Minden ember találkozott már közvetlenül csalással. Vagy telefonon hívták fel, vagy emailt kapott arról, hogy nyert valamit, de millió példát sorolhatnék fel, mert ma már tényleg megszámlálhatatlan féle/fajta és mennyiségű csalással próbálnak becsapni minket.

Rengeteg olyan csalás van, amit időben felismerünk. A legügyetlenebb telefonos csalók, akik semmit nem tudnak az áldozatukról, csupán a telefonszámukat a leggyengébb kategóriába tartoznak. Amikor valaki egy konkrét bankra hivatkozik, ahol nem is vezetünk számlát az a leghamarabb észrevehető csalás. Viszont ez a csalás is működik, mert rengetegszer alkalmazzák és a nagy számok törvénye igazolják, hogy működik sajnos. A kevésbé tájékozott emberek, illetve a szépkorúak vannak leginkább kiszolgáltatva ezeknek a csalóknak. Ha a csalónak szerencséje van, akkor eltrafálja a bank nevét, ahol az illető éppen számlát vezet és ha abban is szerencsés, hogy nem tájékozott az áldozat, akkor jó esélye van arra, hogy kicsaljon olyan személyes vagy pénzügyi adatokat, melyek birtokában könnyen pénzhez juthat.

A csalók az emberek félelmeit vagy esetleg vágyait, illetve tájékozatlanságukat és naivitásukat használják ki. Erre építenek az egyszerű csalók is, akik a fentihez hasonló módszerrel próbálkoznak, illetve azok a csalók is, akik sokkal újabb és jobban kidolgozott módszerekkel dolgoznak.

Vágyakra építkező csalások

Azért kezdem a vágyakra építkező csalásokat, mert most ez a legmenőbb és sokan esnek áldozatul még a tapasztaltabb emberek közül is. Ezek a csalások érkezhetnek emailben, általában ez a leggyanúsabb megkeresés formája. Itt a profibb levelek név szerint megszólítják a felhasználót, a megszólító viszont ismeretlen. Valami nagy dolgot közöl, amivel arra bíztat, hogy kattintsunk a linkre. A legjobb ilyenkor, ha NEM KATTINTUNK a linkre, hanem töröljük az üzenetet!

Ha esetleg meg tudjuk jelölni SPAM üzenetnek előtte az még jobb. Ha bizonytalan vagy és mégis kattintasz nézd meg a weboldal URL címét, hogy milyen oldalra navigál. Ha például az Apple nevében jön egy e-mail, hogy nyertél egy új iPhone-t és csak regisztrálj, az URL cím pedig egy hosszú értelmetlen pl. fgnpo-apple.hwknbacc.com akkor zárd be az oldalt mihamarabb. A legjobb viszont, ha nem kattintasz! Nem nyersz iPhone-t! Nem küld az AOL egyik tulajdonosa pár millió eurót és nem árul el óriási befektetési titkot Moldván András a Cápák között műsor főszereplője, amivel napi százezreket kereshetsz! Rengeteg az átverés! Nap mint nap érkezik valami vagy találkozunk ilyenekkel és hasonlókkal.

Az egyel profibb megkeresés már hirdetésen keresztül jön. Ez sokszor fel sem tűnik nagyon, hogy valójában hirdetés. Böngészés közben laptopon vagy telefonon, bármilyen weboldalon vagy közösségi oldalon keresztül jöhet a hirdetés. Rákattintasz és ismét próbálnak rávenni valami feltűnően jó lehetőségre. Ne dőlj be ennek sem! Amire szüksége van a csalóknak azok a személyes adataid, belépési adataid és pénzügyi adataid. Ha ismeretlen a weboldal, webáruház vagy a cég, aki mögötte van akkor az garantáltan csalás.

Megelőzésre pedig azt javaslom, hogy a hihetetlenül jó ajánlatokat hagy ki! Ha például főzni szeretsz és minden vágyad egy drága robotgép, amit már sokszor megnéztél a neten lehet, hogy feljön egy hirdetés, hogy az adott márkának vagy az 50. évfordulója és pont az általad kinézett 300 ezres robotgépet most megveheted 5550 forintért, de siess mert csak 14 darab van már készleten a limitált promócióból. Persze a weboldalon nincs adatvédelem, impresszum, ÁSZF, játékszabályzat stb., hanem csak egy szépen megtervezett marketing oldal, ahol persze meg tudod adni az adataidat és kártyával is tudsz fizetni.

Félelemre építkező csalások

Ezek a csalástípusokra jellemző a közvetlen megkeresés emailben, telefonon vagy SMS-ben. A lényege a nagy és tragikus hír közlése, majd az azonnali cselekedetre való felhívás. Reagálj gyorsan vagy fizess gyorsan, különben bekövetkezik az a baj vagy probléma, amivel megkerestek. Ha személyes jellegű problémával bombáznak ne cselekedj rögtön, hanem járj utána más forrásokból, hogy lehet valóság alapja vagy nem. Ha pedig például a számítógépen tárolt adataidról van szó, mondjuk azzal fenyegetnek, hogy mindenedhez hozzáférnek és törlik vagy publikussá teszik, akkor viszont fordulj a rendszergazához. A rendszergazda ismeri a csalásokat és meg tudja vizsgálni, hogy mennyire lehet valóságalapja a fenyegetésnek. Ha ilyen üzenetet kapsz két teendő van. 1. semmiképpen ne csináld azt, amit kérnek, 2. kérd azonnal informatikus vagy rendszergazda segítségét! Fontos, hogy egyik lépést se hagyd ki, mert ha az adataidat valóban megszerezték és nincs megfelelő védelem és biztonsági mentés akkor valóban kárt tud okozni a csaló.

