MIRŐL LESZ SZÓ A BLOGBAN?
- HIBÁS KÉPZETEK A KIBERFENYEGETETTSÉGRŐL
- HIÁNYZÓ REAKCIÓ EGY KIBERINCIDENS UTÁN
- MIRE FUTOTTA VOLNA A PEPCO 6 MILLIÁRDOS VESZTESÉGÉBŐL
Adathalászati szimuláció, kibervédelem, IT tanácsadás
DÍJMENTES ADATHALÁSZATI TESZT?
Az ötlet onnan származik, hogy van egy biztonsági tudatosságot fejlesztő megoldásokat szolgáltató partnerünk, a KnowBe4, aki számos lehetőséget biztosít tesztelésre különböző szimulációkkal. Ezek szerepe óriási a kibervédelem szervezésében, mert nyilván fontos a hardverek, alkalmazások sebezhetőségeinek ismerete, de az emberi tényező, a dolgozók tudatossága sok esetben fontosabb lehet. Egy sikeres adathalászati támadásban a felhasználók gyakorlatilag tálcán kínálják fel a kulcsot a hekkereknek, akik ezután különösebb erőfeszítés nélkül hozzáférhetnek a céges adatokhoz. De a hekkerek akár számlát is állíthatnak ki nevünkben a saját bankszámlájukkal, sőt 15 millió eurót is utalhatnak nekik a kollégáink.
Ennek okán a díjmentes adathalászati szimulációt választottuk ki a kampány egyik motivációs elemének, ami teljes mértékben biztonságos, és transzparens képet ad a vállalati tudatosságról. A teszt önmagában ingyenes, több nap vagy hét alatt fut le – függően a vállalkozás méretétől. A teszt után senkit nem kötelezünk semmire, mindösszesen egy riportot adunk arról, hogy milyen az aktuális biztonsági helyzet a felhasználók körében és mit javasolunk annak tükrében. A teszthez semmi más nem kell, kizárólag a vállalti emailcímek, amit értelemszerűen egy titoktartási szerződés keretében kapunk meg, és maximálisan bizalmasan kezeljük. A vállalkozások részéről nincs több teendő.
A kampány kis százalékában tudtunk eljutni kibervédelemmel megbízott felelősig. Ez lehetne jó hír is, hiszen minek vagy miről akarna beszélni egy szakmai vezető egy kibervédelmi céggel? Egyébként pont ők a leginkább hajlandók, de a kampányban nem erről kaptunk további információkat. Az derült ki, hogy a legtöbb helyen nincs kibervédelmi felelős, vagy ha van, akkor az a legmeglepőbb pozíciókat tölti be a cégnél, mint pl. exportmenedzser, üzemmérnök, termelési vezető.
A másik lesújtó információ az volt a kutatásunkban, hogy ahol nincs belső kibervédelem, ott egy rejtélyes, külsős IT csapat „védi” az informatikát, illetve a digitális értékeket. Ezeknél a cégeknél kérdésünkre egyetlen egy esetben sem hangzott el az a válasz, hogy rendszeresen kapnak beszámolót a cégvezetők erről, de azt sem tudták megmondani, hogy milyen védekezést alkalmaznak. Vagyis, ha nincs semmi információ a védelemről, az incidensekről, akkor biztos minden rendben van.
A harmadik, és egyben a legmegdöbbentőbb válasz a következő volt. „Bennünket nem érint a kibervédelem.” A megkérdezettek egy ötöde mondta ezt, vagy adott hasonló választ. A válaszadók hazai székhelyű, milliárdos forgalommal rendelkező középvállalatok voltak. Olyanok is, ahol például előfordult már, vagy éppen folyamatban volt domain spoofing-gal kapcsolatos, pénzügyi kárt okozó incidens rendőrségi vizsgálata. És itt kénytelenek vagyunk elővenni a konkrét példát, és jöjjön a hihetetlen válaszok netovábbja! Amikor azt a kérdést tettük fel ennek a cégnek, hogy hogyan oldották meg ezt a kiberbiztonsági problémát, azt a választ kaptuk, hogy őket nem érinti a probléma. Visszaéltek a nevükkel, a DNS adataikkal, a levelezésükkel, a megrendelési adatbázisukkal, és a nevükben számlát állítottak ki, de őket nem érinti a károkozás, mert partnercégüket károsították meg. A hab a tortán, hogy megnyugtattak, hogy igenis védekeznek a kibertámadások és adathalászat ellen, mert van egy nyomtatott házirendjük a kollégáknak, amiben minden le van írva.
