Koronavírus: a kiberbűnözők is támadásba lendültek
Koronavírus: a kiberbűnözők is támadásba lendültek
2020. március 30.
A járványhelyzet miatti korlátozó intézkedések nyomán az emberek mindennapjai a digitális térbe költöznek. Mindez súlyos adatvédelmi és elektronikus információbiztonsági kockázatokkal járhat a cégek és a magánszemélyek esetében is – hívja fel a figyelmet a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda. A helyzetet külön nehezíti, hogy a váratlanul, külső tényezők hatására, a résztvevők szándékától függetlenül meginduló változások felkészületlenül érték a társaságokat.
A frankfurti DE-CIX adatcserélő központ eredményei szerint az elmúlt héten az áthaladó átlagos adatforgalom a világrekordnak számító 9,1 terabitre nőtt másodpercenként.
A hazai távközlési szolgáltatók 20-30 százalék körüli adatforgalom- és 50 százalékos hangforgalom-növekedésről számolnak be. Szintén rendkívül népszerűek a live és on-demand videostreaming szolgáltatások, illetve az online vásárlási lehetőségek – és ezzel párhuzamosan a WHO ajánlása szerint a készpénzmentes fizetési megoldások is. De lehetőség van már akár online virtuális élménytúrákon, múzeumbejáráson, tárlatlátogatáson is részt venni.
Számos streamingszolgáltató a megnövekedett fel- és letöltött információmennyiség miatt a szolgáltatás minőségének korlátozását jelentette be, hogy ezzel is csökkentse a hálózatokra nehezedő kapacitásigényt.
A rendkívüli körülmények hatására az online gazdát cserélő adatok – a többi többi közt metaadatok, statisztikai és személyes adatok, üzleti titkok – nagysága is rendkívüli. Az adatok feletti rendelkezést számos tényező veszélyezteti – talán leginkább a tudatosan, a koronavírus járvány keltette pánikot kihasználva indított kibertámadások.
A kiberbűnözők eszköztárában megtalálhatóak a járvánnyal kapcsolatos álhírek terjesztése vagy az adathalászat (phishing), így például az Egészségügyi Világszervezet (WHO) nevében írt levelek, adománygyűjtő kampányok, amelyek személyes adatok, különösen azonosítók és jelszavak megszerzésére készített káros programokat terjesztenek.
Emellett a koronavírus terjedését bemutató online térképek is terjeszthetnek káros kódokat. Szlovákiában egészségügyi weboldalak ellen indított terheléses (DoS) támadásokról is beszámoltak, valamint a koronavírusra vonatkozó információk ígéretével nagy számban jelentek meg dedikált weboldalak és mobil alkalmazások (például Covid 19 Tracker), amelyek a CovidLock elnevezésű zsarolóvírust telepítik.
Az elmúlt hónapokban a zsarolóvírusok áldozatai között előfordultak kórházak (Szlovákia és Csehország), de volt földgázsűrítő létesítmény (Egyesült Államok) is.
Vészforgatókönyvek kellenek
„Bármilyen adatról legyen is szó, a szervezeteknek fel kell mérniük az újonnan bevezetett üzleti folyamatok, megoldások lehetséges kockázatait, azonosítani kell a feladatokat és hozzárendelni a megfelelő szakembereket” – mondta Vári Csaba, a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda adatvédelmi csoportvezetője.
„Meg kell alkotni a saját szervezetre szabott, különböző szcenáriókat lefedő eljárásrendeket, gondoskodni kell azoknak a változó kockázatokhoz igazodó folyamatos felülvizsgálatáról és teszteléséről, a munkavállalók oktatásáról, illetve a biztonságtudatosság egyéb intézkedéseiről. Mindez nélkülözhetetlen ahhoz, hogy az esetleges adatvédelmi incidenseket krízis esetén hatékonyan kezeljük és enyhítsük a lehetséges károkat” – tette hozzá Kádár Ágnes, az iroda adatvédelmi szakértője
Következményként a szervezeteknek számolniuk kell a többi között az illetékes hatóságok jogsértéshez mért bírságtételeivel, a magánszemélyek és cégek kártérítési- és sérelemdíj igényeivel, és adott esetben akár a büntetőjogi felelősséggel is. A szervezetet anyagi és reputációs kár is érheti, a munka leállhat, sőt szélsőséges esetben akár súlyosabb következmények is történhetnek.
A járvány hatására bevezetett távmunka esetén a cégek többnyire éppen a tervezésre, a kockázatok felmérésére és megfelelő védelmi mechanizmusok implementálására nem tudtak megfelelő gondot fordítani. Így hiányosságok merülhetnek fel a digitális eszközökkel – a saját eszközök (BYOD) engedélyezésével, a hordozható eszközök és azon futó alkalmazások biztonságával – kapcsolatban, a kommunikáció biztonságának garantálásában vagy a hozzáférési jogosultságok szabályozásában.
A naplózási tevékenység, a biztonsági mentések elkészítése és biztonságos tárolása, az irányadó eljárásrendek kidolgozása, a munkavállalók biztonságtudatosságának biztosítása szintén kihívást jelenthet a vállalkozásoknak.