A zsaroló vírusok elleni hatékony védekezés fontos része az oktatás

Bár egy esetben ez szomorú, hogy ennyi csalás van, viszont szerencsére a csalásokról rengeteget hallunk a médiában, hogy tanuljunk ezekből az esetekből. A TV, rádió és az internet is rengeteget foglalkozik a témával és próbálja felhívni a figyelmet arra, hogy ezeket a csalásokat elkerüljük. Ha a Google keresőbe beírjátok, hogy CSALÁS BEJELENTÉSE akkor pedig több olyan oldalt is találtok, amelyiken keresztül bejelenthető a csalás. Az első találat a csalás bejelentése kifejezésre a https://www.police.hu oldalra visz, de van több szervezet, akiknél a különböző típusú csalások gyorsan bejelenthetőek.

Mire kell figyelni

Belépési adatokat, felhasználó neveket és jelszavakat, valamint banki adatokat ne adjatok meg senkinek! Ha ilyen adtok meg, mindig figyeljétek, hogy az URL megfelelő legyen. Van úgy, hogy például a banki bejelentkező felület ugyanúgy néz ki, mint banké az URL viszont más. De lehet, hogy az Apple ID fiókodba, Google Play, Spotify vagy egyéb fiókodba akarnak beléptetni hamis linkeken keresztül. A legfontosabb ezért a tudatosság, tájékozottság és az odafigyelés minden esetben! Ha van informatikus segítség akkor érdemes további tanácsokat kérni.

Érdemes megnézned még azt is, hogy mik a leggyakrabban használt jelszavak! Az 12345, 123456, jelszó123, vagy név123, stb. nagyon egyszerűek. Minden bejelentkezési fiókban használj erős, bonyolult és nem könnyen kitalálható jelszavakat. Ahol lehet használj kétlépcsős azonosítást. Erről nem írok most többet mert a jelszó kezelésről is külön cikket lehet írni, de fő az óvatosság, legyenek nehezen kitalálható jelszavaid!

Mesterséges intelligencia alkalmazása és személyiség meghamisítására

Van olyan is, hogy ismerősnek álcázza magát a csaló. Létrehoz egy olyan közösségi profilt vagy e-mail címet, amit egy közvetlen hozzátartozód, rokonod vagy barátod használ. Ha ez az illető személy szintén arra kér, hogy lépj be valahova, adj meg adatokat vagy utalj neki hívd fel előtte, vagy még jobb, ha személyesen beszélsz vele mielőtt ilyet teszel. A csalók a legújabb technikákat alkalmazzák. Vállalati szektorban, de most már lakossági oldalon is bevetik a mesterséges intelligenciát is. A profilozáshoz és a személyes adatok, képek hamisításhoz is bevethetőek a mesterséges intelligenciát használó programok. Ha e-mailben kapsz megkeresést mindig nézd meg az e-mail címet!

Több felhasználó használja az adott eszközt

Vannak olyan eszközök például laptopok, amiket többen használunk. Ez igaz lehet otthon és munkahelyen is egyaránt. Olyan is sűrűn előfordul, hogy a gyerek kölcsönkéri és használja a telefont. Ha több felhasználó használ egy eszközt annak mindig nagyobb a veszélye, mert ha a másik felhasználó kevésbé tudatos, akkor lehet olyanra kattint, amire nem kéne. A közösen használt eszközökön ezért ne tároljunk pótolhatatlan és visszaállíthatatlan adatokat. Ha céges eszközről van szó akkor pedig különösen védjük az adott eszközt és a rajta tárolt adatokat.

A céges eszközökön például egy laptop esetében elengedhetetlen a szigorúbb jogosultság kezelés, megfelelő vírusvédelem (természetesen fizetős változat) de hasznos, ha van erős böngészővédelem, DNS szűrő, egy komolyabb tűzfal stb.

Láthatatlan támadások

Itt egy következő fázisba lépünk! A láthatatlan támadások esetében ugyanis a támadó nem akar kommunikálni a felhasználóval. Sok esetben nem is akar személyes adatokat kérni, nem akar pénzt levenni a kártyáról vagy nem zsarol azzal, hogy utaljunk bitcoint. A láthatatlan vagy felismerhetetlen támadások is két részre oszthatóak. Vannak azok, amelyek egy idő után felfedik magukat és vannak olyanok, akiknek a lényege a folyamatos észrevehetetlenség. Az első típus amúgy sok esetben a zsaroló kategóriába sorolható, mert előbb utóbb megfenyeget, ha nem akarjuk, hogy kárt okozzon utaljunk.

