Kiberbiztonság nem létezik, ha bénák az alkalmazottak

Kilencezer nemzetbiztonsági alkalmazott nevét, telefonszámát és más személyes adatát töltötte fel a netre egy amerikai hacker, miután a Super Bowl ideje alatt a social engeneering legegyszerűbb módszerével szerzett hozzáférést a drága szoftver- és hardvereszközökkel védett amerikai hivatalok rendszereihez. A támadó azt állítja, további 20 ezer FBI-alkalmazott adatait is megszerezte, és azokat is hamarosan közzéteszi. Erről szóló posztjában az is szerepel, hogy 200 gigabájtnyi nemzetbiztonsági adatot töltött le, pedig az akció alatt 1 terabájthoz volt hozzáférése.

Egyszerűen – mindig az a legjobb

A hacker előbb feltört egy e-mail fiókot, azután betelefonált a hivatalba azzal, hogy új felhasználóként elakadt, és nem tud továbblépni a rendszerben. A megkeresett alkalmazott ekkor megkérdezte, van-e kódja, a nemleges választ követően pedig megadta a sajátját. A támadó ezután belépett a rendszerbe, és a már meghackelt e-mail fiókon keresztül hozzáférést szerzett egy hálózatra kötött működő géphez, ahonnan belépett az intranetre.

„Ez egészen egyszerűen hihetetlen, ám a jelek szerint mégis igaz” – nyilatkozta a történteket kommentálva Sallai György, a KPMG információbiztonsági tanácsadásért felelős igazgatója. „A világ legdrágább védelmi rendszere sem sebezhetetlen, ha az alkalmazottak egyszerűen dilettánsak. Nagyon kíváncsi lennék, hogy az illető megadta volna-e a saját bankjától a tokenjére érkező jelszót, ha valaki felhívja. Talán igen, de nagyobb a valószínűsége annak, hogy nem: ez pedig kiválóan mutatja, hogy alkalmazottként milyen felelőtlenek tudnak lenni az emberek.”

Csak komplex megoldások léteznek

Sallai szerint minden informatikai rendszer annyit ér, amennyit a hozzá kapcsolódó szabályzatból az emberek betartanak. Ehhez folyamatos képzés és az egész intézményrendszer minden szintjét átható fenyegetettségtudat szükséges. A szakértő arra figyelmeztet, hogy a social engeneering módszerekkel szemben a legjobb szoftveres és hardveres védelem is kevés, sőt minél drágább és ismertebb a védelmi rendszer, annál könnyelműbbé teheti az alkalmazottakat: „Ráadásul olyan ez, mint a kiemelt személyek biztonsági védelme vagy a tűzriadók: ha nem tesztelik olykor a működésüket, egy idő után sokkal támadhatóbb lesz a célszemély, vagy nagyobb az emberveszteség.” Sallai György szerint az információbiztonság érdekében a különböző hardveres és szoftveres megoldások mellett öt további intézkedés megkerülhetetlen: a fenyegetettségek hierarchikus kezelése, a munkavállalók képzése, a beszállítók monitorozása, biztonsági szabályok alkalmazása, illetve a sérülékenységek rendszeres ellenőrzése.

Azóta történt

Előzmények