Hírek

Egyetlen vállalkozás sem immunis a kiberbiztonsági eseményekre, de a kockázat csökkenthető

Arminas Grigonis, Chief Technology Officer

Hírek

Arminas Grigonis, technológiai vezető

Bármelyik vállalkozás áldozatul eshet egy költséges kiberbiztonsági eseménynek. A vállalatoknak folyamatos egyensúlyt kell teremteniük a biztonság, a gyorsaság, a minőség és az ügyfélelégedettség között, és a kiberbiztonsági események száma egyre nő. Így csak idő kérdése, hogy egy vállalatot mikor ér kibertámadás vagy emberi mulasztás, amely a kiberbiztonsági események felét teszi ki.

Arminas Grigonis, az EBV Finance informatikai és technológiai vezetője szerint a kiberbiztonsági események száma az elmúlt évben megduplázódott, így még ha meg is teszi az ajánlott intézkedéseket, a legnagyobb hiba az, ha azt hiszi, hogy eléggé biztonságban van, és nincs veszély.

„Az ilyen illúziók csökkentik az éberséget és az óvatosságot, és különböző munkaszervezési és technikai hibákhoz vezetnek” – véli a szakértő.

A kiberbűnözés elsősorban üzleti tevékenység.

Grigonis szerint a bűnözőket a „legértékesebb” adatok vonzzák – azok az adatok, amelyek a legnagyobb kereskedelmi vagy hírnévértékkel bírnak, vagy amelyek személyes adatokhoz kapcsolódnak. A kiberbűnözés egy olyan üzletág, amelynek célja, hogy más vállalkozások gyengeségeit kihasználva a lehető legkevesebb erőfeszítéssel a legnagyobb nyereséget érje el.

„A kiberbűnözők az egész internetet átvizsgálják, gyenge pontok után kutatva. Ha hosszú ideig nem frissíti rendszereit vagy weboldalait, ha a hálózati forgalom nincs korlátozva, vagy ha nem titkosított adatátviteli csatornákat használ, akkor az adatok tartalmától vagy a vállalat méretétől függetlenül, könnyű prédává válhat – mondja Grigonis. Tehát egy kisvállalkozásnak és egy olyan vállalkozásnak sem szabad közömbösnek lennie, amely látszólag senkit sem érdekel.

Egy másik sebezhető terület az emberek. A technikai biztonsági intézkedések nem mindig nyújtanak védelmet az olyan, első pillantásra jelentéktelennek tűnő hibák ellen, mint például egy gyanús e-mail megnyitása vagy azonos jelszó használata mindenhol, különösen, ha a jelszó le van írva, és látható helyen van tárolva.

A cél nem biztos, hogy pénzügyi

A bűnözők a bejelentkezési adatokhoz és az érzékeny adatokhoz való hozzáférés megszerzéséhez gyakran „adathalászatot” vagy adatcsalást alkalmaznak. Az „adathalászat” kifejezés a „jelszóhalászat” kifejezésből származik.

„Az áldozatoknak általában hamis e-mailt küldenek, amely úgy néz ki, mintha egy bank vagy más szervezet valódi e-mailje lenne, és arra próbálja rávenni őket, hogy egy hamis oldalra mutató linkre kattintsanak, és további műveleteket hajtsanak végre, például bankszámlaadatokat, jelszavakat vagy más érzékeny adatokat adjanak meg” – mondja Grigonis.

A szakértő szerint gyakori módszerek még a vállalati adatokat titkosító és váltságdíjat követelő támadások (zsarolóvírus-támadások), valamint az SQL-injekció, amikor az adatbázisokkal dolgozó weboldalakat és alkalmazásokat egy speciális SQL-kódnak a lekérdezésbe történő beillesztésével veszik át.

A bűnözőket nem mindig pénzügyi célok vezérlik. Néha államok, politikai vagy más érdekelt csoportok megbízásából járnak el. Ilyen esetekben a cél nem a haszonszerzés, hanem a tevékenységek megzavarása vagy az adatok kémkedés céljából való felhasználása.  Ennek egyik példája az elosztott szolgáltatásmegtagadással járó (DDoS) támadások, amikor a különböző intézmények és vállalatok rendszereit számos fertőzött számítógép, telefon és egyéb eszköz kéréseivel bombázzák, hogy a jogszerű felhasználók számára elérhetetlenné tegyék azokat” – mondja az EBV Finance informatikai és technológiai vezetője.

Soha ne fizessen váltságdíjat

Grigonis szerint a támadásokból és az emberi mulasztásokból eredő kiberbiztonsági események kockázata és az általuk okozott kár néhány egyszerű intézkedéssel csökkenthető. Először is mindig használjon legalább kétfaktoros hitelesítést. Másodszor, készítsen biztonsági másolatokat a fő szerverektől technikailag elkülönített rendszerekről és adatokról. És végül, a kiberbiztonsággal elkötelezett, tapasztalt szakembereknek kell foglalkozniuk – nem pedig a vállalat más feladatokkal megbízott alkalmazottainak, akik a munka során tanulnának.

„A tanuló hibájának ára egyszerűen túl magas. A kiberbiztonsági képzésnek a vállalat minden alkalmazottja számára kötelezőnek kellene lennie, és rendszeres képzést kellene számukra biztosítani. Ezenkívül a válságkezelési és helyreállítási terveket rendszeresen tesztelni kell” – mondja Grigonis.

A szakember azt is javasolja, hogy soha ne fizessenek váltságdíjat az adatokért. Ez üzleti szempontból költséges döntés lehet, de a bűnözés megelőzésének legjobb módja, ha nem ösztönözzük azt további finanszírozással.