Persze itt olyan is van, amelyik nem szól, hanem csak kárt okoz hirtelen. Ez esetben is fizet valaki csak nem a cég, hanem mondjuk a konkurencia, aki feltételezhetően hasznot húz ebből a károkozásból. A másik típust viszont én csak úgy hívom, hogy Enigma típusú vírus. Ennek a lényege, hogy folyamatosan használja az adatokat a megtámadott cégtől. Ez sok esetben kifizetődőbb, mint egy gyors csalás vagy károkozás.

Láthatatlan támadások kivédése

Sok láthatatlan támadás van ma is, ami felderíthetetlen. Egyszerűen már ott van és nem tudunk róla semmit! Higgyétek el, rengeteg ilyen van. Ha érzékeny és értékes adataink vannak, akkor a legjobb, amit tehetünk, ha fizetős és tényleg hatékony vírusirtó programokkal, tűzfallal, DNS szűrő programokkal és emelt szintű jogosultságkezeléssel védekezhetünk többek közt. Kisebb cégeknél is fontos a rendszergazda jelenléte! Persze nem kell mindenhova állandó, 8 munkaórás rendszergazda, de kisebb cégek estében igénybe vehető a rendszergazda szolgáltatás havidíjas formában vagy eseti jelleggel is. A rendszergazda szolgáltatás lényege, hogy a szolgáltató külsős informatikai segítséget biztosít rendszer üzemeltetés, karbantartás, hibaelhárítás és IT beszerzés területén. Így ha baj van, akkor kéznél a gyors informatikai segítség!

Amikor céges környezetben biztonsági mentésekről van szó általában úgynevezett mentési stratégiában szoktunk gondolkodni. A mentési stratégia hivatott garantálni, hogy adataink minden váratlan esemény kapcsán az általunk elvárt mértékben visszaállíthatóak legyenek.

A mentési stratégia elkészítésekor az négy fő kérdés mentén haladunk:

1. Mit mentünk?
2. Milyen gyakran mentünk?
3. Hova mentünk?
4. Mennyi ideig tároljuk?

Mit mentünk?

Vegyük számba az értékes és kevésbé értékes adatainkat, adatforrásainkat, és csoportosítsuk:

• Laptopok, munkaállomások operációs rendszere
• Szerver operációs rendszerek, eszköz konfigurációk.
• Email fiókok, levelezés
• File szerveren tárolt irodai anyagok, táblázatok, dokumentumok.
• Ügyviteli rendszer adatbázisa, számlák, bizonylatok
• Egyéb, üzleti tevékenységhez kapcsolódó adatállományok.

Ha beleltároztuk a lehetséges adatforrásokat mindegyik kapcsán gondoljuk végig, hogy milyen hatása lenne, ha hirtelen eltűnne az az adat. Amelyik esetén arra jutunk, hogy semmi problémát nem okozna a hiánya, akkor azt nem kell menteni, minden mást célszerű.

Kategorizálhatjuk is az adatokat, ez esetben nagyjából 3 kategóriába soroljuk őket:

1. Nélkülözhető, nem okoz nagy problémát az elvesztése.
2. Fontos, de adatvesztés esetén (több-kevesebb) munkával újra előállítható adat
3. Fontos, és nem lehet újra előállítani adatvesztés esetén.

Ha elérkezünk az adatmentés költségeihez, akkor ezen kategóriák alapján el tudjuk dönteni, hogy melyik részén lehet, és melyiken nem érdemes a költségekkel spórolni. Ezek után nagyjából mérjük fel, melyik típusból mennyi adatunk van. (Hány GB.)

Milyen gyakran mentünk?

Ha bekövetkezik egy váratlan helyzet, ami miatt adatokat kell mentésből visszaállítani, akkor a legutolsó mentés óta történt változások el fognak veszni. Nézzük végig az előző pontban készült leltárunkat, és ennek fényében gondoljuk végig, mennyi új adat keletkezik egy nap vagy egy óra alatt az adott típusból, és mivel jár, ha azt adott esetben újra elő kell állítani?

Ha például számlázási rendszerünkből számlázási napokon 50-100 számlát állít elő 2 pénzügyes kolléga, akkor egy nap végén bekövetkező adatvesztés legrosszabb esetben 2 ember egy napi munkájának megismétlését okozhatja – már amennyiben naponta legalább egyszer mentjük a számlázási rendszert.

Ha ezt végig gondoltuk, akkor rögzítsük, hogy mit, milyen gyakran szeretnénk menteni.

Alap esetben minimum naponta egyszer érdemes menteni a legtöbb adatot, a fontosabbakat pedig naponta többször, indokolt esetben akár 10-15 percenként is.

Fenti példánkban dönthetünk úgy, hogy a számlázási rendszerünket naponta kétszer mentjük, először a munkanap felénél, másodszor a munkanap végét követően.

Hova mentünk?

