Átlagosan 20-30 feltárt biztonsági probléma jut ma Magyarországon a vállalati informatikai rendszerekre, de akadnak cégek ahol ezek száma a 100-at is megközelítette – derül ki a Hunguard Kft. belső felméréséből.
Bár a társaságok egyre jobban figyelnek az adatok sértetlenségére és biztonságára, ma még jellemzően gyerekjáték bejutni egy-egy vállalati rendszerbe. Felmérések szerint a Magyarországon működő vállalkozások mintegy harmada már átélt valamilyen külső támadást, több mint felük mégsem rendelkezik kellő erősségű információbiztonsági védelmet nyújtó megoldással, miközben egy-egy ilyen támadás akár dollármilliókban mérhető károkat is okozhat.
A hackerek nyomában - Benézhet a kulisszák mögé
„Csak nagyon kevés cég esetében tártak fel szakértőink darabszámban 10 alatti problémát, akadtak viszont olyan társaságok, ahol akár 50-70 különböző súlyosságú biztonsági hiányosságot is azonosítottunk" – mondta Lengyel Csaba, a Hunguard Kft. szakmai vezetője.
A vállalkozások leggyakrabban adatlopás áldozatai lesznek, így például az üzleti levelezések, ügyféladatok, személyzeti nyilvántartások, pénzügyi adatbázisok jelentik a támadások célpontjait. Habár az ilyen jellegű adatok pénzbeli értékét nehéz megadni, a nemzetközi felmérések szerint egy-egy elem (például egy címlista egyik eleme, dolgozói adatokat tartalmazó fájl) az előállításába fektetett erőforrásokat figyelembe véve nagyságrendileg 160 dolláros veszteséget jelent.
Egy-egy támadás a nemzetközi felmérések alapján átlagosan 3,5 millió dolláros károkat okozott a cégeknek 2014-ben. A kis- és közepes vállalkozásoknál ez a kárösszeg jellemzően alacsonyabb, de a nagyvállalatok esetében jelentősen meg is haladhatja ezt. Igaz, hogy ez már elsősorban ipari kémkedést, a know-how és a terméktervek eltulajdonítását feltételezi" – tette hozzá a szakértő.
Távolról is leállítható a termelés
Egy biztonsági rés rossz szándékú felhasználása akár egy egész termelő vállalatot is megbéníthat. Tavaly decemberben egy németországi acélműben vették át az irányítást az olvasztó kohó automatizált rendszerei felett a hackerek, ami az eszközök fizikai sérüléseihez vezetett.
„Adatbiztonsági szempontból megengedhetetlen, hogy a céges adatbázisokhoz ellenőrizetlenül hozzáférhessenek a munkatársak, számlázási vagy egyéb üzleti és ügyféladatokat is kinyerhessenek a rendszerből" – sorolta a szakmai vezető. Szerinte már a jogosultságok részletes belső szabályozása és egy naplózási rendszer is sokat tehet az ilyen kockázatok minimalizálásáért.
Hackelés etikusan
100 százalékos biztonságot nyújtó védelem nem létezik, de a támadók jelentős részének kedvét már minimális odafigyeléssel is el lehet venni az online vagy akár a belülről érkező támadásoktól. A hálózatok megfelelő kialakítása, a biztonsági igényeknek megfelelő hardveres elemek beépítése és a jogtiszta, a biztonsági lyukakat folyamatosan frissítésekkel lezáró szoftverek alkalmazása ma már elengedhetetlen. A szakemberek a többi közt sérülékenység-vizsgálattal, etikus hackeléssel, valamint belső biztonsági auditok segítségével tárják fel a hiányosságokat.