Öt jó tanács, hogy ne lopják el az ügyféladatokat

Számítógépes kalózok törtek be a napokban az egyik legnagyobb amerikai társadalombiztosító informatikai rendszerébe, és jelentős mennyiségű ügyféladathoz fértek hozzá. Ez is és a tavalyi legnagyobb ügyféladat-lopási esetek is azt mutatják, hogy a cégek képtelenek megvédeni személyes adatokat. Pedig a támadások módszerei ismertek, és a védekezés sem reménytelen.

Magyar Péter lenne jobb a gödörben lévő magyar gazdaságnak vagy Orbán Viktor?
Nem lesz baj abból, hogy a nyugdíjmegtakarításokat ingatlancélra is el lehet költeni?
Online Klasszis Klub élőben Felcsuti Péterrel!

Vegyen részt és kérdezzen Ön is!

2024. november 28. 15:30

A részvétel ingyenes, regisztráljon itt!

Kép:PP archív

Még nem tudni, hány ügyfél adatait szerezte meg pár napja az a hackercsoport, amelyik betört az egyik legnagyobb amerikai társadalombiztosító rendszerébe, és onnan ügyféladatokat szerzett meg. Az Anthem biztosító tájékoztatása szerint hitelkártyaadatokhoz és kórtörténetekhez nem fértek hozzá, de nevekhez, születési dátumokhoz, lakcímekhez, tb-számokhoz és e-mail címekhez igen.

„Az embernek olyan érzése van néha, mintha az információbiztonsági szakma süket füleknek beszélne” – mondja Sallai György, a KPMG információbiztonsági igazgatója. Jól ismert, ezerszer leírt hibák vezetnek oda, hogy évente több százmillió felhasználó adatai kerülnek illetéktelen kezekbe. „Elég megnézni a tavalyi év legnagyobb adatlopási ügyeit, és máris látjuk, hogy ezek olyan cégeknél történtek, amelyekről tudható, hogy kitettek a támadásoknak, hiszen a kibertérben támadott információk 96 százaléka pontosan az, amit ők is kezelnek: felhasználók személyes adatai” – mondja a KPMG igazgatója. (Egyébként az oroszok kémkednek a legtöbbet a virtuális világban.)

Az Egyesült Államok egyik legnagyobb kórház-üzemeltető cégétől, a CHS-től (Community Health System) 4,5 millió felhasználó adatait szerezték meg tavaly kínai hackerek, a Home Depot-t pedig 56 millió bankkártya adataitól szabadították meg beszállítói. A JPMorgan Chase 76 millió ügyfél személyes adatát vesztette el, a Target üzletlánctól 110 millió bankkártya adatai szivárogtak ki. Az eBay ügyét még vizsgálják a hatóságok, de az érintett felhasználók száma eléri a 145 milliót. Sallai György szerint a hab a tortán a Sony elleni év végi támadás volt, amelyben az ügy veszteseinek száma még ismeretlen, de feltehetőleg nagyobb az összes többinél. Ugyanakkor sok cég még mindig azon a tévúton jár, hogy a bekövetkezett károk miatt kevesebb a vesztesége, mint a kiberkockázatok elleni védelem költsége.

A KPMG igazgatója szerint mind a hat támadás klasszikusnak nevezhető módszerrel történt: biztonsági rést kihasználó hackerbehatolás, emberi tényezőket kihasználó social engineering vagy harmadik féltől – tipikusan beszállítótól – induló behatolás. Nincs tehát új a nap alatt, a cégek, cégvezetők azonban, úgy tűnik, még mindig nem készültek fel eléggé ezekre a támadásokra. Pedig a fenti nagy horderejű incidensek esetében az adatvesztés az érintett vezetők karrierjébe került, és volt, ahol ez nemcsak az informatikai főnököt érintette, de a vezérigazgatót is.

Mitől kell félnünk 2015-ben?
A vállalatok számára az üzletmenet és a beszállítói lánc megszakadása, a természeti katasztrófák, valamint a tűz- és robbanásveszély jelentik a legnagyobb kockázatot. A kiberkockázatok is egyre fenyegetőbbek, de erre vannak a legkevésbé felkészülve a cégek.
Mire kell tehát figyelnie egy cégvezetőnek, ha nem akar hasonló sorsra jutni? Sallai György szerint nem olyan bonyolult a dolog. Öt alapszabályt kell betartani, és máris jelentősen csökkenthetjük a hasonló támadások kockázatát.

Fenyegetettségek hierarchikus kezelése

Nem elegendő, ha az IT-szakemberek technikai eszközökkel harcolnak a rendszer sérülékenységei ellen. A Target üzletlánc példája azt mutatja, hogy a szervezet minden szintjén megfelelő szerepet kell kapnia a kockázatkezelésnek. Egy biztonsági szabály figyelmen kívül hagyása, egy olcsó beszállító bevonása vagy egy belső ellenőrzési jelentés alulértékelése mind gyors üzleti eredménnyel kecsegteti az adott szintű vezetőt, aki éppen ezért nem maradhat ki a kockázatkezelés látóköréből. A szervezeti hierarchia helyes megválasztása fontos szempont, éppen úgy mint az, hogy a védelmi intézkedések áthassák a szervezetet egészét.