A mentési helye kapcsán egyrészt azt értjük, hogy az adathoz képest milyen helyszínen tartózkodik a mentés. Tartózkodhat a mentett adattal azonos helyiségben, vagy egy épületben, ilyenkor helyi mentésről beszélünk.
Ha a mentés a mentett adattól eltérő épületben van (optimálisan a mentett adattól alállomás szinten független elektromos hálózaton, és független internet csatlakozással rendelkező épületben), akkor távoli mentésről beszélünk.

Távoli mentés lehet a telephely átellenes sarkában pár száz méteres távolságban levő másik irodaház, de távoli mentés egy felhő szolgáltatón tárolt mentés is.

Itt érdemes megemlíteni a biztonsági mentésekre vonatkozó 3-2-1 szabályt:

Megfelelő biztonsági mentés: minden adatból legalább 3 példány létezik (az eredeti és két másolat), a másolatok legalább 2 különböző adathordozón vannak, és ezekből 1 példány van a helyszínen.

Mennyi ideig tároljuk?

Ez az egyik legnehezebben megválaszolható kérdés. GDPR és egyéb jogszabályi kérdésekkel most nem foglalkoznék, bár, ha nagy mennyiségű személyes adatot kezelünk akkor azt fokozottan figyelembe kell venni a mentési rendszer kialakításában. Minél tovább őrizzük meg a biztonsági mentés példányait, annál régebbi változatokat tudunk előkeresni – és annál több adatot is kell tárolni.

Felhő alapú biztonsági mentés esetén ez a kérdés közvetlen összefüggésben van a szolgáltatás költségével.

Általánosságban elmondható, hogy az olyan adatokról érdemes akár hónapokra visszamenőleg is mentési példányt tárolni, amiknél fennáll a véletlen törlés vagy változtatás esélye, és azt csak jóval később lehet észlelni.

Például olyan helyi file szerverek, NAS-ok esetén, ahol a szerver nem tud több fájl verziót tárolni érdemes az adatokból legalább egy példányt minimum 2-3 hónapig mentésben megőrizni. Szerverek operációs rendszerének mentése esetén viszont tipikusan elég maximum 1-2 hét megőrzési idő, mert ezeknél általában a legutolsó működőképes állapotot szeretnénk visszaállítani.

Alapvető követelmény, hogy egy adott mentésből a legújabb mellett legalább 3-4 régebbi másolat is legyen – ha bármi ok miatt az aktuális mentés megsérül, akkor ne teljes adatvesztés legyen.

Ha megvan a mentési stratégiánk, akkor kerülhet sor a megvalósításához szükséges eszközök kiválasztására. Ezekkel majd egy későbbi írásban foglalkozok.

napokban ismét zsaroló vírus támadásává vált egy jelentős méretű magyar vállalkozás. Nem egészen két éve a Unix Autó Kft állt napokig (miközben újraépítették az informatikai rendszerüket). Most az egyik legnagyobb hazai informatikai disztribútor a CHS Hungary Kft működését bénították meg ismeretlen támadók.
A cég működése a cikk írásának pillanatában még nem állt helyre. Kevés publikus információ érhető el az esetről, szakmai körökben is még találgatás folyik, hogy konkrétan mi történt. Jelenleg annyi látszik, hogy nagy valószínűséggel valamilyen zsaroló vírussal operáló hacker csapat állhat a háttérben.

Az ilyen esetek kapcsán több kérdés is felmerül az emberben. Vajon a mi hálózatunk is veszélyben van? Mit lehet tenni a kockázat csökkentése érdekében?
Ezekre a nyugtalanító kérdésekre a kényelmes, és kézenfekvő a válasz:

• „Ezek nagy cégek – van mit elvinni. Mi kicsik vagyunk, nem vagyunk jó célpont.
• „Ha egy több tíz milliárdos vállalat sem tudta megvédeni magát, akkor ugyan mi esélye lenne nekünk, akik ennek a töredékéből gazdálkodunk?”
• „…. és különben is mind a tíz notebookunkon van vírusirtó.”

… és miután ilyen megnyugtatóan letudtuk az IT biztonság kérdését igyunk egy kávét, és folytassuk a valóban hasznos munkát!

A valóság egy kicsit azért ennél árnyaltabb. Minden hónapban több kisvállalkozás is áldozatul esik valamilyen internetes támadásnak. Ezeknek az eseteknek a híre még a szomszédos irodaházig sem jut el.

Aki a biztonságtechnikával, IT biztonsággal bármilyen szinten kapcsolatba került már, az jól ismeri azt a közhelyszámba menő mondást miszerint a védelemre mindig a megvédendő értékkel arányos költséget kell fordítani.
Ez az alapelv a „túloldalról” nézve is megállja a helyét. Egy adott pénzmennyiség ellopása (kizsarolása) lehetőleg kevesebb munkába és pénzbe kerüljön, mint amennyit a zsákmány ér.
Így valóban úgy tűnik, hogy a bűnözőknek nagyon nem éri meg kisebb cégeket célba venni. Ahol jó esetben is csak pár millió forint (euróban vagy dollárban számolva meg egészen vicces összeg) szerezhető.

