Öt jó tanács, hogy ne juss a Sony sorsára

Öt jó tanács, hogy ne juss a Sony sorsára

Számítógépes kalózok törtek be a napokban az egyik legnagyobb amerikai társadalombiztosító informatikai rendszerébe, és jelentős mennyiségű ügyféladathoz fértek hozzá. Ez is és a tavalyi legnagyobb ügyféladat-lopási esetek is azt mutatják, hogy a nagy cégek képtelenek megvédeni személyes adatainkat. Pedig a támadások módszerei ismertek, és a védekezés sem reménytelen.

Sajtókapcsolatok

KPMG Hungária Kft.

Kapcsolat

További tartalmak

Még nem tudni, hány ügyfél adatait szerezte meg pár napja az a hackercsoport, amelyik betört az egyik legnagyobb amerikai társadalombiztosító rendszerébe, és onnan ügyféladatokat szerzett meg. Az Anthem biztosító tájékoztatása szerint hitelkártyaadatokhoz és kórtörténetekhez nem fértek hozzá, de nevekhez, születési dátumokhoz, lakcímekhez, tb-számokhoz és e-mail címekhez igen.

„Az embernek olyan érzése van néha, mintha az információbiztonsági szakma süket füleknek beszélne” – mondja Sallai György, a KPMG információbiztonsági igazgatója. Jól ismert, ezerszer leírt hibák vezetnek oda, hogy évente több százmillió felhasználó adatai kerülnek illetéktelen kezekbe. „Elég megnézni a tavalyi év legnagyobb adatlopási ügyeit, és máris látjuk, hogy ezek olyan cégeknél történtek, amelyekről tudható, hogy kitettek a támadásoknak, hiszen a kibertérben támadott információk 96 százaléka pontosan az, amit ők is kezelnek: felhasználók személyes adatai” – mondja a KPMG igazgatója.

Az Egyesült Államok egyik legnagyobb kórház-üzemeltető cégétől, a CHS-től (Community Health System) 4,5 millió felhasználó adatait szerezték meg tavaly kínai hackerek, a Home Depot-t pedig 56 millió bankkártya adataitól szabadították meg beszállítói. A JPMorgan Chase 76 millió ügyfél személyes adatát vesztette el, a Target üzletlánctól 110 millió bankkártya adatai szivárogtak ki. Az eBay ügyét még vizsgálják a hatóságok, de az érintett felhasználók száma eléri a 145 milliót. Sallai György szerint a hab a tortán a Sony elleni év végi támadás volt, amelyben az ügy veszteseinek száma még ismeretlen, de feltehetőleg nagyobb az összes többinél.

A KPMG igazgatója szerint mind a hat támadás klasszikusnak nevezhető módszerrel történt: biztonsági rést kihasználó hackerbehatolás, emberi tényezőket kihasználó social engineering vagy harmadik féltől – tipikusan beszállítótól – induló behatolás. Nincs tehát új a nap alatt, a cégek, cégvezetők azonban, úgy tűnik, még mindig nem készültek fel eléggé ezekre a támadásokra. Pedig a fenti nagy horderejű incidensek esetében az adatvesztés az érintett vezetők karrierjébe került, és volt, ahol ez nemcsak az informatikai főnököt érintette, de a vezérigazgatót is.

Mire kell tehát figyelnie egy cégvezetőnek, ha nem akar hasonló sorsra jutni? Sallai György szerint nem olyan bonyolult a dolog. Öt alapszabályt kell betartani, és máris jelentősen csökkenthetjük a hasonló támadások kockázatát.

1) Fenyegetettségek hierarchikus kezelése
Nem elegendő, ha az IT-szakemberek technikai eszközökkel harcolnak a rendszer sérülékenységei ellen. A Target üzletlánc példája azt mutatja, hogy a szervezet minden szintjén megfelelő szerepet kell kapnia a kockázatkezelésnek. Egy biztonsági szabály figyelmen kívül hagyása, egy olcsó beszállító bevonása vagy egy belső ellenőrzési jelentés alulértékelése mind gyors üzleti eredménnyel kecsegteti az adott szintű vezetőt, aki éppen ezért nem maradhat ki a kockázatkezelés látóköréből. A szervezeti hierarchia helyes megválasztása fontos szempont, éppen úgy mint az, hogy a védelmi intézkedések áthassák a szervezetet egészét.

2) Munkavállalók biztonságtudatos képzése
Az adatvesztések második leggyakoribb oka humán kockázatra vezethető vissza. Az eBay-nél a munkatársak belépési adatait ellopva jutottak a hackerek az értékes ügyféladatokhoz. Ezt akár egy olyan költségkímélő biztonsági tréninggel is meg lehetett volna akadályozni, amelyik nyomatékosan felhívja a dolgozók figyelmét a „Password1234” jelszó használatának veszélyeire és a post-it cédulákra írt jelszavak kockázatára. Ha az adott szervezet nem látja az előtte álló kockázatok erdejét, social engineering vizsgálattal feltárhatja a neuralgikus pontokat.

