában vannak a vállalatok, milyen értéket jelent az IT és az adatok. Nincs, vagy nagyon kevés az olyan hazai vállalat, amelynek ne lenne valamilyen szintű IT infrastruktúrája; az ácsnak vagy a burkolónak is van legalább egy weboldala vagy email-címe. A digitális eszközök olcsó és hatékony munkavégzést, kommunikációt tesznek lehetővé. A digitalizáció az üzletmenet része. A cégvezetők elgondolkodtak, milyen értéket teremtenek az IT-eszközök és hogy ezek kiesése milyen mértékű kockázatot jelent a szervezetnek. Mérettől függetlenül, mindenhol foglalkoznak a témával; már egy mikrovállalatnál sem meglepő, ha tűzfalra van szüksége.
Mindenképp üdvözlendő, hogy kezd valamilyen szintű tudatosság kialakulni az IT-biztonság kapcsán. Hogy ez milyen minőségű védelmi intézkedéseket hoz magával, mennyire mélyrehatóan, az cégméret- meg vertikumfüggő. Más a kockázati szintje a burkolással foglalkozó cégnek és annak a pénzügyi szervezetnek, amely most jelentette be, hogy neobankot indít. Minden vállalatnak kockázatarányosan érdemes a kiberbiztonsággal foglalkoznia, a kockázatok mértékének megfelelően kell erre a területre pénzt költenie.
– Bölcsen költik el ezeket az összegeket a cégek?
– A hozzánk hasonló, kiberbiztonsági termékekkel foglalkozó vállalatok felelőssége is egyben, hogy bölcsen tudják ezeket a pénzeket elkölteni a szervezetek. Nemcsak termékekkel, hanem tapasztalattal is kereskedünk, ez nem titok. Noha disztribútorként nem állunk közvetlen kereskedelmi kapcsolatban a végfelhasználókkal, nagyon sokszor beszélünk viszonteladó partnereink ügyfeleivel. Tanácsadóként fölmérjük az igényeket, beszélgetünk a fájdalmaikról, a problémáikról, a kockázataikról. Sok esetben azonban a kiválasztott megoldásról le kell beszélnünk az ügyfelet. Megértjük, hogy a kiválasztott védelemre ténylegesen szükség lenne, és rendkívül jó megoldást adna az adott problémára. Viszont azt is látjuk, hogy az ügyfél szervezete egyszerűen nem elég érett a kiválasztott technológiára és megoldásra, nincsenek meg azok a folyamatok és az az emberállomány, minőségben és mennyiségben egyaránt, amelyek ezeknek az eszközrendszereknek az üzemeltetésére kellenének. A bölcsességbe az is beletartozik, hogy a saját kapacitásait is fel tudja mérni az ügyfél. Kiberbiztonsággal foglalkozó cégként a mi feladatunk minderre rávezetni őket.
Korábban már említettem, de hangsúlyoznom kell: a kiberbiztonsági beruházások fogaskerekei között a szakemberhiány az egyik ék. Imádunk új védelmi eszközöket eladni, hiszen ebből élünk. Azonban ha azt látjuk, az ügyfél HR-oldalon nincs a beruházás üzemeltetésére felkészülve, akkor inkább nemet mondunk. Megfelelő szakértelem hiányában sikertelenségre van ítélve a projekt. Nem szeretnénk az a szállító lenni a piacon, amely ehhez a nevét adja. Vannak, akik emiatt megsértődnek, de előbb-utóbb beismerik és elfogadják az általunk kínált megoldást. A kiberbiztonság területén fellépő szakemberhiány sok területet érint. Például itthon talán a pénzügyi szektor a legszabályozottabb IT biztonság szempontjából, eszközök tekintetében ők vannak a legjobban ellátva. De őket is ugyanúgy sújtja a szakemberhiány, ami a biztonságtudatosságot is komolyan befolyásolja.
– A biztonságtudatosság kiépítése is HR-kérdés, ezen a területen hogy állnak a vállalatok és a cégvezetők?
– Azt tapasztaljuk, iparágfüggő, hogy a vállalatok hogyan is viszonyulnak a biztonságtudatossághoz. Vannak olyan iparágak, ahol a vállalatvezetők szerintem elég biztonságtudatosak, pontosan és jól becsülik vagy becsültetik fel saját kockázataikat. Hogy utána mennyire tudnak védelmi intézkedésekre költeni, vagy hogy ezeknek a kockázatbecsléseknek milyen védelmi megoldás szintű megvalósulásai vannak, az megint egy másik történet. Mindezt a technológia szállítója tudja pozitív irányba befolyásolni.
A vezetők szintjén a biztonságtudatosság már megvan. Azt látjuk, sok helyen a CISO-t kiveszik a CIO alól, és az informatikai vezetővel egyenrangú félként a legfelsőbb vezetőnek közvetlenül jelent. Az IT-biztonság kérdésköre van annyira fontos, hogy valamilyen szinten az informatikát is felügyelje. Nem tartom jónak, ha a CIO és CISO között alá-, fölérendeltségi viszony van. Ideális esetben ez a két vezető egyenrangú fél, hiszen a két területnek vállvetve, egyforma erőfeszítéssel kell dolgoznia a vállalat IT-biztonságán.
Miután a vezetők szintjén már létezik biztonságtudatosság, az alkalmazottak szintjét kell erősíteni. Ezzel ugyancsak kockázatarányosan kell foglalkozniuk a vállalatoknak. Ennek egyik összetevője a vezetők példamutatása, de rengeteg új megoldás és technológia létezik, amelyek teszteléssel, oktatással vagy játékosan növelik a kollégák biztonságtudatosságát. A HR-nek a CISO-nak együtt kell kidolgoznia az alkalmazottak számára leghatékonyabb programokat.
– Aranyszabály nem létezik, de hogyan védekezzenek a vállalatok a kibertérben?
– Erős rezilienciát kell kiépíteni kiberbiztonság területén, amit a kockázatarányos védelmi technológia és biztonságtudatosság szinten tartásával érhetünk el. Elképzelhető, hogy letapogatják a támadók a rendszerünket, megnézik, hogy milyen megoldásaink vannak. Amikor azonban látják, hogy milyen kiberbiztonsági rezilienciát építettünk ki, akkor könnyen elképzelhető, hogy a kisebb erőfeszítéssel bevehető célpontok felé fordulnak.
IT-rendszereink legyenek naprakészek, a folyamatokat az IT-biztonságot szem előtt tartva építsük ki. Legyen tisztában a szervezet azzal, hogy pontosan hogyan is kell a támadások ellen védekezni. Lehetőség szerint használjon a vállalat olyan új technológiájú védelmi rendszereket, amelyek fel vannak készülve a modern támadási formákra. A 15 évvel ezelőtt kitalált védekező eszközöket érdemes lecserélni az azóta többszörösen átalakult és megújult rendszerekkel, amelyek sokkal hatékonyabban veszik fel a harcot az ismeretlen fenyegetettségekkel szemben is. A már említett biztonságtudatosságra is érdemes időt és pénz szánni, hiszen ha csak egy adathalász levélre nem kattint az alkalmazott, máris megtérült a befektetés
Vass Enikő
A blogbejegyzés az IT Business 2022. május 2-i cikkének átdolgozott változata.