Munkavállalók biztonságtudatos képzése

Az adatvesztések második leggyakoribb oka humán kockázatra vezethető vissza. Az eBay-nél a munkatársak belépési adatait ellopva jutottak a hackerek az értékes ügyféladatokhoz. Ezt akár egy olyan költségkímélő biztonsági tréninggel is meg lehetett volna akadályozni, amelyik nyomatékosan felhívja a dolgozók figyelmét a „Password1234” jelszó használatának veszélyeire és a post-it cédulákra írt jelszavak kockázatára. Ha az adott szervezet nem látja az előtte álló kockázatok erdejét, social engineering vizsgálattal feltárhatja a neuralgikus pontokat.

Beszállítók monitorozása

Mint azt a Home Depot és a Target példája mutatja, az egyik legnagyobb biztonsági kockázat a beszállító, amellyel számítógépen kommunikálunk. Az üzleti racionalitás érdekében beszállítók egész sora fér hozzá felhasználói vagy üzletileg érzékeny adatokhoz. Éppen ezért vizsgálni kell, hogy a beszállítók milyen rendszerekhez, adatokhoz és munkafolyamatokhoz férnek hozzá, és az adott hozzáférés valóban szükséges-e a munkavégzéshez. És ne feledjük: attól, hogy valaki takarít, még nem biztos, hogy nem tud kimásolni egy merevlemezt.

Biztonsági szabályok alkalmazása

Itt lényegesen többről van szó, mint a szabályok kialakítása. A gyakorlati alkalmazáson, betartatáson van a hangsúly, mint azt a JPMorgan Chase szakemberei is megtanulhatták. Minden szabály annyit ér, amennyire komolyan veszik. A legkisebb változtatás kockázatait is mérlegelni kell, és a szabályok alkalmazását minden esetben, kockázatarányos módon, ki kell kényszeríteni.

Sérülékenységek rendszeres ellenőrzése

A rendszeres ellenőrzés a leghatékonyabb módja a külső támadások megakasztásának. Csakhogy nem elég egy rendszer gyenge pontjait a bevezetése pillanatában vizsgálni, sőt még az éves felülvizsgálat is kevésnek bizonyulhat, ha a rendszerekben sűrűn történik változás. A vizsgálatok tervezésénél fontos szempont a proaktivitás. Minden változás alkalmával érdemes a változással járó kockázatokat előre számba venni, és felkészülni az adott kockázat kezelésére. A sérülékenységek túlnyomó többsége már a tervezési, fejlesztési szakaszban látszik. Helyes szabályok, rutinok, kockázatelemzés alkalmazásával még a rendszer elkészülte előtt láthatóvá válnak a gyenge pontok.

A tapasztalat azt mutatja, hogy a magánemberek sem igazán foglalkoznak személyes adataik védelmével, holott egyre többször szembesülhetnek azzal, hogy felhőben tárolt adataik nincsenek biztonságban. Csak tavaly 5 millió jelszót loptak el a Google-tól, 2 millió Facebook-jelszó jutott hackerek kezébe, és 7 millió Dropbox-profilt törtek fel – mégsem merné senki sem állítani, hogy a felhasználók ettől óvatosabbak lettek, és kevesebb személyes, netán intim adatot töltenének fel ezekre a helyekre. A felhasználók felelőtlensége persze nem mentesíti az adataikat kezelő cégeket a gondos őrzés felelőssége alól.

VESZÉLYBEN AZ ATM-EK ÉS AZ APPLE FELHASZNÁLÓK
A kiberbűnözők magabiztossága egyre csak nő: eddig a banki szolgáltatásokat felhasználói oldalról támadták – úgy tekintették, hogy ők a leggyengébbek a biztonsági láncban. Azonban most már közvetlenül a pénzintézeteket vehetik célkeresztbe.

Véleményvezér

Bécsben olcsóbb lakni, mint Budapesten

Bécsben olcsóbb lakni, mint Budapesten 

A jövedelemhez képest Bécsben a legolcsóbb a lakhatás egész Európában.
Obszcén szavakkal fideszes nyugdíjas kommandó fogadta Magyar Pétert a miskolci gyermekotthon előtt

Obszcén szavakkal fideszes nyugdíjas kommandó fogadta Magyar Pétert a miskolci gyermekotthon előtt 

A nyugdíjas fizetések nagyon felizgultak Magyar Péter látogatása miatt.
Elképesztő állapotokat talált Magyar Péter egy gyermekvédelmi intézményben

Elképesztő állapotokat talált Magyar Péter egy gyermekvédelmi intézményben 

Az ellenzéki vezető szerint a Fidesz propagandistákat vet be, hogy az emberek ismerhessék meg a valóságot.
Lesújtó adat a magyarok életesélyeiről

Lesújtó adat a magyarok életesélyeiről 

Az elmaradt reformok tragédiája.
Kövér László gigabüntetést osztana az új-zélandi parlamentben

Kövér László gigabüntetést osztana az új-zélandi parlamentben 

Rendet kellene tenni az új-zélandi parlamentben.
Ünnepélyes keretek között adtak át 200 méter felújított járdát

Ünnepélyes keretek között adtak át 200 méter felújított járdát 

Nagy az erőlködés a Fidesznél a sikerélményekért.

Info & tech

Cégvezetés & irányítás

Piac & marketing


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo