Információszivárgás
A gazdasági válság kezdetén előre látható volt, ha az emberek zsebében kevesebb pénz marad, mint amennyi a megélhetésükhöz szükséges, akkor már csak etika, motiváció és kockázatérzékenység kérdése, hogy valaki anyagi haszon reményében törvénytelen eszközökhöz nyúljon. Nemcsak a hazai bankrablások szaporodtak meg érzékelhetően mostanában, hanem drámaian megnőttek az informatikai rendszereket érintő biztonsági incidensek is. Ezek leggyakoribb esetei az adatszivárgás, a szabotázs, a szándékos károkozás, a csalás, vagy a vállalaton belüli internetes fájlcserélő illegális tartalommal történő működtetése.
Az elmúlt évek tapasztalata azt mutatja, hogy a legtöbb belső támadás véghezvitele „erős közepes” technikai tudást igényelt. A vállalatoknál csak elvétve tapasztalható olyan védelmi intézkedés, mint például az USB külső adathordozók adatírási korlátozása vagy tiltása (pl. pendrive), és ez csak az egyik formája annak, hogyan hagyhatja el akár nagy tömegű bizalmas anyag a céget. Sok esetben engedélyezik az MP3-lejátszók csatlakoztatását a számítógépekhez, annak ellenére, hogy azok bármilyen adatot képesek tárolni, nem csak zenefájlokat. Szinte példa nélküli, hogy a laptopokon korlátoznák a Bluetooth- vagy IrDA-portokat. Ugyanakkor minimális beruházást igényel egy olyan telefon, amelyet csatlakoztatni lehet a számítógéphez, és több gigabyte a tárolókapacitása. A beépített kamerával ellátott telefonokat már nem is említve, amelyek ha kissé nehézkesen is, de támogató eszközei lehetnek az adatszivárgásnak.
A jelentősebb technikai felkészültséget igénylő támadások már komoly problémát jelentenek. A cégek kockázatmérséklő tényezőnek tekintik, ha egy biztonsági rés kihasználása technikai felkészültséget igényel. Ez azt a képzetet erősíti, mintha a komoly technikai felkészültséget kívánó támadások kockázata kisebb lenne. Ilyen esetekben jöhetnek a meglepetések. Példa erre a Mifare Classic RFID-csip működésének visszafejtése, amelyet tavaly egy holland csoport hajtott végre. Ezt a kártyát alkalmazza többek között a London Transport (Oyster Card), vagy például a Barclaycard OnePulse hitelkártya is. A kutatás eredményeinek publikálását (nevezetesen, hogy miként lehet hamisítani a kártyát) a gyártó megpróbálta letiltani, de az arnhemi bíróság döntése alapján a kutatás eredményei publikálhatók, így azok mára elérhetővé váltak az interneten. Több mint kellemetlen, ha az ingyenes utazást lehetővé tevő „recept” mindenki számára elérhetővé válik, vagy egy vállalat beléptető rendszerét biztosító kártyarendszer „klónozható”, nem beszélve arról, ha ez bankkártyákkal esik meg.
A védelem kapcsán kulcsfontosságú, hogy az IT-biztonsági kérdések megfelelő súlyt kapjanak a cégek mindennapi életében, és biztosított legyen a szükséges anyagi erőforrás és a speciális szaktudás. Ez nem minden esetben áll rendelkezésre, így számos vállalat informatikai rendszere válik sebezhetővé, és már csak akkor szembesül a kérdés súlyosságával, ha már megtörtént a baj. A hazánkban gyerekcipőben járó IT-biztonsági szakképzés és az adatvédelmi előírások nem megfelelő ismerete további problémákat jelentenek.
Fontos, hogy az IT-biztonságot ne hagyják passzív elemként működni az informatika részeként, hanem legalább félévente valamelyik felső vezető számoltassa be az IT-biztonsági felelőst. A biztonsági szint csökkenése, a kontrollkörnyezet hiányossága beláthatatlan következményekkel járhat. Annak, aki szerint ez csak a filmek világában létezik, érdemes példaként tanulmányozni a Barings Bank 1995-ös csődjének a történetét, vagy hazai esetként az ügyfélkapu közelmúltbeli biztonsági sebezhetőségét.
A szerző a PricewaterhouseCoopers IT-biztonsági szolgáltatásokkal foglalkozó részlegének igazgatója
Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.