Tíz évvel ezelőtt a mai állapotokhoz képest még meglehetősen nyugodt volt az IT-biztonsági piac. Igaz ugyan, hogy vírusok jöttek mentek, de azok általában igazán komoly károkat nem csináltak. Jobb esetben újraindították a gépet, elfordították 180 fokban a monitoron megjelenő képet, illetve gonosz felugró ablakokat jelenítettek meg. Napjainkban e támadások, illetve csintalankodások már nem jellemzőek, a hackerek ugyanis nem azt akarják megmutatni, hogy be tudnak törni egy rendszerbe, hanem céljuk immár a pénzszerzés, amely a hencegésnél sokkal ravaszabb és gátlástalanabb eszközöket kíván. „Felnőttek a srácok” – jellemezte a helyzetet Teasdale Harold, a Symantec magyarországi igazgatója, a CDSYS és az IT-biztonsági cég közös sajtóbeszélgetésén.
A CDSYS és a Symantec korábban kiadott infografikája
A hazai cégvezető elmondása alapján egyébként a Symantec naponta több ezer támadást analizál, és évről-évre szinte logarisztikusan növekszik a támadások száma. Habár készültek 10 éves prognózisok, az elmúlt 1-2 évben a tendencia jelentősen felgyorsult, köszönhetően részben az internet remek közvetítő közegének. „Irgalmatlan mennyiségű szignatúrát kellett elkészítenünk, tavaly annyit termeltünk, mint korábban összesen” – mondta Teasdale Harold. Emellett az összetett, célzott támadások is egyre inkább jellemzőek.
Fenyegetések árnyékában
Utóbbira remek példa a Stuxnet megjelenése, amelyről a szakértők szerint nem lehet nem szuperlatívuszokban beszélni. Az ipari rendszerekbe beférkőző féreg készítői ugyanis olyat próbáltak meg, amit addig senki sem mert: beférkőzni egy hermetikusan elzárt informatikai környezetbe. Ezen ok miatt valószínűsíthető, hogy a Stuxnet mögött legalább 8 szakember, minimum fél éves munkája áll.
Az Anonymous és a LulzSec zajos támadásai mögött emellett idén is akadtak komoly támadások. Elég csak a Sony szervereinek a feltörésére, vagy inkább az RSA biztonsági incidensére gondolni. Utóbbi estben Gombás László, a Symantec szakemberének elmondása alapján a célzott támadás során az RSA dolgozóinak sikerült egy végzetes hibát elkövetniük: megnyitottak egy spam levélként érkező trójait tartalmazó speciális Excel csatolmányt, kikotorva azt a karanténből. A baki eredményeként az RSA kénytelen kicserélni a SecureID tokeneket, amelynek csak a logisztikája komoly költségeket emészt majd fel a Gartner szerint. Sőt biztonsági szakértők szerint a Lockheed Martinnál bekövetkezett támadás is összefügg az RSA biztonsági incidensével, így az közvetlenül hozzájárulhatott féltett ipari titkok rossz kezekbe kerüléséhez is. Az eset kiváló példa arra, hogy nem csak a hackerektől és rosszindulatú belső munkatársaktól kell védeni a rendszereket, hanem a jóhiszemű, véletlenségből kárt okozó dolgozóktól is.
„A magyar sajtó egyre részletesebben számol be ezen incidensekről, ami sok esetben eredményezi azt, hogy a magyar vállalatvezetők is elgondolkoznak saját adatállományuk védelméről. Ez a legelső és legfontosabb lépés, hiszen tapasztalataink alapján a legtöbb hazai vállalatnál van hiányosság az adatkezelés témakörében. A DLP szoftver mellett, már a VeriSign megoldásait is tudjuk ügyfeleinknek kínálni, így a mindenkori legmodernebb biztonsági megoldásokat nyújtjuk nekik” – mondta Egerszegi Krisztián, a CDSYS ügyvezető igazgatója, aki szerint egy felelő cégnek muszáj foglalkoznia az adatvédelemmel, hiszen a megelőzés költségei eltörpülnek a lehetséges károk mellett. Ráadásul sokszor nem is azonosítható be könnyedén a kár, mivel például egy átkötött szerződésnél nehéz a relációt bizonyítani.
A védelem legfontosabb lépései
Az adatszivárgás elleni védelem alapvetően a kockázatfelméréssel kezdődik, amelynek segítségével megtervezzük, frissítjük vagy erősítjük információvédelmi stratégiánkat. A bizalmas adatok azonosítása és besorolása ugyancsak alapvető lépés, hiszen a megfelelő stratégiához meg kell határoznunk, hogy melyik információ milyen típusú védelmet kíván. Ezután jöhet a szabályok és a folyamatok megtervezése, amit egy konfigurálható, de az adott szoftverben előre beépített sablon alkalmazásával ma már automatikus szabályzattervező eszközök is képesek kialakítani.
Az olyan adatvédelmi szabályozás, amelynek ellenőrzése és betartatása nem biztosított, inkább veszélyt jelent, mintsem megoldást, ezért a következő lépésben hasznos lehet a szabályozás betartására szolgáló automatizált technológiák használata. A nemrégiben kifejlesztett és jelenleg terjedőben lévő monitorozó, megfigyelő (Data Loss Prevention - DLP) technológiák képesek arra, hogy a felhasználók viselkedését a megfelelő irányba tereljék, így biztosítva a következetes és hatékony védelmet.
Fontos lépés az adatszivárgás elleni védelemben az érintettek képzése és a megfelelőség kultúrájának kialakítása, ugyanis ezek a megoldások csak olyan vállalati kultúrában hatásosak, ahol a dolgozók személyes felelősséget vállalnak a cég értékes szellemi tulajdonáért. A képzés célja, hogy megtanítsa az érintetteknek, hogyan teljesítsék a kötelezettségeiket, a bizalmas adatok osztályozásától az ügyfelektől való adat átvételén keresztül a vállalati megbeszélések tartalmáig. A tréningeknek meg kell ismertetniük a felhasználókkal az információvédelmi eszközöket és technológiákat is.
A következő lépésben arra kell koncentrálnunk, hogy az eddig taglalt adatvédelmi eljárásokat és alkalmazásokat megfelelően integrálni tudjuk az üzleti folyamatokba. A menedzsmentnek olyan környezetet kell teremtenie, amelyben az adatvédelem a mindennapi rutin része, legyen szó termékfejlesztésről, marketingtervek kidolgozásáról, pénzügyi elemzésről, értékesítési telefonhívásokról, beszerzésről vagy toborzásról.
Az adatvédelmi stratégia alapinfrastruktúrájának elkészülte után az auditálás következik, amelynek célja, hogy megbizonyosodjunk a vállalat által elfogadott információvédelmi eljárások és gyakorlatok következetes és eredményes végrehajtásáról. Ennél a lépésnél egy másik vizsgálat is lehetővé válik, amelynek keretében egy specifikus felderítő és monitorozó szoftver segítségével a szervezet nyomon követheti, ki, milyen adatot, mikor, honnan és kinek küld elektronikusan, ezáltal megállapítható a szabályozás és a tréning hatékonysága is.
Az adatszivárgás elleni védelem utolsó pontjaként hosszú távú stratégiát kell kialakítanunk, amelyben meg kell fogalmaznunk jövőbeli adatvédelmi igényeinket, lépést kell tartanunk az egyre növekvő kihívásokkal és naprakészen kell tartanunk a felhasználói adatbázisokat. Érdemes megfontolni a speciálisan erre a területre összpontosító szakértők alkalmazását az adatok biztonságának felméréséhez.