Halász Viktor Készenléti Rendőrség Nemzeti Nyomozó Iroda Kiberbűnözés Elleni Főosztály Felderítő Osztályának vezetője a legaktuálisabb kiberbűnözési trendeket ismertette a nagyközönséggel a Computerworld által szervezett Secworld 2022 konferencián.
A rendőrszázados előadása a cikk végén visszanézhető.
CW: Hazánkban milyen típusú támadással találkoznak leggyakrabban a cégek?
Halász Viktor: A tapasztalataink alapján a vállalatokat leginkább fenyegető veszélyek manapság még mindig a ransomware és a business email compromise jellegű támadások képében jelentkeznek. Időről időre találkozunk más elkövetési módokkal is, melyeknek cégek a célpontjai (különböző adatlopások, túlterheléses támadások vagy egyéb célú hackelések), azonban a hozzánk érkező feljelentések túlnyomó többségében továbbra is ez a két elkövetési mód szerepel. Ugyanez a trend egyébként nem csak hazánkban, hanem nemzetközi szinten is jellemző. A bűnözőknek a vállalatok támadásával legtöbbször a kockázatmentes, gyors anyagi haszonszerzés a célja, aminek az elérésére még mindig ez a két módszer a legalkalmasabb.
CW: Előadásában utalt arra, hogy a kiberbűnözők által elkövetett bűncselekményeknek nem csak a száma növekszik, hanem újabb és újabb formákban keresik meg a bűnözők a cégeket. Van-e olyan bűncselekmény típus, ami viszonylag újnak számít és érdemes lehet a vállalatok figyelmét felhívni az újszerű bűncselekményre?
Halász Viktor: Valóban, lassan már hónapról-hónapra találkozunk olyan új elkövetési formákkal, amelyekre korábban még csak gondolni sem mertünk. Ezekkel folyamatosan próbálunk lépést tartani, a napokban például éppen egy új nemzetközi munkacsoport hoztunk létre, melynek célja a mesterséges intelligencia bűnözők általi felhasználásának kutatása lesz.
A vállalatokat érintő módszerek kapcsán természetesen szintén tanúi vagyunk a fejlődésnek, azonban itt egyelőre a már meglévő módszerek folyamatos adaptálásáról beszélhetünk inkább. Visszautalva az előző válaszomra, a ransomware esetek kapcsán azt tapasztaltuk például, hogy miután létrehoztunk egy nyilvánosan elérhető, az ismertté vált feloldókulcsokat tartalmazó adatbázist, egyre több olyan víruscsalád jelent meg, amely már egyedi kulcsot generált minden célpont számára. Miután pedig a folyamatos tudatosítást követően a vállalatok egyre nagyobb arányban készítenek biztonsági másolatokat az adataikról, a bűnözők is taktikát váltottak, és ma már egyre többször nem a titkosítás képezi a zsarolás tárgyát, hanem a megszerzett adatoknak a nyilvánosságra hozatal. Ez utóbbi ellen ugyanis már nemigen lehet védekezni, ha a fertőzés sikeres volt.
CW: Hiába ismerik a vállalatok informatikai rendszerért felelős vezetői a zsarolóvírusok vagy egyéb támadások megelőzésének lehetőségeit, ha az alkalmazottak óvatlanok. Ön szerint hogyan tud egy cég megfelelő felkészültséget biztosítani a munkatársak számára a témában (pl.: milyen gyakran érdemes a kollégák figyelmét felhívni stb.)?
Halász Viktor: A sikeres támadások nagyobb részben vezethetők vissza valamilyen (sokszor banális) emberi hibára, semmint technikai hiányosságra. Természetesen egy felelős vállalat esetén nem kerülhető el a szokásos védelmi szoftverek beszerzése, a biztonságos hálózati infrastruktúra kiépítése vagy a megfelelő jogosultsági szintek beállítása, azonban talán még ennél is nagyobb hangsúlyt kell fektetni a dolgozók folyamatos tudatosítására. Ez utóbbival egyrészről sokkal több támadás előzhető meg, másrészről pedig sokkal kevesebb költséggel is jár (sok vállalat ennek ellenére azonban éppen erre fektet kisebb hangsúlyt).
Véleményem szerint a tudatosítás kapcsán mindenképpen lényeges, hogy az rendszeres és visszatérő legyen. Nem csak az új elkövetési módszerekre való felkészítés miatt, hanem (főleg a nagyobb vállalatok esetén) a folyamatos fluktuáció okán is. Ennél is fontosabb azonban, hogy ezt sem a vállalat vezetése, sem pedig a dolgozók ne egyfajta kötelező körként fogják fel, hanem valóban érezzék át annak a jelentőségét, hogy egy-egy meggondolatlan kattintás nagyon könnyen akár több tízmillió forintos kárt is okozhat a cégnek (rosszabb esetben pedig akár a vállalat létét is fenyegetheti). Sokszor szoktam javasolni például, hogy teszteljük is akár a dolgozóinkat egy-egy "adathalász" emaillel, ami által hamar kiderülhetnek az esetleges hiányosságok, és szembesülhetünk vele, milyen könnyen áldozatává válhattunk volna egy tényleges támadásnak.
CW: Ha egy céget támadás ér és a leggyorsabban szeretné ezt jelezni a hatóságok felé, mivel tudja támogatni az eljárás gyorsabb menetét? Hová érdemes fordulni egy incidens után közvetlenül?
Halász Viktor: A nyomozások során az egyik legfontosabb tényező az idő, így mindenképpen ajánlott mielőbb értesíteni a rendőrséget arról, ha cégünk támadás sértettjévé vált, különösen pedig akkor, ha valós anyagi kár is keletkezett. A megtévesztés hatására a bűnözőknek utalt pénz visszaszerzésére vannak hatósági módszerek, azonban ezek hatékonysága természetesen nagyban függ az eltelt időtől is (különösen, ha külföldi bankszámlákon landoltak az összegek). Kevésbé fontos tehát ilyenkor az, hogy jogilag minden szempontból szabatos, ügyvéd segítségével megszerkesztett feljelentést készítsünk, és inkább arra kell helyezni a hangsúlyt, hogy mielőbb értesítsük az illetékes nyomozó hatóságot (mely legtöbbször a cég székhelye szerinti rendőrkapitányság), illetve átadjunk minden rendelkezésünkre álló adatot (az elkövetők által használt email címeket, telefonszámokat, a korábbi üzenetek tartalmait, a rendelkezésre álló naplóadatokat, az érintett bankszámlaszámokat, és így tovább). Az eljáró nyomozóknak ez már elég lesz ahhoz, hogy megkezdjék a munkát, és később úgyis jelezni fogják, hogy mire van még szükség.