A rossz hír az, hogy a „folyamat” egy része nagyon jól automatizálható, és nagy tételben olcsón bevethető. Így bárkinél megéri „bepróbálkozni”, akitől legalább 1-2 ezer dollárt le lehet húzni. A „zsaroló” vírusok, úgy működnek, hogy valamilyen formában (leginkább emailben, vagy feltört weboldalakon keresztül) eljuttatják a gyanútlan áldozathoz. Ezután, ha sikerül az „átverés” a vírus titkosítja az áldozat fájljait, hogy aztán némi pénzért a tulajdonos megkapja a visszafejtéshez szükséges kódot és útmutatást.
 Ezeknek a vírusok komplett piaca van a webes alvilágban (dark web). Az átlagos, „jó minőségű” kártékony szoftverek telepítésenként 2 dollárért beszerezhetők, az olcsóbbak és kevésbé hatékonyak már 0,12 dollár közötti áron futnak. Hasonló árban mozognak a vírusok célba juttatására alkalmas feltört weboldalak és tömeges email küldő szoftverek. Így akár 50-100 000 Ft-ért megoldható ezer gyanútlan áldozat megzsarolása – és ha legalább egy áldozat fizet akár 1-2 ezer dollárt, akkor már nullszaldós a projekt.

A zsaroló vírusok csak egy részét teszik ki a bűnözők eszköztárának. A vállalati levelezés feltörése és lehallgatása szintén népszerű tevékenység.  Az IT biztonság egyik alap sebezhetősége ez. A postafiókok feltörése automatizált eszközökkel történik, de a kényelmesebb hackerek komplett felhasználónév/jelszó listákat vásárolhatnak fillérekért a dark-weben.

Az így kompromittált fiókok tartalmát részletesen elemzik, esetleg a levelezés egy részéről folyamatosan másolatot irányítanak át a saját rendszerükbe. Ha arra a következtetésre jutnak, hogy érdemes foglalkozni az áldozattal – mert mondjuk rendszeres pénzügyi tranzakciókról szól a levelezés, akkor lépnek akcióba a hackerek személyesen. Sok esetben sikerrel tudnak eltéríteni egy-egy nagyobb átutalást. Számos olyan példa van, hogy a pénzügyes kolléga elutalt 5-10 ezer eurót a csalók bankszámlájára, mert kapott egy levelet a főnökétől (pontosabban a főnöke email címéről), hogy utaljon. A rossz hír után legyen végre valami jó is. Ezen a szinten az IT biztonság, ha nem is teljesen automatizálható, de remek eszközök vannak hozzá, illetve pár általános óvintézkedéssel jelentősen javíthatók a védelmi képességeink.

Végpontvédelem

A végpontvédelem az egyes munkaállomások, szerverek közvetlen védelmét jelenti, valamilyen szoftveres „vírusirtó” megoldással. Ezek kapcsán érdemes megemlíteni, hogy beszerzésekor ne csak a termékeknek az árát nézzük.  Elég nagy a szórás az egyes gyártók árai közt, de még az azonos termékcsaládokon beül is vannak olcsóbb és drágább termékek, és ez nem is véletlen.
Persze tagadhatatlan, hogy mint bármilyen más piaci termék esetén itt is érvényesül a „márkanév” hatás. De azért nézzük meg, hogy a pénzünkért mit kapunk egy olcsóbb és mit kapunk a drágább megoldás esetén.
Bármelyik gyártó termékvonalának az alja nem sokkal tud többet, mint mondjuk a Windows beépített megoldása (Windows Defender), tehát tudása főleg az ismert és azonosított kórokozók lefülelésében ki is merül.

Árazás és minőség

A magasabb ár fekvésű termékek már képesek új, eddig még nem azonosított kártékony kódok blokkolására is. Tartalmaznak olyan kiegészítéseket, amik a különféle e-mail alapú csaló és adathalász levelek kiszűrését segítik.
Egyre elterjedtebbek például a viselkedés elemzésen alapuló végpontvédelmi megoldások. Ezek felismerik, ha a megszokotthoz képest más tevékenységeket folytat a „felhasználó”, és képesek beavatkozni. Így ezek blokkolni tudják a zsarolóvírusok futását, amikor azok elkezdik tömegével a fájlokat módosítani.

Ha limitált a költségvetésünk (kinek nem), akkor szegmentálhatunk is. A fontos pénzügyi adatokkal dolgozóknak, többhozzáférési jogosultsággal rendelkező kollégáknak lehet a fejlettebb termékeket telepíteni. A recepciós munkaállomására (ami mondjuk maximum a tárgyalófoglaló rendszert éri el) pedig akár egy másik cég kedvezőbb árú termékét telepítjük. Ez abból a szempontból sem rossz gyakorlat, hogy így nem csak egy gyártóra vagyunk utalva. Nem lehetetlen, hogy ahol az egyik megbukik, ott a másik még állja a sarat. Az IT biztonság esetében is igaz a több lábon állás hatékonysága.

