Egészen megdöbbentő adatokkal szolgált egy friss hazai kutatás: eszerint a mikro-, kis- és közepes vállalkozások úgy vélik, mindent megtesznek adataik védelmében, pedig valójában még a hozzájuk vezető ajtókat sem zárják kulcsra.
“Mindenkire ugyanúgy záporoznak a nyílvesszők, de a legtöbben azért nem védekeznek ellenük, mert nem is látják őket” – ezzel a példával érzékeltette a magyar kis- és közepes vállalkozások informatikai biztonságát Iski István, a Telekom kis-és középvállalkozásokkal foglalkozó területének igazgatója. Vele egy meglepő eredményeket mutató felmérés kapcsán beszélgettünk, amelyet a vállalat megbízásából a BellResearch végzett. Ebből leginkább az derül ki, hogy a cégek komoly hányada úgy gondolja, hogy az évek, vagy akár évtizedek óta bevett gyakorlat (vírusirtók és tűzfalak használata, és a számítógépek alapvető védelme) tökéletesen elegendő ahhoz, hogy adataikat és működésüket biztonságban tudják. De még azok, akik valamennyire tájékozottak is a veszélyforrásokkal kapcsolatban, gyakran túlbecsülik saját védelmi vonalaikat.
A megkérdezett cégek kétharmada szerint elegendő, ha eszközeiket biztonsági szoftverekkel védik vagy épp időnként mentést készítenek fájljaikról, levelezésükről. Ugyanennyien gondolják úgy, hogy cégük túl “kis hal” ahhoz, hogy támadás érje őket, 70 százalékuk pedig arról is meg van győződve, hogy nem kezelnek olyan adatokat, amelyeket védeni kellene. Még többen (80 százalék) látják úgy, hogy ha valamilyen incidens történne, könnyen pótolhatnák elveszett adataikat. Ez nem csak azt mutatja, hogy alábecsülik a biztonsági kockázat mértékét, de úgy vélik, ha mégis célponttá válnak, akkor sem éri őket nagy kár. És ez nagy kár.
Elavult gondolkodás, elavult módszerek
“Mi, akik informatikával, távközléssel foglalkozunk, hajlamosak vagyunk úgy látni, hogy valóban tele vannak a hírek az IT-biztonsággal kapcsolatos új fenyegetésekkel és ezért érezzük is a téma súlyát. A felmérés azonban pont azért mutathat számunkra ilyen sokkoló arányokat, mert bőven vannak olyan területek és tevékenységi körök, ahol a vállalkozások nem foglalkoznak az alapszintnél mélyebben számítástechnikai kérdésekkel.” – magyarázza Iski István. “Egy virágbolt vagy egy kis építőipari vállalkozás sokszor csak a legalapvetőbb feladatokat végzi számítógépen és interneten, tehát például a levelezést, vagy valami nagyon egyszerű adatnyilvántartást Word és Excel fájlokkal – ráadásul gyakran saját feladataik elvégzése mellett nincs is idejük, energiájuk másra. Ha hallanak is valamit a biztonsági kockázatokról, könnyen letudhatják a dolgot azzal, hogy ez az informatikai cégeket érintő probléma, de ha foglalkoznak is vele, valóban megelégszenek azzal, hogy telepítenek egy egyszerű vírusirtót.”
Ha nem egy több részleggel, sok munkatárssal dolgozó vállalatot, hanem egy kisebb vállalkozást nézünk, gyakran nincs is kifejezetten IT-re specializálódott kolléga, ezért ilyenkor az ügyvezetők szintjén dől el, mennyire foglalkoznak a biztonság kérdésével – bizony, sokszor legfeljebb akkor tesznek valamit, ha a baráti körükben valaki bedől egy trükkös e-mailnek, vagy esetleg zsarolóvírus áldozata lesz.
“Egyértelműen látható, hogy a működési terület mellett a cégek mérete szerint is változik a tudatosság mértéke, hiszen egy nagyobb vállalkozásnál már van kijelölt ember erre a területre, vagy legalábbis több kollégából nagyobb eséllyel van tisztában valaki a veszélyekkel. Emellett persze a nagyobb cégeknél gyakrabban engedi meg a költségvetés azt, hogy a működés megtervezésekor az internetes támadásokra is gondoljanak és beruházzanak valamilyen védelemre.”
Nem félnek a farkastól
A felmérés eredményei arra is rámutatnak, hogy a vállalkozások vezetőinek jó része tényleg úgy gondolja, hogy a náluk tárolt és kezelt adatok nem elég jelentősek vagy fontosak ahhoz, hogy bárki megpróbálja megszerezni őket. “Egyszerűen nem látják azt, hogy már egy pár fős cég, vagy akár egy mikrovállalkozás működése közben is keletkeznek olyan adatok, amelyek eltulajdonítása vagy elérhetetlenné tétele komoly károkat okozhat. Szinte biztos, hogy egy céges laptopon ott vannak a netbank adatai, vagy épp olyan ügyféllisták, partneri e-mail címek, amelyek illetéktelenek számára sokat érhetnek.”
