BÉT logóÁrfolyamok: 15 perccel késleltetett adatok

Tipikus hibák az informatikai védelemben

Túlterheléses támadás érte az angol bankokat a minap. Nem egyet, nem kettőt, hanem mindet egyszerre. A nagyszabású akció mögött a brit jegybank (BoE) állt, amely tudatosan teszteli az angol bankokat, amelyek aztán jelentést írnak arról, hogy a támadása alatt milyen intézkedéseket tettek, és azok hogyan váltak be. A biztonsági tesztek elmaradása a szimuláció előkészítésében résztvevő KPMG szakértője szerint csak az egyik tipikus hiba az informatikai fenyegetések elleni védekezésben.
2013.12.30., hétfő 09:35

A BoE bizonyára olvasta azokat az informatikai szakértők által írt elemzéseket, amelyek szerint a tesztelés elmaradása az egyik leggyakrabban elkövetett hiba a külső támadásokkal szembeni felkészülésben. Megítélésem szerint egyenesen ez a legnagyobb hiba, bár kétségtelen, hogy vannak ennél gyakrabban elkövetettek is. De nézzük sorjában.

A legtöbbször elkövetett hiba, hogy a vállatok úgymond 100 százalékos biztonságot akarnak elérni. 100 százalékos biztonság természetesen nem létezik, viszont aki erre törekszik, vagy elhiszi, hogy elérte ezt, az biztosan megfeledkezik a veszteségek minimalizálásának fontosságáról. Márpedig, ha egy céget mégis támadás ér – és ez ilyen olyan formában szinte minden cégnél bekövetkezik – akkor a legfontosabb feladat, hogy képesek legyünk az adatvesztés okozta kár minimalizálására.

Ugyancsak gyakran elkövetett hiba azt gondolni, hogy a legjobb eszközök megvásárlásával a biztonság is megvásárolható. Ez természetesen nem igaz, mert amellett, hogy rendkívül költséges, semmit sem ér az IT-részleg és az alkalmazottak felkészültségének és elkötelezettségének hiányában. Minden vállalati informatikai rendszer végső felhasználója a munkavállaló, ha ő nem tartja be a biztonsági szabályokat, vagy azok nem nyújtanak megfelelő védelmet, akkor a legdrágább kütyü is eldobható. Ha mindenki felkészült, és mindenki be is tartja az előírásokat, csak akkor igaz, hogy a jobb eszközök segítik a megelőzést, a felderítést, és a kár minimalizálását.

Az sem igaz, hogy a támadóknál jobb fegyverekkel védhetjük magunkat a legjobban. Ez a feltételezés oda vezet, hogy a támadók fegyvereihez igazítjuk a felkészülésünket, holott nem kizárt, hogy azokkal csak olyan célpontokat lehet elérni, ami nekünk nem is fáj. A felkészülés során ezért priorizálni kell: azt kell védenünk, ami fontos számunkra, és azoktól kell megvédeni, akik meg akarják szerezni. Ehhez természetesen rangsorolnunk kell a kitettségeket, az egyes kockázatok bekövetkezéséből származó potenciális kárunkat, és tudnunk kell azt is, hogy mennyire kell másoknak az, ami nekünk fontos. Ezek ismeretében kell eldönteni, hogy a védekezés egyes területeire milyen erőforrásokat összpontosítunk.

Gyakori hiba, hogy az IT-biztonság megteremtése egyet jelent a törvényi, szabályzói előírásoknak való megfeleléssel, így a cyber bűnözés elleni védekezés bemerevedik a törvényi keretek közé. Fontos látni, hogy a kockázatok üzletspecifikusak. Más és más támadási minták és trendek jelennek meg az egyes szektorokban, amit még a szervezet mérete is befolyásolhat. Ha az adott társaság úgy gondolja, hogy a külső támadások elleni védekezés csimborasszója a törvényi előírások szószerinti kipipálása, és minden energiát erre összpontosít, akkor a törvényhozáshoz hasonlóan lemarad  a technológia és az általa életre hívott  felhasználói szokások változásáról. Éppen ezért nem szabad megfeledkezni arról, hogy a biztonsági szabályok kialakításának alapja a folyamatos tanulás és fejlesztés, melyet az élet változásai tartanak mozgásban.

Sok cégvezető gondolja azt, hogy a legjobb embereket alkalmazza a cyber bűnözés elleni védekezésben, és ezzel le is dobhatja a gondot a válláról. Csakhogy ez sem igaz. A legjobb szakember is tehetetlen akkor, ha a vállalat egészét nem járja át a cyber kitettség tudata, és a döntések ennek hiányában születnek meg. Az IT-biztonsági szempontoknak, a biztonságtudatosságnak a cég minden területén jelen kell lenniük a HR-től az üzleti döntéshozókon keresztül a beruházási döntésekig. Ennek hiányában ugyanis a legjobb szakemberek is tehetetlenek.

A jellemző IT-biztonsági hibák között előkelő helyen szerepel a rendszerek megfelelő tesztelésének hiánya. Nagy és fontos rendszerek fejlesztésénél a nemzetközi gyakorlat szerint az a munka harmadát a tesztelés teszi ki, miközben a kódolásra fordított erőforrás 10 százalék alatt marad, és ez nem véletlen. Rendszerek összekapcsolása, új rendszerek bevezetése olyan kockázatokat hordoz magában, melyek a cég egész működését veszélyeztetik. Az IT biztonság tesztelése – és ezt a brit jegybank szimulációja jól mutatja – megkerülhetetlen része a rendszernek, amivel az informatikusok rendszerint tisztában is vannak. Csakhogy a tesztelés rendszerint költséges és időigényes, a vezetőség pedig alulbecsüli az ennek hiányából fakadó károkat, így az erre fordított idő és pénz sokszor csak a funkcionális tesztekre elegendő, a biztonsági próbákra elvégzésére nem.  

A szerző további cikkei

Vélemény cikkek

Továbbiak

Címoldalról ajánljuk

Tovább a címoldalra

Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.