Nagyobb mennyiségű munkaállomás és szerver esetén érdemes olyan végpontvédelmi megoldást választani, ami központi menedzsment és riportolási funkciókkal rendelkezik. Így könnyebben elvégezhetők rendszeres karbantartások, licensz frissítések, és emellett mindig pontos képet kaphatunk az egyes kliens számítógépek biztonsági szintjéről.

Az informatikai biztonság nem merül ki a vírusirtó telepítésében. Az csak egy része annak a védelmi láncnak, amire, csak úgy, mint bármilyen összetett rendszerre érvényes a „leggyengébb láncszem” elve.

Nézzük a többi IT biztonsági láncszemet is….

Rendszeres biztonsági frissítések telepítése

A laptop tulajdonosok népszerű időtöltése volt régen (a Windows XP és Windows 7 idejében) a frissítések letiltása, megelőzendő a tárgyalások előtti kényszerű 20-30 perces „bocs frissítéseket telepít a laptopom” nevű előjátékot. A Windows 10 óta egyrészt ezek a frissítések kevésbé bosszantóak, másrészt nem nagyon lehet őket letiltani. Annak idején ez szakmai körökben is kisebb felhördülést váltott ki. Mára viszont már mindenki hozzászokott – és valljuk be, az otthoni, és kisvállalati IT biztonság szempontjából elég jelentős előrelépés.
Az ismert, de időben ki nem javított biztonsági sérülékenységek jelentik egy informatikai infrastruktúrában a legnagyobb kockázatot. A kliens számítógépek automatikus biztonsági javításai ezt a kockázatot jelentősen csökkentik.
Kövessünk szervereink és egyéb hálózati eszközeink esetén is hasonló gyakorlatot. Ahol van rá lehetőség, ott állítsuk be a frissítések automatikus telepítését. Ahol ez nem lehetséges, vagy bármilyen okból nem szeretnénk, ott legalább havonta legyen telepítve az összes aktuális biztonsági frissítés. Rendszeresen ellenőrizzük a routerek, wifi hozzáférési pontok (AP), hálózati nyomtatók, multifunkciós eszközök szoftvereit, és frissítsük őket amennyiben van újabb verzió.
Igen, a nyomtatókat is. Elsőre talán viccesnek hangzik, de tulajdonképpen a hálózati nyomtató is egy szerver. Pontosan ugyanaz az operációs rendszer fut benne, mint a routereink vagy szervereink egy részében – ennél fogva pontosan ugyanannyira sérülékeny. De mégis mit lehet kezdeni egy feltört nyomtatóval, talán kifogyasztják belőle a festéket és a lapokat?
Nem teljesen – némileg megbuherálva kiválóan lehet jelszavak lopására, a hálózat feltérképezésére, vagy csak úgy simán kiskapuként használni a belső hálózatunkhoz. Egyszóval, frissítsük őket is rendszeresen. Erre az IT biztonsági résekre sokan nem figyelnek oda.

Jogosultság és jelszó kezelés

Erről a témáról külön könyveket szoktak írni az IT biztonsági szakértők. Mi most csak pár alapvető elvet ismertetünk, ömlesztve, felsorolás jelleggel:

Az egyes eszközök gyári jelszavát mindig változtassuk meg, jelszó nélkül ne hagyjunk semmilyen irodai eszközt, routert. (Az „123456” sem számít jó jelszónak.)

Irodai dolgozóknak semmi szüksége rendszergazdai jogosultság a saját gépükre sem. Hogy akkor nem tud feltelepíteni magának semmit? De hát miért is akarna?

A fájlszerveren megosztott mappák esetén mindenkinek csak azokhoz legyen jogosultsága, ami a munkájához kell. Ha például a mérnökök nem számláznak, akkor miért kellene hozzáférniük a számlázási dokumentumokhoz?

Soha ne használjuk ugyanazt a jelszót mindenhová – főleg ne internetes szolgáltatásokhoz. A rengeteg jelszót természetesen nem lehet ép ésszel megjegyezni – használjunk jelszó kezelő programokat.

Közösen használt jelszavak esetén felejtsük el a szöveges és excel fájlokat. A jelszókezelők titkosítva tárolják a jelszavakat, így azok akkor sincsenek veszélyben, ha véletlenül hozzájuk fér valamilyen kártékony program. Léteznek több felhasználó által használható online jelszókezelő szolgáltatások (Lastpass, 1Password, stb.), vagy helyi szerverre telepíthetők (pl. TeamPasswordManager). A szöveges fájloknál még az a módszer is jobb, hogy ha a megosztott mappában tárolunk egy KeePass-t aminek mindenki ismeri a jelszavát.

Megkövetelhetünk hosszú, és bonyolult jelszavakat. Kicsi és nagy betűk kombinációját, mindenféle kimondhatatlan krikszkraksz karakterekkel (pl.: „Amk8%grB!2$s”). Mindezt megbolondíthatjuk 30 naponkénti kötelező jelszócserével – de ettől a kollégák is megbolondulnak, ami már középtávon is kontraproduktív.

Újabb kutatások (https://www.sans.org/blog/time-for-password-expiration-to-die/)  szerint sokkal biztonságosabb, ha nincs folyamatos jelszóváltoztatási kényszer. Hosszú, ám viszonylag könnyen megjegyezhető jelszavakat használunk (pl: „LilaBetonPolip!”)

