A BDO Magyarország 2011-ben is számos hazai IT-infrastruktúra átfogó belső és külső adatbiztonsági vizsgálatát végezte el kórházi hálózatoktól, közműcégeken keresztül, komplex kereskedelmi rendszerekig. A vizsgálatok alapvető tapasztalata az volt, hogy az általános hazai kibervédelem már közepes informatikai felkészültség mellett is kijátszható. A szakemberek szinte minden esetben 1-2 nap alatt triviális adatbiztonsági hibák kihasználásával hozzáférést tudtak szerezni teljes rendszerekhez.
A hibák detektálása önmagában nem elegendő, azokat gyorsan ki is kell küszöbölni. A BDO IT Megoldások üzletágának ezzel kapcsolatban is negatívak a tapasztalatai. A cég az auditok során például feltárt egy olyan komoly védelmi hibát egy, a hazai bankok többsége által használt home banking rendszerben, amelyet már 2001-ben, tehát több mint tíz éve beazonosítottak.
- Húsvéti támadást indított az Anonymous csoport
- A hackerek is hazánkra figyelnek
Csak a törvényi kötelezés az igazán hatékony
Miközben a szervezetek éves szinten a fizikai biztonságra több tízmillió forintot is elköltenek, aközben adatbiztonságra sokszor 1-2 millió forintot sem szívesen áldoznak. Persze az sem mellékes, hogy ezen belül mire költik a pénzt. Gyakran ugyanis a legkorszerűbb rendszerek beszerzése sem elegendő, ha azok nincsenek megfelelően testre szabva, üzemeltetésük és beállításuk hiányos vagy elhanyagolt.
Kulcsfontosságú a folyamatos tesztelés
A védelem egyik legfontosabb eleme a folyamatos tesztelés. A rendszert felépítő és üzemeltető belső szakemberek óhatatlanul csak korlátozottan tudják objektíven, külső szemmel felmérni a rendszerekre leselkedő veszélyeket. Az ügyfelek megbízásából betörési teszteket végző etikus hackerek képesek lehetnek arra, hogy feltárják az adott hálózatok gyenge pontjait. „Ahogy nincs feltörhetetlen lakás, úgy nincs feltörhetetlen informatikai rendszer sem. Ám itt is érvényesül az az elv miszerint, ha a betörő nem egy adott zsákmányra tör, akkor nagy eséllyel az alacsonyabb szintű védelmet próbálja majd kijátszani” – mondta Török Szilárd.
Az adatlopás elleni védekezés alapvető lépései
- Mérjük fel a meglévő IT rendszereket
- Azonosítsuk a kockázatainkat
- Alkalmazzunk már bevált, szabványon alapuló kockázatkezelést
- Rendelkezzünk megfelelő üzletfolytonossági és katasztrófa-elhárítási tervvel
- Nagyvállalatok esetében feltétlen nevezzünk ki egy IT biztonsági vezetőt
- Gondoskodjunk a munkavállalók megfelelő oktatásáról