A STRUCCPOLITIKA NEM VÉD MEG SEMMITŐL!
Egy idevágó idézet a lassan 30 éves, Mathieu Kassovitz filmből, A gyűlöletből:
„Azt ismered, hogy egy pasi leesik az ötvenedikről?
Ahogy zuhan lefelé, azzal nyugtatja magát: Eddig minden rendben. Eddig minden rendben. Eddig minden rendben.
Tudod, nem a zuhanás számít, a leérkezés.”
És egy idevágó hazai eset. A Pepco Group hazai leányvállalatánál egy kifinomult csaláson alapúló adathalászati támadás 15 millió eurós (közel 6 milliárd forintos) kárt okozott. A hekkerek feltört, pl. domain-spoofinggal, harmadik féltől megszerzett üzleti email fiókot használtak, hogy rávegyék a cég célzott, valószínűleg pénzügyi alkalmazottait, hogy pénzt utaljanak egy olyan bankszámlára, amit kontrolljuk alatt tartanak. Ebben az esetben egyértelműen jelen van az emberi hiba is. Az, hogy az adathalászati levél átcsúszik egy védett levelezőrendszeren, előfordulhat. Ha legitim, kompromittációt még nem jelentett DNS címről érkezik levél és a tartalma alapján nem állapítható meg csalás, akkor DNS szűréssel rendelkező rendszer is továbbíthatja az adott fiókba. Nyilván, azért kell hozzá kutatómunka a hekker oldalról is, ha célzott személyeknek szól a csaló email, ami árulkodhat arról is, hogy már jártak a Pepco rendszerében, azaz komolyabb kiberbűnözőkkel állhattak szemben. Mindezek ellenére lehettek árulkodó jelek az adathalászati levelekben, amit a felhasználók észlelhettek volna, de minimum gyanúsnak találhattak volna. Ebben az esetben pedig egy adathalászatot jelentő gombra kattintva felülvizsgálatra küldhették volna, ami valószínűleg kiderítette volna turpisságot.
Ezért érdemes ingyen kipróbálni, hogy alkalmazottaink mennyire átverhetők adathalászattal. Ha kiderül, hogy eléggé, akkor egy kávé áráért lehet havonta trenírozni őket. Egy telefonelőfizetés áráért pedig teljeskörű felhasználói védelmet adni az üzleti tevékenységeikhez. Azt nem tudjuk, hogy hány digitális munkatársa van a Pepconak (teljes létszámállomány: 2659 fő/2023), de ha 500 kollégára számoljuk ki a maximális felhasználói védelem költségét, amit a Syswind Strong Breeze csomag fed le, akkor 237.000 eurónál meg is állt volna számla. De ha a létező összes kollégát, tehát még 2159 főt csak biztonsági tudatosságra képezték volna eszközvédelem nélkül, akkor sem ment volna az éves számla 282 000 euró fölé. A 15 millió eurós veszteségből több mint 53 évig lehetne fedezni az állomány védelmét és tudatosságának fejlesztését.
Persze, ha a Pepcot is hívtuk volna a kampányban, nagy eséllyel azt mondták volna, hogy nálunk minden a legnagyobb rendben van, védjük a szervereinket, jó tűzfalunk van, és a legfrissebb vírusirtót használjuk, ezért nincs szükségünk ingyenes adathalászati szimulációra.
Mint üzleti vállalkozás, mi sem azért adunk ingyenes felmérést, hogy elfoglaljuk magunkat unalmas napjainkon. Pénzt keresünk vele. Magunknak és az üzleti partnereinknek.
A struccpolitika nem véd meg! Ahogy mondta Stephen Hawking: “A tudás legnagyobb ellensége nem a tudatlanság, hanem a tudás illúziója.”
+1 gondolat
És részünkről még egy gondolat: Ha nem tudsz valamit, akkor inkább tudd meg! A strucc nem jó társ egy üzleti vállalkozásban.