Ahol csak lehet használjunk kétfaktoros hitelesítés. Fokozottan igaz ez olyan hozzáférések esetén, ahol valamilyen emelt szintű jogosultsága van az adott fióknak. Ma már gyakorlatilag bármilyen alkalmazást el lehet látni több faktoros hitelesítéssel – akár még saját házon belüli fejlesztést is.

Oktatás

A technikai védelmi megoldások nem jelentenek 100%-os védelmet, ezért fontos az alkalmazottak IT biztonsági tudatosságának fejlesztése. Ez nem olyan dolog, hogy elküldjük a kollégákat egy tanfolyamra, ahonnan kikerülve 2 hét alatt kibervédelmi szakemberekké válnak. Ez egy folyamat, ami során a kollégák megismerik, hogy milyen valós veszélyekkel találkozhatnak munkájuk során, és hogyan kell kezelni az IT biztonsági kérdéseket.
Vannak ugyan vállalkozások, akik tartanak biztonság tudatossági felméréseket és testre szabott képzéseket. Az interneten is rengeteg ingyenes anyag áll rendelkezésre, ami alapján összeállíthatunk saját környezetünkre szabott oktatóanyagokat.  Vannak különféle tesztek, amivel felmérhető az egyének felkészültségi szintje.
A biztonság tudatosság fejlesztése olyan dolog, amit kicsiben is el lehet kezdeni, akár csak annyival is, hogy mondjuk kötelezővé tesszük a pénzügyes kollégának, ha egy partnertől megváltozott bankszámlaszámról kap e-mailben értesítést, akkor hívja fel az általa ismert (és nem az emailben levő) telefonszámon ellenőrzésképpen.
Ez egy  folyamat, ami eredményes akkor lehet, ha rendszeres időnként (fél évente, negyed évente) tartunk valamilyen formában oktatást, tájékoztatást.

Hardening

Hardeningnek hívják azt az eljárást, amikor valamilyen informatikai biztonsági szabvány, vagy ajánlás alapján az eszközök, számítógépek, szerverek alapértelmezett beállításait módosítják, úgy, hogy azok biztonságosabbak legyenek.
Vannak olyan gazdasági területek, ahol kötelező jelleggel előírják az alkalmazandó biztonsági szabványokat. Ilyen pl. bankkártyákkal kapcsolatos szolgáltatás esetén a PCI DSS.
Akik IT biztonság területen tevékenykednek vélhetően ismerik ezeket a szabványokat – ez az írás nem nekik szól.
Ha ránk nem is vonatkozik kötelező jelleggel egy informatikai biztonsági szabvány sem, azért önként még használhatjuk őket.
Igen népszerű a CIS (Center for Internet Security) nevű szervezet által kidolgozott ajánlások (úgynevezett benchmarkok) gyűjteménye. Ezek olyan dokumentumok, amik a legelterjedtebb operációs rendszerek, tűzfalak, hálózati eszközök stb. IT biztonság szempontból javasolt beállításait tartalmazzák. Ami a legjobb, hogy ezek ingyenesen letölthetők a https://learn.cisecurity.org/benchmarks oldalon. Eredményes és hatékony használatuk komolyabb informatikai felkészültséget igényel, ezért használatát célszerű a vállalkozás IT támogató csapatával közösen kidolgozni és implementálni.

Hálózat és tűzfal

Már egy 30-40 fős irodai hálózatra is számos szerver, hálózati eszköz, vendég wifi, esetleg beléptető rendszer vagy biztonsági kamera csatlakozik. A biztonságos hálózat alapja, hogy a logikailag szétválasztható funkciókat fizikailag is válasszuk szét.
Az irodai dolgozók fájlszerver elérésre használt hálózatát lehetőleg különítsük el a szerverek üzemeltetéséhez használt adminisztratív hálózattól. A biztonsági kamerák rögzítője se legyen a vendég wifi hálózatra, vagy az irodai hálózatra csatlakoztatva. Az egyes hálózatok között minimum csomagszűrő tűzfal szabályozza, hogy ki mit érhet el az egyik hálózatból a másikban. Egy IT biztonsági esemény (mondjuk egy elszabadult vírus) során fontos, hogy minél kisebb területre terjedjen ki a károkozás. Egy hatékony hálózati felosztás segít lassítani egy vírus terjedését – adott esetben meg is tudja akadályozni a teljes hálózatra kiterjedő pusztítást.