Ha pedig valaki bejut az érzékeny adatokig, nem csak a közvetlen károkra érdemes gondolni. “Természetesen nagyon fájó lehet például a banki adatok kiszivárgása, de arra még kevesebben gondolnak, hogy komoly üzleti veszteségeket is okozhat egy efféle incidens. Könnyen hitelét veszítheti például az a cég, akinek a nevében netes csalók küldözgetnek megtévesztő leveleket, de olyan példát is láttunk, amikor egy vállalkozás csak hosszabb idő elteltével vette észre, hogy baj van. Csak annyit láttak, hogy egy ideje elapadtak a hozzájuk érkező megrendelések, és a helyzetet megvizsgálva jöttek rá, hogy valakik egy zombihálózatba sorolták be a gépeiket, amelyek erőforrásait így a tulajdonosok helyett a támadók használták.”
A biztonság egyik legfontosabb alapeleme Iski István szerint is a tudatosság. “Még mindig túl sokan vannak, akik csak akkor ébrednek rá a védekezés fontosságára, ha jobb esetben egy ismerősükkel történik valami, vagy rosszabb esetben a saját céges gépeiket, hálózatukat érik el illetéktelenek. A Telekomnál ezért is az egyik legfontosabb küldetésünk, hogy azokat a vállalkozásokat, amelyeknek amúgy is egyre jobban igyekszünk hangsúlyozni a digitalizáció előnyeit, egyben felkészítsük arra is, hogy az internetes világban milyen veszélyekre kell felkészülniük és hogyan háríthatják el azokat. A Hello Biznisz portálunkon és a hozzá kapcsolódó közösségi felületeken ezért ezekkel a kérdésekkel kapcsolatban is gyakran publikálunk tanácsokat, de akár mások tapasztalatait és stratégiáit is.”
Az edukáció már csak azért is fontos, mert a támadások sokat finomodtak, és egyre többféle lett belőlük az elmúlt évtizedek, de akár az elmúlt pár év alatt is. Tehát hiába gondolja valaki, hogy őt már bizony nem lehet átverni a “száműzött nigériai herceg” jellegű e-mailekkel, könnyen becsaphatják valami újabb módszerrel. “Manapság már például a banki vagy valamilyen közműszolgáltatói e-mailekhez és weboldalakhoz megtévesztően hasonlót tudnak előállítani a támadók, és ha a megbízható intézmény logójával, színeivel, dizájnjával ellátott levelekben kérnek befizetést, vagy épp a jelszavaik módosítását, sokszor már túl későn veszik észre a csalást. Ugyanígy az egyéb, emberi hiszékenységre vagy nemtörődömségre építő átverős módszerek is terjednek, például az, amikor egy munkatárs a főnöke nevében kap egy üzenetet, hogy most nem tud beszélni, de ebben a formában kéri, hogy sürgősen utaljon át egy megadott összeget egy számlaszámra. Természetesen itt is az kell a csalás kivitelezéséhez, hogy előtte a bűnözők megszerezzék a célba vett kolléga és persze a főnök telefonszámát is.”
Automata stoptábla átverések ellen
Épp az adathalászat egyre kiterjedtebb előfordulása, valamint a gyakran tájékozatlan cégek és cégvezetők miatt döntött úgy a Telekom, hogy a közelmúltban bevezetett Üzleti Net csomagjaiba külön költség nélkül elérhető, valós idejű védelmi szolgáltatást épít be. “A Cisco Umbrella szolgáltatása pont a leginkább veszélyeztetett csoportok, a mikro-, kis- és közepes méretű vállalkozások számára jelenthet könnyebbséget, hiszen mindenféle telepítés és egyéb beállítás nélkül segít elkerülni a csaló weboldalakat, a magukat ismert intézményeknek álcázó helyeket. Egy folyamatosan frissített internetes nemzetközi adatbázisból dolgozik, és lényegében egy azonnali stoptáblaként lehet elképzelni.”
Amikor valaki egy átverős levélből vagy bármilyen más forrásból egy csaló oldal címére kattint, a böngészőben megjelenik egy figyelmeztetés, amely tájékoztatja a felhasználót arról, hogy egy közismert, korábban már mások által is felismert és lebuktatott károkozó webhelyre próbál csatlakozni, ezért inkább ne menjen tovább. “A Telekom Hello Biznisz által felvállalt edukáció és az adathalász oldalakat leleplező szolgáltatásunk is arra szolgál, hogy a korábban említett analógiához visszatérve megmutassa mindenkinek: igenis olyan mezőn haladnak, amelyre bizony sűrű nyílzápor céloz. Ezeket könnyű elkerülni akkor, ha tudunk a nyilakról és megtesszük a szükséges védekező lépéseket, de egy dolgot biztosan nem szabad tenni még a legkisebbeknek sem: figyelmen kívül hagyni a nyilakat, vagy akár észre sem venni őket.”