Gyenge lábakon áll a hazai adatbiztonság?

Kristóf Csaba, 2012. április 12., csütörtök 09:35, frissítve: csütörtök 09:39
Az Anonymous hackercsoport hazai célpontok ellen indított támadásai az elmúlt hetekben ismét ráirányították a figyelmet a magyar adatbiztonsági helyzetre.

A BDO Magyarország 2011-ben is számos hazai IT-infrastruktúra átfogó belső és külső adatbiztonsági vizsgálatát végezte el kórházi hálózatoktól, közműcégeken keresztül, komplex kereskedelmi rendszerekig. A vizsgálatok alapvető tapasztalata az volt, hogy az általános hazai kibervédelem már közepes informatikai felkészültség mellett is kijátszható. A szakemberek szinte minden esetben 1-2 nap alatt triviális adatbiztonsági hibák kihasználásával hozzáférést tudtak szerezni teljes rendszerekhez.

"A legkülönbözőbb, sokszor alapvető adatbiztonsági hibákkal találkoztunk a tesztek során" - ismertette a tapasztalatokat Török Szilárd, a BDO Magyarország IT Megoldások üzletágának partner ügyvezetője. "A rendszergazdai jog megszerzéséhez sokszor elegendő volt azt kihasználni, hogy a rendszerek alapbeállításokkal futnak, és igen gyenge vagy triviális felhasználónév/jelszó páros társul hozzájuk. Máskor egy pénzügyi szervezet egy külső, védelem nélküli webszerverén találtunk olyan adatokat, amelyek alapvetően könnyítették meg a behatolást. A legriasztóbb az a tény, hogy a hackerek egyes közműcégek olyan vezérlő rendszerei felett is képesek átvenni az uralmat, amelyeken keresztül ártó szándékkal befolyásolható (esetenként leállítható) a fogyasztók ellátása, bizonyos esetekben a teljes rendszer visszafordíthatatlanul tönkretehető" - tette hozzá a szakember.

A hibák detektálása önmagában nem elegendő, azokat gyorsan ki is kell küszöbölni. A BDO IT Megoldások üzletágának ezzel kapcsolatban is negatívak a tapasztalatai. A cég az auditok során például feltárt egy olyan komoly védelmi hibát egy, a hazai bankok többsége által használt home banking rendszerben, amelyet már 2001-ben, tehát több mint tíz éve beazonosítottak.

Húsvéti támadást indított az Anonymous csoport

A hackerek is hazánkra figyelnek

Csak a törvényi kötelezés az igazán hatékony

Bár a pénzügyi szektorban tevékenykedő szervezetek IT infrastruktúráin is találhatók biztonsági rések, a törvényi előírások betartása érdekében mindenütt végrehajtották azokat az alapvető biztonsági fejlesztéseket, amelyek jelentősen csökkentik a kockázatokat.
Az elmúlt években komplex, online kereskedelmi rendszerek tömege épült ki, ugyanakkor ezek biztonsági rendszerei korántsem fejlődtek a rajtuk keresztül lebonyolított forgalommal arányos módon. A BDO által végzett tesztek során külső behatolóként lehetséges volt hozzáférni bármely felhasználó kereskedelmi tételeihez, nevükben megrendeléseket leadni, stb.

Miközben a szervezetek éves szinten a fizikai biztonságra több tízmillió forintot is elköltenek, aközben adatbiztonságra sokszor 1-2 millió forintot sem szívesen áldoznak. Persze az sem mellékes, hogy ezen belül mire költik a pénzt. Gyakran ugyanis a legkorszerűbb rendszerek beszerzése sem elegendő, ha azok nincsenek megfelelően testre szabva, üzemeltetésük és beállításuk hiányos vagy elhanyagolt.

Kulcsfontosságú a folyamatos tesztelés

A védelem egyik legfontosabb eleme a folyamatos tesztelés. A rendszert felépítő és üzemeltető belső szakemberek óhatatlanul csak korlátozottan tudják objektíven, külső szemmel felmérni a rendszerekre leselkedő veszélyeket. Az ügyfelek megbízásából betörési teszteket végző etikus hackerek képesek lehetnek arra, hogy feltárják az adott hálózatok gyenge pontjait. "Ahogy nincs feltörhetetlen lakás, úgy nincs feltörhetetlen informatikai rendszer sem. Ám itt is érvényesül az az elv miszerint, ha a betörő nem egy adott zsákmányra tör, akkor nagy eséllyel az alacsonyabb szintű védelmet próbálja majd kijátszani" - mondta Török Szilárd.

Az adatlopás elleni védekezés alapvető lépései

- Mérjük fel a meglévő IT rendszereket
- Azonosítsuk a kockázatainkat
- Alkalmazzunk már bevált, szabványon alapuló kockázatkezelést
- Rendelkezzünk megfelelő üzletfolytonossági és katasztrófa-elhárítási tervvel
- Nagyvállalatok esetében feltétlen nevezzünk ki egy IT biztonsági vezetőt
- Gondoskodjunk a munkavállalók megfelelő oktatásáról

hirdetés
Legolvasottabb
Legfrissebb
hirdetés