 

Biztonsági mentések

Biztonsági mentést évek óta már a telefonunk tartalmáról is készítünk, nem kérdés hát, hogy az üzleti adatainkat menteni kell -e vagy sem. Az már annál inkább kérdés, hogy hogyan.
Ha csak arra gondolunk, hogy a biztonsági mentés megvéd a véletlenül letörölt fájlok, vagy tönkrement merevlemez okozta adatvesztéstől, akkor arra gondolhatunk, hogy elég egy USB adathordozót csatlakoztatni a szerverre, és arra is készítünk egy másolatot. Ez IT biztonság szempontjából azonban nem elegendő.
Ha arra is gondolunk, hogy adott esetben egy rosszindulatú vírus direkt törli vagy titkosítja az adatainkat, akkor már azon is elgondolkozhatunk, hogy vajon megelégszik -e az a vírus a szerver diszkjén tárolt fájlok törlésével, vagy ne adj isten az USB-re mentett adatokat is törölni fogja? Azt hiszem nem árulunk el nagy titkot, ha kijelentjük, azt is törölni fogja. Hasonló a helyzet, ha betörés, vagy irodai tűz áldozatává válik a szerverünk – bár a szomorú helyzet az, egy zsaroló vírus okozta adatvesztésnek nagyobb az esélye, mint az utóbbiak bármelyikének. A biztonsági mentési megoldások hatékonyságát aszerint mérik, hogy visszaállítható -e belőle a mentett adat, vagy sem.

A hatékony biztonsági mentés stratégia a 3-2-1 szabály szerint

3: Legalább 3 példány legyen az adatokból: az eredeti, és két mentés

2: legalább 2 különféle adathordozó típuson legyen a mentés. Pl. egy lokális diszken, egy pedig szalagon, vagy egy felhős tárhelyen.

1: legalább 1 mentés a mentett adattól eltérő fizikai helyen legyen, például másik telephelyen, vagy felhős tárhelyen.

Nagyon fontos, hogy rendszeresen teszteljük a biztonsági mentések visszaállíthatóságát. Az optimális az lenne, ha havonta mentésből visszaállítjuk a legfontosabb adatainkat, és ellenőrizzük, hogy valóban használhatók -e. De már azzal is beljebb vagyunk, ha fél évente, vagy évente megtesszük. Egy ilyen visszaállítási teszt már csak azért is hasznos, mert tudni fogjuk, hogy ha adatvesztés van, és mentésből kell helyreállni, akkor minimum mennyi ideig fog kiesni az az üzleti folyamat, aminek szüksége lenne az érintett adatokra.

Menedzselhető hálózati eszközök esetén, amik erre lehetőséget adnak, az eszközök konfigurációs állománya rendszeresen legyen letöltve, és a többi adattal együtt mentve.

Dokumentáció

A naprakész dokumentáció a legkisebb hálózatok esetén is nagyon fontos. Egy-egy meghibásodás vagy IT biztonsági incidens esetén akár órákat lehet spórolni a helyreállításhoz szükséges időn, ha rendben van tartva a papírmunka. Egy-egy hálózati fejlesztéskor, módosításkor is jóval kisebb a hibalehetőség ha a hálózat minden eleme rendesen dokumentálva van.

A dokumentáció nem egyenlő a leltárral, hanem kiegészíti azt.
Egy jó dokumentációnak minimum a következőket kell tartalmaznia:

• Hálózati adatok: IP címtartományok, DNS szererek, DHCP szerverek, routerek címe
• Hálózati eszközök típusa, IP címe
• Szerverek típusa, neve, IP címe, funkciója
• Mentések helye, és elérhetősége, valamint a mentések visszaállításához szükséges lépések.
• A vállalkozás által használt szoftverek listája, és azok működéséhez szükséges hálózati és szerver elemek. (pl. melyiknek hol van az adatbázisa stb.)
• Opcionálisan hálózati topológia rajza – amennyiben egynél több hálózat van.

A dokumentációt érdemes évente legalább egyszer tételesen felülvizsgálni, és az esetleges eltéréseket kijavítani. IT biztonság szempontjából ez alapkövetelmény sok helyen.

IT felügyeleti rendszer

Nagyon fontos, hogy hálózatunk állapotáról naprakész (vagy inkább „percre kész”) információkkal rendelkezzünk. Sok eszköz képes probléma esetén email küldésére, de mi van akkor, hogy ha a meghibásodás miatt már az emailt sem tudja kiküldeni?
A hálózat aktív monitorozása arra dedikált felügyeleti eszközzel elengedhetetlen része egy modern és biztonságos IT rendszernek. Kis hálózatok esetén, ahol csak 1-2 aktív eszköz van, ott külső monitoring szolgáltatásra érdemes előfizetni. Ez amellett, hogy bizonyos meghibásodásokat előre is jelezhet, megfelelően alkalmazva képes lehet a nem kívánt tevékenységeket is jelezni.

 A legtöbb IT támogatással foglalkozó vállalkozás használ saját monitoring eszközt, érdemes ilyenekkel leszerződni rendszergazdai feladatok ellátására.
Ha vállalkozásunkban legalább 15-20 menedzselhető eszköz (szerverek, switchek, multifunkciós eszközök, routerek stb) van akkor megfontolhatjuk a saját menedzsment szerver üzemeltetését. Ez rugalmasabb és jobban testre szabható megoldást kínál, és a költségei sem feltétlenül eget verőek. Az IT biztonság dinamikusabban változik, mint a legtöbb ágazati fejlesztés. Erre mindig nagy figyelmet kell szentelni, mert mindenki a megelőzéssel jár a legjobban.