3) Beszállítók monitorozása
Mint azt a Home Depot és a Target példája mutatja, az egyik legnagyobb biztonsági kockázat a beszállító, amellyel számítógépen kommunikálunk. Az üzleti racionalitás érdekében beszállítók egész sora fér hozzá felhasználói vagy üzletileg érzékeny adatokhoz. Éppen ezért vizsgálni kell, hogy a beszállítók milyen rendszerekhez, adatokhoz és munkafolyamatokhoz férnek hozzá, és az adott hozzáférés valóban szükséges-e a munkavégzéshez. És ne feledjük: attól, hogy valaki takarít, még nem biztos, hogy nem tud kimásolni egy merevlemezt.

4) Biztonsági szabályok alkalmazása
Itt lényegesen többről van szó, mint a szabályok kialakítása. A gyakorlati alkalmazáson, betartatáson van a hangsúly, mint azt a JPMorgan Chase szakemberei is megtanulhatták. Minden szabály annyit ér, amennyire komolyan veszik. A legkisebb változtatás kockázatait is mérlegelni kell, és a szabályok alkalmazását minden esetben, kockázatarányos módon, ki kell kényszeríteni.

5) Sérülékenységek rendszeres ellenőrzése
A rendszeres ellenőrzés a leghatékonyabb módja a külső támadások megakasztásának. Csakhogy nem elég egy rendszer gyenge pontjait a bevezetése pillanatában vizsgálni, sőt még az éves felülvizsgálat is kevésnek bizonyulhat, ha a rendszerekben sűrűn történik változás. A vizsgálatok tervezésénél fontos szempont a proaktivitás. Minden változás alkalmával érdemes a változással járó kockázatokat előre számba venni, és felkészülni az adott kockázat kezelésére. A sérülékenységek túlnyomó többsége már a tervezési, fejlesztési szakaszban látszik. Helyes szabályok, rutinok, kockázatelemzés alkalmazásával még a rendszer elkészülte előtt láthatóvá válnak a gyenge pontok.


A tapasztalat azt mutatja, hogy a magánemberek sem igazán foglalkoznak személyes adataik védelmével, holott egyre többször szembesülhetnek azzal, hogy felhőben tárolt adataik nincsenek biztonságban. Csak tavaly 5 millió jelszót loptak el a Google-tól, 2 millió Facebook-jelszó jutott hackerek kezébe, és 7 millió Dropbox-profilt törtek fel – mégsem merné senki sem állítani, hogy a felhasználók ettől óvatosabbak lettek, és kevesebb személyes, netán intim adatot töltenének fel ezekre a helyekre. A felhasználók felelőtlensége persze nem mentesíti az adataikat kezelő cégeket a gondos őrzés felelőssége alól.


További információk:
Máté Dániel Kovács Krisztina
stratégiai igazgató sajtókapcsolatok
Issues Management Tanácsadó Kft. KPMG
Tel: +36 1 328 0680 Tel: +36 1 887 6676
mate.daniel@issues.hu krisztina2.kovacs@kpmg.hu

A KPMG könyvvizsgálati, adó- és üzleti tanácsadási szolgáltatásokat nyújtó társaságok globális hálózata. Tagtársaságaink 155 országban működnek és több mint 162 000 szakembert foglalkoztatnak világszerte. A KPMG-hálózat független tagtársaságai a KPMG International Cooperative-hez, a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódnak. A KPMG tagtársaságai jogilag egymástól független, önálló szervezetek, és ennek megfelelően járnak el.

A KPMG Magyarországon 750 munkatársat foglalkoztat – a KPMG Hungária Kft. könyvvizsgálati szolgáltatásokat, míg a KPMG Tanácsadó Kft. széles körű adó- és üzleti tanácsadási szolgáltatásokat kínál magyar és multinacionális társaságok, kormányzati szervek, valamint külföldi befektetők számára.

© 2015 KPMG Tanácsadó Kft., a magyar jog alapján bejegyzett korlátolt felelősségű társaság. Minden jog fenntartva.

Az itt megjelölt információk tájékoztató jellegűek, és nem vonatkoznak valamely meghatározott természetes vagy jogi személy, illetve jogi személyiség nélküli szervezet körülményeire. Társaságunk ugyan törekszik pontos és időszerű információkat közölni, ennek ellenére nem vállal felelősséget a közölt információk jelenlegi vagy jövőbeli hatályosságáért. Társaságunk nem vállal felelősséget az olyan tevékenységből eredő károkért, amelyek az itt közölt információk felhasználásából erednek, és nélkülözik társaságunknak az adott esetre vonatkozó teljes körű vizsgálatát és az azon alapuló megfelelő szaktanácsadást.

Kapcsolat

 

Ajánlatkérés

 

Tovább

Új KPMG weboldal

Megújult honlapunkon könnyebb megtalálni a tartalmakat, egyszerűbb navigálni, és mostantól a mobilböngészőkön is működik.

 
Tovább